F

Hacker-Toolkit PinkStats liefert einzigartige Erkenntnisse zu APT-Verteidigung

Der PinkStats-Downloader verbreitet sich über das kompromittierte Netzwerk. Das APT-Tool unterscheidet sich hier von anderer bekannter Malware.

Chinesische Hacker haben offensichtlich PinkStats benutzt. Dieses APT-Toolkit (Advanced Persistent Threat) ist berüchtigt, weil es sich über sein eigenes und kompromittiertes Netzwerk verbreitet. Gibt es etwas Besonderes in den Angriffsmethoden von PinkStats, das man hervorheben kann?

PinktStats wurde Berichten zufolge im Laufe der letzten vier Jahre von einer chinesischen APT-Gruppe eingesetzt. Sie greift in erster Linie Netzwerke an, die in Südkorea beheimatet sind. PinkStats ist die Download-Komponente dieses Toolkits. Die Cyberkriminellen benutzen es, um Computer zu kompromittieren und zu kontrollieren. In erster Linie stehlen sie mit der Malware geistiges Eigentum, (Betriebs-)Geheimnisse und andere wertvolle Daten.

Damit ein APT-Angriff erfolgreich ist, braucht man allerdings mehr als einen PinkStats Downloader. Zunächst ist ein Angriffsvektor erforderlich, über den das Zielsystem infiltriert wird. Das könnte ein so genannter Zero-Day-Exploit sein. Nur dann kann die Downloader-Komponente den Rest der Malware für den spezifischen Angriff herunterladen. In der Regel laufen diese Downloads über für den Schadcode maßgeschneiderte und verschlüsselte Protokolle, Standard-HTTPS, P2P-Verbindungen (Peer to Peer) und so weiter.

Es gibt aber einen Faktor, der den PinkStats-Downloader von anderen Malware-Angriffen unterscheidet. Er benutzt HTTP und greift auf etwas zu, das man zunächst als Web Counter klassifizierte. In der Zwischenzeit hat man den kompletten Kommunikations-Strom zwischen einem kompromittiertem System und dem C&C-Server (Command-and-Control) sorgfältig analysiert. Ein Sicherheits-Experte hat herausgefunden, dass es sich nicht nur um einen Web Counter handelt, sondern um einen vollständigen Malware-Angriff. Es gibt diverse andere Möglichkeiten, diese Malware zu entdecken. Eine Antimalware-Netzwerk-Appliance könnte den Schadcode identifizieren. Sie müsste eine externe Website befragen, ob sich eine Website auf einer Blacklist befindet und somit als kompromittiert gilt. Eine Appliance könnte alle heruntergeladenen Dateien inspizieren und Dateien in einer Sandbox auf bösartige Aktionen untersuchen. Alternativ kann ein Sicherheits-Tool am Endpunkt all diese Aufgaben übernehmen.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close