arrow - Fotolia

F

Wie sich der Remote-Access-Trojaner Poison Ivy verbreitet

Mittels Social Engineering und Word-Makros schleusen Kriminelle eine neue Version des Poison Ivy Remote-Access-Trojaner ein. Dieser belauscht Tastatureingaben und klaut Passwörter.

Forscher von FireEye haben eine neue Angriffswelle mit dem Remote-Access-Trojaner (RAT) Poison Ivy entdeckt. Die Kriminellen nutzen diesmal gezielt Tricks aus dem Bereich Social Engineering, um ihre Malware zu verbreiten. Einmal erfolgreich in einem System eingedrungen, kann Poison Ivy Tastatureingaben mitschneiden, Passwörter klauen, Screenshots des Bildschirminhalts anfertigen und die Webcam missbrauchen, um heimlich Aufnahmen des Computernutzers anzufertigen. Vor welchen neuen Angriffs- und Verbreitungsmethoden sollten sich Unternehmen besonders in Acht nehmen?

Nahezu jedes Opfer einer erfolgreichen Attacke geht davon aus, dass dabei sehr ausgefeilte Tricks verwendet wurden. In Wahrheit werden Sicherheitslücken auf gefährdeten Systemen teilweise sehr lange nicht geschlossen. Zudem werden – aus verschiedenen Gründen – viele empfohlene Sicherheitsmaßnahmen nicht angewendet. Das führt dazu, dass sich Angreifer immer wieder relativ leicht einschleichen können.

Das soll aber nicht bedeuten, dass erfolgreiche Angriffe alleine die Schuld der Opfer sind. Es handelt sich dabei einfach um den bedauernswerten Zustand der IT-Security, den wir derzeit haben. Obwohl es in der Vergangenheit viele Verbesserungen bei mobilen Endgeräten und auch Desktops gegeben hat, kann ein Angreifer heute relativ leicht einen Zero Day Exploit erwerben, um seine Ziele zu erreichen.

Angriff per Word-Makro

Den Forschern von FireEye ist eine neue Angriffswelle mit Poison Ivy aufgefallen, bei der Phishing-Mails mit verseuchten Word-Dokumenten verwendet wurden, um ein gefährliches Makro auf den PCs der Opfer auszuführen. Die E-Mails wurden gezielt an Mitarbeiter der Regierung der Mongolei verschickt. Manche der Nachrichten enthielten Informationen über angebliche Möglichkeiten, wie man sich an Webmail-Konten anmelden kann, andere enthielten vermeintliche Informationen über geplante Gesetzesvorhaben.

Das dabei verwendete Makro nutzte ein PowerShell-Skript, mit dem sich weiterer Schadcode aus dem Internet herunterladen lässt. Getarnt waren die Downloads dabei mit anderen Dokumenten, die die Opfer ablenken sollten. Das Skript manipuliert die Registry und nutzt dabei eine Sicherheitslücke in AppLocker aus. Dazu verwendet es regsvr32.exe, um sich selbst als so genannter dateiloser Schädling auf dem Endpoint einzunisten.

Seit die PowerShell vor über zehn Jahren erstmals veröffentlicht wurde, hat man mit vergleichbaren Angriffen gerechnet. Microsoft hat deswegen bereits mehrere Empfehlungen veröffentlicht, mit denen sich vergleichbare Angriffe stoppen lassen. So empfiehlt es sich, nur die Ausführung von internen Skripts zuzulassen. Unternehmen sollten zudem Richtlinien und Pläne entwerfen, um sich und ihre Mitarbeiter gegen gezielte Phishing-Angriffe wie den hier beschriebenen zu verteidigen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die PowerShell-Ausführungsrichtlinie per Gruppenrichtlinie regeln

Diese Tools nutzen Angreifer für versteckte Malware

Per Microsoft EMET Windows-Systeme gegen Angriffe schützen

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close