Experten beschreiben das von den Hackern der Equation Group verwendete Logging-Tool des DanderSpritz-Frameworks

  • Cybersecurity-Forscher haben einen detaillierten Einblick in ein System namens DoubleFeature gewährt, das die verschiedenen Phasen der Nachnutzung von DanderSpritz protokolliert, einem Malware-Framework mit allen Funktionen, das von der Equation Group eingesetzt wird.

    DanderSpritz kam am 14. April 2017 ans Licht, als eine als Shadow Brokers bekannte Hackergruppe unter anderem das Exploit-Tool in einer Meldung mit dem Titel “Lost in Translation” veröffentlichte. Zu den Leaks gehörte auch EternalBlue, ein von der Nationalen Sicherheitsbehörde der USA (NSA) entwickeltes Cyberangriffs-Exploit, das es Bedrohungsakteuren ermöglichte, den NotPetya-Ransomware-Angriff auf ungepatchte Windows-Computer auszuführen.

    [Blocked Image: https://thehackernews.com/images/-SmHk9U6ikBk/YVHUUpxrNfI/AAAAAAAA4ac/xluSCU7878ErhlmIN9mj9pKf9fr3LTBwACLcBGAsYHQ/s300-e100/rewind-3-300.png]

    Das Tool ist ein modulares, getarntes und voll funktionsfähiges Framework, das sich auf Dutzende von Plugins für Post-Exploitation-Aktivitäten auf Windows- und Linux-Hosts stützt. DoubleFeature ist eines davon, das als “Diagnosewerkzeug für Opfercomputer mit DanderSpritz” fungiert, so die Forscher von Check Point in einem am Montag veröffentlichten Bericht.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhdy_T2rKgpXxzXVsdT65rmCjOecaxczbdf63dJ46pPQX_dtiHFLS5wNJsAcT74KXJXM9V9KFQsyu85yaWxOLIing_midOMyFs55p3UqJBoCK-7cEBl37RR53CRIJdps49OxrnyxyxSoRYFBOUhTRwBQtIKYT6aVj356hu7nYXCw44tWd-8dIAjagKc]

    “DoubleFeature könnte als eine Art Rosetta-Stein für ein besseres Verständnis der DanderSpritz-Module und der durch sie kompromittierten Systeme verwendet werden”, fügte das israelische Cybersicherheitsunternehmen hinzu. “Es ist der Wunschtraum eines Incident Response Teams”.

    DoubleFeature ist ein auf Python basierendes Dashboard, das ein Protokoll über die Arten von Tools führt, die auf einem Zielcomputer eingesetzt werden könnten, und gleichzeitig als Berichtsdienstprogramm fungiert, um die Protokolldaten vom infizierten Computer auf einen vom Angreifer kontrollierten Server zu übertragen. Die Ausgabe wird mithilfe einer speziellen ausführbaren Datei namens “DoubleFeatureReader.exe” interpretiert.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Zu den von DoubleFeature überwachten Plugins gehören die Fernzugriffstools UnitedRake (auch bekannt als EquationDrug) und PeddleCheap, eine geheime Backdoor zur Datenexfiltration namens StraitBizarre, eine Spionageplattform namens KillSuit (auch bekannt als GrayFish), ein Persistenz-Toolset namens DiveBar, ein verdeckter Netzwerkzugriffstreiber namens FlewAvenue und ein Validierungsimplantat namens MistyVeal, das überprüft, ob es sich bei dem kompromittierten System tatsächlich um einen authentischen Opfercomputer und nicht um eine Forschungsumgebung handelt.

    “Manchmal erscheinen die Welt der hochrangigen APT-Tools und die Welt der gewöhnlichen Malware wie zwei parallele Universen”, so die Forscher. “Nationalstaatliche Akteure neigen dazu [maintain] klandestine, gigantische Codebases mit einer riesigen Bandbreite an Funktionen, die über Jahrzehnte hinweg aus praktischer Notwendigkeit heraus kultiviert wurden. Es stellt sich heraus, dass auch wir immer noch langsam an dem 4 Jahre alten Leck kauen, das uns DanderSpritz enthüllte, und neue Erkenntnisse gewinnen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com