{"id":3996,"date":"2022-03-03T10:53:13","date_gmt":"2022-03-03T10:53:13","guid":{"rendered":"https:\/\/network-king.net\/seit-10-jahren-aktiv-malware-wird-identifiziert\/"},"modified":"2022-03-03T10:58:12","modified_gmt":"2022-03-03T10:58:12","slug":"seit-10-jahren-aktiv-malware-wird-identifiziert","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/seit-10-jahren-aktiv-malware-wird-identifiziert\/","title":{"rendered":"Seit 10 Jahren aktiv: Malware wird identifiziert"},"content":{"rendered":"\n

Eine hochentwickelte Malware ist seit mehr als einem Jahrzehnt im Umlauf \u2013 ohne, dass sie erkannt wurde. Forscher von Symantec stie\u00dfen auf das Backdoor-Programm Daxin: Eine Schadsoftware, die offenbar in einer seit langem gef\u00fchrten Spionagekampagne gegen Regierungen und andere Ziele zusammen mit kritischer Infrastruktur eingesetzt wird.<\/p>\n\n\n\n

Die Backdoor erm\u00f6glicht es, beliebige Prozesse auszuf\u00fchren und mit ihnen zu interagieren. Obwohl die M\u00f6glichkeiten von Daxin begrenzt sind, liegt seine St\u00e4rke in der Kommunikation und der F\u00e4higkeit, heimlich zu agieren.<\/p>\n\n\n\n

Laut Symantec gibt es deutliche Hinweise darauf, dass Daxin verschiedene Kommunikations- und Datenerfassungsoperationen auf infizierten Computern durchf\u00fchrt. Die gesammelten Daten seien im November 2021 von Agenten eingesetzt worden, die Verbindungen zu China haben. Sie nutzten die Spionageergebnisse gegen Regierungen und Organisationen, die f\u00fcr das Land von strategischem Interesse sind. Dar\u00fcber hinaus wurden auf einigen der Computer, auf denen Daxin eingesetzt wurde, weitere Tools gefunden, die mit chinesischen Spionen im Zusammenhang stehen.<\/p>\n\n\n\n

Obwohl die j\u00fcngsten Daxin-Angriffe im vergangenen Jahr stattfanden, stammt die fr\u00fcheste bekannte Version der Malware aus dem Jahr 2013. Sie enthielt alle fortschrittlichen Funktionen, die auch in neueren Varianten zu finden sind. F\u00fcr Symantec deutet dies darauf hin, dass der Sch\u00e4dling bereits vor etwa 10 Jahren weit verbreitet war.<\/p>\n\n\n\n

Die Malware ist die am weitesten fortgeschrittene unter den Schadsoftware-Varianten, die Symantec-Forscher in Verbindung mit China identifiziert haben. Die Malware scheint darauf optimiert zu sein, tief in die Netzwerke der Opfer einzudringen und Daten zu extrahieren, ohne Verdacht zu erregen.<\/p>\n\n\n\n

Symantec arbeitet mit der Cybersecurity and Infrastructure Security Agency (CISA<\/a>) zusammen. So wollen sie die verschiedenen Regierungen, auf die Daxin abzielt, zur Zusammenarbeit bei der Erkennung und Behebung der Sicherheitsl\u00fccken auffordern.<\/p>\n\n\n\n

Modus operandi<\/strong><\/p>\n\n\n\n

Die Daxin-Backdoor tritt im Format eines Windows-Kerneltreibers auf. Dabei scheint sie sich auf Kommunikationstechniken zu konzentrieren, die sich in den normalen Datenverkehr der Netzwerke der Opfer einf\u00fcgen. Insbesondere vermeidet sie es, ihre eigenen Netzwerkdienste zu starten. Stattdessen verwendet sie legitime Dienste, die auf den infizierten Computern laufen.<\/p>\n\n\n\n

Daxin kann kommunizieren, indem er legitime TCP\/IP-Verbindungen unterschl\u00e4gt. Zu diesem Zweck \u00fcberwacht er eingehende TCP-Verkehrsmuster. Sobald ein solches Muster erkannt wird, trennt er die Verbindung mit dem eigentlichen Empf\u00e4nger und \u00fcbernimmt die Verbindung. Anschlie\u00dfend f\u00fchrt er einen benutzerdefinierten Schl\u00fcsselaustausch mit der Gegenstelle durch. Wenn der Schl\u00fcsselaustausch erfolgreich ist, \u00f6ffnet er einen verschl\u00fcsselten Kommunikationskanal, um Befehle zu empfangen und Antworten zu senden.<\/p>\n\n\n\n

Die von Daxin genutzten gekaperten TCP-Verbindungen bieten ein hohes Ma\u00df an Geheimhaltung f\u00fcr die Kommunikation und helfen beim Aufbau von Netzwerkverbindungen, selbst wenn strenge Firewall-Regeln vorhanden sind. Dieser Modus Operandi verringert auch die Wahrscheinlichkeit, dass die Backdoor von Systemen entdeckt wird, die Anomalien im Netzwerkverkehr \u00fcberwachen. Dazu gibt es spezielle Nachrichten, die rohe Datenpakete kapseln, welche von der lokalen Netzwerkkarte \u00fcbertragen werden.<\/p>\n\n\n\n

\"\"
Quelle: Symantec<\/figcaption><\/figure><\/div>\n\n\n\n

Das vielleicht interessanteste Merkmal von Daxin ist seine F\u00e4higkeit, einen Kommunikationskanal zwischen infizierten Computern aufzubauen. Die Liste der Knoten wird hierbei vom Angreifer mit einem einzigen Befehl \u00fcbermittelt wird. F\u00fcr jeden Verzweigungspunkt enth\u00e4lt die Nachricht die Details, die zum Aufbau der Kommunikation erforderlich sind. Dazu geh\u00f6ren insbesondere die IP-Adresse, die TCP-Portnummer sowie die Anmeldeinformationen, die beim benutzerdefinierten Schl\u00fcsselaustausch verwendet werden sollen. Wenn Daxin diese Nachricht erh\u00e4lt, w\u00e4hlt es den n\u00e4chsten Knoten in der Liste aus. Anschlie\u00dfend verwendet es seinen eigenen TCP\/IP-Stack, um eine Verbindung zu dem TCP-Server herzustellen, der in dem ausgew\u00e4hlten Eintrag aufgef\u00fchrt ist.<\/p>\n\n\n\n

Eine bekannte Taktik von Angreifern ist es, mehrere Spr\u00fcnge zwischen Knoten in den Netzwerken der Opfer zu machen, um Firewalls zu umgehen und keinen Verdacht zu erregen. Dies aber geschieht normalerweise in mehreren Schritten. Im Fall von Daxin wird dieser Prozess in einer einzigen Operation durchgef\u00fchrt, die in gut gesch\u00fctzte Netzwerke eindringen und sich dort mit einem Schlag verbreiten kann.<\/p>\n\n\n\n

Zu den Opfern<\/a> von Daxin geh\u00f6ren Regierungsbeh\u00f6rden in Asien und Afrika, darunter auch Justizministerien.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine hochentwickelte Malware ist seit mehr als einem Jahrzehnt im Umlauf \u2013 ohne, dass sie erkannt wurde. Forscher von Symantec stie\u00dfen auf das Backdoor-Programm Daxin: Eine Schadsoftware, die offenbar in einer seit langem gef\u00fchrten Spionagekampagne gegen Regierungen und andere Ziele zusammen mit kritischer Infrastruktur eingesetzt wird. Die Backdoor erm\u00f6glicht es, beliebige Prozesse auszuf\u00fchren und mit…<\/p>\n","protected":false},"featured_media":3972,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-3996","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3996","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3996"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3972"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3996"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3996"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3996"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3996"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3996"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3996"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}