Snake Malware zerschlagenEine Schlange mit Löchern
13. Juni 2023Das US-Justizministerium hat bekannt gegeben, dass sie das Netzwerk hinter der Snake Malware zerschlagen hat. Die Malware ist laut CISA ein ausgeklügeltes Instrument für Cyber-Spionage, das vom Zentrum 16 des russischen föderalen Sicherheitsdienstes (FSB) für die Sammlung von Informationen über sensible Ziele entwickelt wurde. Mit seiner auf Heimlichkeit angelegten Natur und seinen ausgeklügelten Fähigkeiten hat sich diese Bedrohung durch die Netzwerke von Organisationen in bis zu 50 verschiedenen Ländern geschlängelt und Chaos und kompromittierte Systeme hinterlassen.
Snake, früher „Uroburos“, gilt als das raffinierteste Cyber-Spionage-Tool, das von der in Rjasan ansässigen FSB-Gruppe „Turla“ vollständig in C entwickelt wurde. Der Föderale Sicherheitsdienst (FSB) entwickelte eine ausgeklügelte Strategie unter Verwendung der Snake Malware und baute ein globales Netzwerk infizierter Computer auf, das eine Peer-to-Peer-Architektur (P2P) nutzte. Innerhalb dieses ausgedehnten Netzes fungieren zahlreiche Systeme als Relaisknoten, die den getarnten operativen Datenverkehr diskret zu und von den Snake-Implantaten leiten, die auf den primären Zielen des FSB eingesetzt werden.
Um die Vertraulichkeit zu gewährleisten und eine Entdeckung oder ein Abfangen zu verhindern, verwendet Snake spezielle Kommunikationsprotokolle mit Verschlüsselungs- und Fragmentierungstechniken. Diese Maßnahmen dienen dazu, die Bemühungen zur Aufdeckung zu vereiteln und verleihen den vom FSB orchestrierten bösartigen Aktivitäten eine zusätzliche Komplexitätsebene.
Darüber hinaus verfügt Snake über eine interne technische Architektur, die eine mühelose Integration neuer oder ausgetauschter Komponenten ermöglicht. Dieses Design vereinfacht nicht nur den Entwicklungsprozess, sondern fördert auch die nahtlose Interoperabilität zwischen verschiedenen Snake-Instanzen, die auf unterschiedlichen Host-Betriebssystemen wie Windows, MacOS und Linux laufen.
Als Reaktion auf die Berichte von Cyber-Security- und Threat Intelligence-Firmen über die von Snake verwendeten Taktiken, Techniken und Verfahren (TTPs) hat der FSB das Malware-Implantat rasch angepasst und modifiziert, um der Entdeckung zu entgehen und somit die Hürden für die Identifizierung und Ergreifung von Snake und den damit verbundenen Artefakten zu erhöhen. Infolgedessen entwickelt sich das Katz-und-Maus-Spiel zwischen Verteidigern und der schwer fassbaren Snake-Malware immer weiter, wobei das FSB ständig versucht, die Erkennungsmechanismen zu überlisten.
Die Infektionskette
Das FSB zeigt ein einheitliches Muster, bei dem es auf nach außen gerichtete Infrastrukturknoten innerhalb eines Netzwerks abzielt. Von dort aus setzen sie eine Kombination von Tools und Taktiken ein, um Systemschwachstellen auszunutzen und Zugang zum internen Netzwerk zu erhalten. Sobald der erste Zugang gesichert ist, leitet das FSB einen Enumeration-Prozess ein, bei dem verschiedene Methoden zum Einsatz kommen, darunter Keylogger, Netzwerk-Sniffer und sogar Open-Source-Tools, um das Netzwerk abzubilden und wichtige Administrator-Anmeldeinformationen zu erlangen, wobei der Schwerpunkt häufig auf dem Zugriff auf Domänen-Controller liegt.
Sobald die FSB-Operatoren das Netzwerk erfolgreich kartiert und die Administrator-Anmeldeinformationen für verschiedene Domänen erhalten haben, fahren sie mit den regulären Datensammlungsoperationen fort. Um eine minimale Präsenz im System zu gewährleisten, werden keine zusätzlichen schwergewichtigen Implantate eingesetzt; stattdessen werden die erworbenen Zugangsdaten und leichtgewichtige Remote-Access-Tools genutzt, um innerhalb des Netzwerks zu navigieren und zu arbeiten. Als zusätzliche Maßnahme setzen die FSB-Betreiber manchmal eine kompakte, fernauslösbare Reverse Shell als Backup-Zugangsvektor neben Snake ein, um sich seitlich zu bewegen.
Enttarnung durch Löcher in der Software
Laut der CISA erwiesen sich Fehler, die während der Entwicklung und des Betriebs von Snake gemacht wurden, als wertvolle Ansatzpunkte, um das Innenleben von Snake zu verstehen, und ermöglichten die Entwicklung von Fähigkeiten zur Verfolgung und Manipulation seiner Daten. Die Verwendung der OpenSSL-Bibliothek durch das FSB für den Diffie-Hellman-Schlüsselaustausch deckte eine bedeutende Schwachstelle auf.
Der während des Austauschs generierte Schlüsselsatz von Snake verwendete eine völlig unzureichende Primzahl-Länge von nur 128 Bit, was ihn für asymmetrische Schlüsselsysteme unsicher machte. Bei der überstürzten Bereitstellung von Snake wurde zudem versäumt, bestimmte Komponenten zu entfernen, wodurch versehentlich Funktionsnamen, Klartext-Strings und Entwicklerkommentare offengelegt wurden.
Das FBI setzte ein speziell entwickeltes Tool namens „Perseus“ ein, das strategische Befehle ausgab, die die Snake-Malware dazu veranlassten, ihre entscheidenden Elemente zu überschreiben, was zu ihrer Selbstzerstörung oder dauerhaften Deaktivierung führte. Dabei wurde die Integrität der legitimen Anwendungen und Dateien auf den betroffenen Computern sorgfältig geschützt, so dass sie während des gesamten Prozesses nicht beeinträchtigt wurden.
Darüber hinaus hat das FBI ein Plugin für das Volatility-Speicheranalyse-Framework veröffentlicht, mit dem Systemprozesse umfassend untersucht werden können, um das Vorhandensein der in einen Prozess eingeschleusten Snake-Usermode-Komponente festzustellen. Nach der Erkennung liefert das Plugin eine detaillierte Auflistung des injizierten Prozesses und der spezifischen virtuellen Speicheradresse, an der die Snake-Benutzermodus-Komponente geladen ist. Dieses Plugin ist ein wertvolles Werkzeug für Analysten, die eine gründliche Speicheranalyse durchführen, um Instanzen von Snake-Malware in kompromittierten Systemen aufzudecken und zu analysieren.
Detection-Lösungen die SIEM und SOAR miteinander vereinen wie Logpoint Converged SIEM verfügen über integrierte Telemetrie, die die Findings anreichert und automatisierte und zeitnahe Reaktionen auf Sicherheitsvorfälle ermöglicht und somit das Ausmaß der Auswirkungen reduziert.
Letztlich war die Snake Malware trotz ihrer fortgeschrittenen Raffinesse und ihrer Fähigkeit, verdeckt zu operieren, letztlich für menschliche Fehler und betriebliche Risiken anfällig, was ihre erfolgreiche Entdeckung und Ausmerzung ermöglichte. Die wertvollen Erkenntnisse, die in diesem Blog geteilt wurden, können Benutzern helfen, ähnliche Ergebnisse zu erzielen, indem sie die bereitgestellte Erkennung nutzen.
Durch die Nutzung von Lösungen, die SIEM-, SOAR- und Endpoint-Response-Funktionen integrieren, können Security Analysten Malware wie die Snake Malware effektiv untersuchen und geeignete Gegenmaßnahmen ergreifen. Mit den richtigen Werkzeugen und Kenntnissen können Unternehmen ihre Abwehr gegen diese Art von Bedrohungen verstärken und eine sichere und widerstandsfähige digitale Umgebung gewährleisten.
Rabindra Dev Bhatta ist Associate Security Analytics Engineer bei Logpoint.