NotPetya – Infektion durch legitimes Auto-Update

Scheinbar wurde die malware NotPetya, die vor kurzer Zeit hauptsächlich Rechner in der Ukraine befallen hat, durch ein reguläres Update einer anderen Software verbreitet. Wie bereits berichtet scheint es dass die Option zur Daten-Entschlüsselung nur vorgetäuscht wird – eine echte Entschlüsselung aber gar nicht möglich ist.

Backdoor in .NET

Nach einer Analyse von ESET wurde in die in der Ukraine beliebte Steuer-Software M.E.Doc missbraucht um die Malware – DiscCoder.C – zu verbreiten. Dazu wurde in M.E.Doc eine backdoor eingeschleust, der Dateiname wurde als ZvitPublishedObjects.dll identifiziert. Dabei handelt es sich um eine 5 MB-Datei die unkritischen Code in .NET enthält.

M.E.Doc selbst prüft periodisch auf Software-Updates und installierte diese, je nach Einstellung automatisch oder nach einer Bestätigung des Anwenders. Da die malware in ein offizielles M.E.Doc-Update eingeschleust wurde, gab es weder für eine Antivirus-Lösung noch für eine Signaturprüfung eine Chance die malware zu entdecken. Da der Angriff auf die Update-Software sehr schnell und unerkannt durchgeführt werden konnte, kann davon ausgegangen werden dass die Angreifer Einblick in den M.E.Doc-Quellcode hatten um deren Funktion zu erlernen und die backdoor zu erstellen.

Konten und Kennwörter unsicher

Mittlerweile wurde auch bekannt, dass NotPetya offensichtlich in der Lage ist, Nutzerkonten und Kennwörter abzufangen oder zu ermitteln. Auf diese Weise kann sich die malware selbstständig weiter verbreiten, ohne direkte oder indirekten Eingriff eines Anwenders. Zudem wurden exploits ausgenutzt, die von der NSA für eigene Angriffe verwendet und nicht publiziert wurden. Inzwischen wird allgemein allen Anwendern von M.E.Doc empfohlen, sämtliche Kennwörter für alle verwendeten Nutzerkonten zu ändern.

Die Analyse ergab, dass NotPetya nicht in der Lage ist, die verschlüsselten Daten wieder zu entschlüsseln. Damit ist die Software nicht auf Gewinn angelegt, sondern quasi ein Daten-Löscher. Dadurch dass die Daten mit einer verschlüsselten Version überschrieben werden ist eine Wiederherstellung quasi unmöglich – bei einem reinem Löschvorgang hingegen wäre dies durchaus möglich.

Keine malware – data wiper

Letztendlich zeigt dieser Fall, daß man auch dann nicht vor malware geschützt ist wenn man nur originale Software verwendet und ausschließlich vom Hersteller geprüfte Updates installiert. Es wird vermutet, dass einer der Server vom M.E.Doc-Hersteller kompromittiert wurde, da die backdoor in die originalen Quellcodes mit eingepflegt wurde. Allerdings geschah dies manuell – die vom Hersteller offiziell erstellten Updates enthielten keine backdoor. Daher waren tatsächlich einige Nutzer der Software beim NotPetya-Ausbruch nicht betroffen – diese hatten zwar das backdoor-update erhalten, etwas später aber wieder ein legitimes Updates installiert welches die backdoor wieder außer Funktion gesetzt hat.

Leave a Reply

Your email address will not be published. Required fields are marked *