Während der Hacker-Konferenz Def Con zeigten Itzik Kotler und Amit Klein ihren Spacebin getauften Angriff. Moderne Antivirensoftware wurde durch Spacebin zu einem Sprungbrett für Datendiebstahl. Darunter Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017.

Die betroffenen Hersteller haben, bis auf Kaspersky, die Lücken bereits geschlossen. Seinen Kunden empfiehlt Kaspersky, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Dadurch sei die Schutzwirkung nicht beeinträchtigt.

Die von den Forschern zu Demozwecken geschriebene und Rocket benannte Malware-Komponente muss im ersten Schritt auf einen Rechner geschleust werden, damit der Angriff funktioniert, beispielsweise per USB-Stick. Dann sammelt Rocket die zu stehlenden Daten im Netzwerk ein und legt diese in ihre schlummernden "Satellite"-Komponente ab. Hierfür hat der Satellit einen zuvor reservierten Puffer.

Der Programmcode des Satelliten samt gestohlener Daten wird anschließend von Rocket kompiliert, gliedert die ausführbare Datei aus und schleust sie samt der EICAR-Testdatei in den Windows-Autostart-Ordner. Damit die Antivirensoftware (AV-Software) auf jeden Fall Alarm schlägt und auf die Malware aufmerksam wird, sollen Ablageort und EICAR-Datei für garantieren.

Die AV-Software läd anschließend den Satelliten zur Analyse in die Sandbox in die Cloud. Die Virenwächter führen dort den Code zur Analyse aus, wodurch der Satellit den letzten Teil des Angriffs startet. Der Schädling kann dann die Daten auf verschiedenen Arten an die Hintermänner der Attacke weiterleiten, da die Cloud-Umgebungen der Malware Internetzugriff erlauben.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE