Babar: Spionagesoftware endlich gefunden und unter die Lupe genommen

18.02.2015
G DATA Blog

Fast ein Jahr, nachdem die Operation SNOWGLOBE erstmalig von der bekannten französischen Zeitung Le Monde in die Öffentlichkeit getragen wurde, konnten Sicherheitsexperten jetzt Malware-Samples ausfindig machen, die mit den Beschreibungen des kanadischen Nachrichtendiensts CSEC übereinstimmen. Die folgende Analyse ist der erste Bericht über die Spionage-Malware mit der Bezeichnung Babar, nach der die gesamte Fachwelt aus dem Bereich der Computersicherheit gefahndet hat. Nach der Aufdeckung von EvilBunny wurde mit Babar nun eine weitere Komponente identifiziert, die mit der Operation SNOWGLOBE im Zusammenhang steht und wahrscheinlich aus der Feder derselben Entwickler stammt. Zum Funktionsumfang von Babar zählt eine Keylogger-Funktion, die Protokollierung der Zwischenablage und – besonders interessant – die Möglichkeit, Audiogespräche zu protokollieren: Babar der Elefant hat große Ohren!

Hintergrund

Erstmalig bekannt wurde die Existenz einer weiteren Spyware, die möglicherweise von einer Regierungsbehörde in Auftrag gegeben worden war, im März 2014, als Le Monde erste Informationen über eine streng geheime Präsentation aus dem Jahr 2011 nebst Auszügen aus deren Inhalt veröffentlichte. Doch die von Le Monde veröffentlichten Inhalte der Präsentation stellten nur einen kleinen Teil des gesamten Dokuments dar: Mehrere Folien fehlten, einige Informationen waren geschwärzt. Auch das deutsche Nachrichtenmagazin Der Spiegel veröffentlichte die Präsentation vor kurzem (im Januar 2015), die jedoch wesentlich weniger lückenhaft war und somit wesentlich besser erkennen ließ, was der CSEC tatsächlich über seine Untersuchungsergebnisse gemeldet hatte.

Das erneut veröffentlichte Dokument enthüllt Folgendes: Die sogenannte Operation SNOWGLOBE wurde im Jahr 2009 entdeckt (Folie 9). Sie besteht aus drei verschiedenen „Implantaten“. Zwei dieser Implantate werden als „Snowballs“ (Schneebälle) bezeichnet, ein drittes, „noch komplexeres Implantat, das Mitte 2010 entdeckt wurde“, wird als „Snowman“ (Schneemann) bezeichnet (Folie 7). Laut Folie 22 „bewertet CSEC SNOWGLOBE mit einiger Sicherheit als eine staatlich geförderte CNO [Cyber Network Operation], die von einem französischen Geheimdienst angestoßen wurde.“ Die Angaben stammen aus dem Jahr 2011. Seitdem wurden dazu keine weiteren Einzelheiten veröffentlicht. Nachdem nun konkrete Babar-Samples identifiziert und analysiert wurden, gibt es möglicherweise neue Informationen, auch im Hinblick auf Ähnlichkeiten bzw. Unterschiede zwischen den beiden Fernsteuerungstools (RATs) EvilBunny und Babar.

Wir möchten uns besonders bei Marion Marschalek, Joan Calvet und dem Team von CIRKL Luxemburg für ihre Beiträge zu diesem Bericht bedanken! Wir empfehlen die Lektüre des Berichts „Shooting Elephants“ von Marion Marschalek, einer ergänzenden Arbeit über die Malware „Babar“.

Die Samples

EvilBunny-Samples (SHA256)
c6a182f410b4cda0665cd792f00177c56338018fbc31bb34e41b72f8195c20cc  
7d1e5c4afb1682087d86e793b3fc5a8371dc7c28e27e7196e3b258934f6bafb5  
7bfc135194d3e5b85cbe46ed1c6f5e21dbe8f62c0a3ef56245b2d6500fc3a618  
be14d781b85125a6074724964622ab05f89f41e6bacbda398bc7709d1d98a2ef

Babar-Samples (SHA256, Dropper und Payload)
c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf: Dropper  
82e6f9c10c7ba737f8c79deae4132b9ff82090ccd220eb3d3739365b5276c3c8: Dropper

aa73634ca325022dd6daff2df30484ec9031939044cf4c2a004cbdb66108281d: Payload (perf_585.dll)
57437a675cae8e71ac33cd2e001ca7ef1b206b028f3c810e884223a0369d2f8a: Payload: (dump21cb.dll)

Die Sicherheitslösungen von G DATA erkennen alle analysierten Samples.

Die Malware-Bezeichnungen: Sind die Programmierer Cartoonisten?

Wenn wir uns den in der Binärdatei gespeicherten Kompilierungspfad anschauen, erkennen wir den internen Namen der Projekte:
C:\Users\user\Desktop\bunny 2.3.2\Release\Transporter2.pdb
C:\Documents and Settings\admin\Desktop\Babar64\Babar64\obj\DllWrapper Release\Release.pdb

Auch in einem Befehls- und Kontrollserver eines EvilBunny-Samples wird derselbe Sample-Projektname erwähnt: hxxp://1.9.32.11/bunny/test.php?rec=nvista.

Identifizierung der in der CSEC-Präsentation beschriebenen Malware

Die folgenden Hinweise unterstreichen die Annahme, dass die analysierten EvilBunny- und Babar-Samples mit jenen übereinstimmen, die in den von Snowden aufgedeckten Dokumenten beschrieben werden. (Die Auflistung erfolgt in der Abfolge der Folien.) Dennoch sind auch einige Unterschiede festzustellen (siehe unten):

Übereinstimmung: Tippfehler – Folie 8

CSEC erwähnte einen Tippfehler der Malware-Entwickler. In der User-Agent-Angabe wird in der Malware anstelle der Zeichenfolge MSIE (für Microsoft Internet Explorer) die Zeichenfolge MSI verwendet. Die Malware nutzt nicht den Browser für die Kommunikation; die Anfrage wurde vom Entwickler, dem der Fehler unterlaufen ist, manuell eingefügt. Genau denselben Fehler fanden wir in den EvilBunny- und Babar-Samples:

paul@gdata:~/babar$ strings -a perf_585.dll | grep "MSI " 
User-Agent: Mozilla/4.0 (compatible; MSI 6.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322) 
User-Agent: Mozilla/4.0 (compatible; MSI 6.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
  

CSEC Operation SNOWGLOBE, Folie #8, von Edward Snowden enttarnt - Zum Vergrößern Klicken

Übereinstimmung: Interner Name: Babar – Folie 18

In den von Snowden aufgedeckten Dokumenten erwähnt der CSEC die interne Bezeichnung der Malware: Babar. In den analysierten Malware-Samples wird wie bereits erwähnt dieselbe interne Bezeichnung verwendet.

CSEC Operation SNOWGLOBE, Folie #18, von Edward Snowden enttarnt - Zum Vergrößern Klicken

Übereinstimmung: Option „Locale“ (Gebietsschema) – Folie 19

Der CSEC erwähnt die Locale-Option „fr_FR“ beim Spear-Phishing-Angriff. In den EvilBunny-Samples ist der Parameter Accept-Language bei den HTTP-Anfragen an die Befehls- und Kontrollserver auf „fr“ eingestellt.

CSEC Operation SNOWGLOBE, Folie #19, von Edward Snowden enttarnt - Zum Vergrößern Klicken

Übereinstimmung: Englische Sprache – Folie 19

Der CSEC erwähnt ebenfalls auf Folie 19, dass das C&C Interfaceauf Englisch ist, die Wortwahl jedoch nicht typisch für einen englischen Muttersprachler ist.  Wir fanden auch in den EvilBunny- und Babar-Samples Fehler im Englischen, wie etwa in diesem Beispiel aus Babar:
!!!EXTRACT ERROR!!!File Does Not Exists-->[%s]

Unterschied: Infrastruktur – Folie 10

Die CSEC-Dokumente zeigen, dass die Skripte „outbase.php“ und „register.php“ auf Infrastruktur-Domains „in einem Verzeichnis unter der Stammdomain“ gefunden wurden. Die Skripte aus den analysierten Samples hießen „index.php“ und befanden sich in einem tieferen Verzeichnis.

Unterschied: Benutzername des Entwicklers: titi – Folie 18

Der Benutzername des Entwicklers lautet im analysierten Babar-Sample admin und nicht titi wie in den Snowden-Dokumenten. In den Bunny-Samples lautet der Benutzername des Entwicklers user.

Vergleich von EvilBunny und Babar

Wir denken, dass die beiden Malware-Arten zu der erwähnten Operation SNOWGLOBE gehören. Das folgende Kapitel beschreibt die Ähnlichkeiten und Unterschiede:

Tippfehler

Wie bereits erwähnt wurde bei EvilBunny und Babar ein Tippfehler in der Zeichenfolge für „User Agent“ gefunden. Diese Fehler ist möglicherweise die Folge eines Fehlers beim Kopieren und Einfügen, oder er tritt auf, weil in beiden Samples dieselbe Bibliothek verwendet wird.

Erkennung der Virenschutzsoftware

Die erste Aufgabe besteht sowohl bei EvilBunny als auch bei Babar in der Ermittlung der installierten Virenschutzsoftware. Für diese Aufgabe wird exakt dieselbe Technik eingesetzt: WMI (Windows Management Instrumentation).
WMI ist eine Schnittstelle von Microsoft, um Informationen über das System und Meldungen des Systems zu erhalten. Die Benutzer können WMI mithilfe von VBScript, PowerShell oder der Sprache C++ nutzen. Um den Namen der installierten, registrierten Virenschutzlösung zu ermitteln, öffnet die Malware einen der folgenden WMI-Provider des Windows-Sicherheitscenters:

  • ROOT\SecurityCenter (bei Betriebssystemen vor Windows Vista)
  • ROOT\SecurityCenter2 (Windows Vista und neuere Betriebssysteme)

Die analysierte Malware umfasst die beiden Provider und die beiden Betriebssystemversionen (vor und nach Vista). Microsoft stellt zum Durchführen von Anfragen mithilfe von WMI ein SQL-ähnliches System bereit. Das System wird als WMI Query Language (WQL) bezeichnet. Die Malware führt die folgende Abfrage durch:

SELECT * FROM AntiVirusProduct

Hier die Beschreibung des Virenschutz-Objekts:

class AntiVirusProduct 
{ 
   string companyName; // Herstellername 
   string displayNam; // Programmname 
   string instanceGuid; // Einzigartige Identifikation 
   boolean onAccessScanningEnabled; // Echtzeitschutz 
   boolean productUptoDate; // Update-Status 
   string versionNumber; // Programmversion
 }

Die Malware prüft die folgenden Einträge: productUpToDate, versionNumber und displayName. Die Malware überprüft, ob die SHA-256 des ersten Wortes von displayName einem Eintrag aus einer vordefinierten Liste entspricht. Bei der Analyse mehrerer Samples zeigt sich, dass der Inhalt der Liste unterschiedlich ist. Hier ein Beispiel einer Liste (am 19.02.2015 aktualisiert):

ab6ed3db3c243254294cfe431a8aeada28e5741dfa3b9c8aeb54291fddc4f8c3(AhnLab)
b3fe0e3a3e3befa152c4237b0f3a96ffaa44a2d7e1aa6d379d3a1ab4659e1676(AntiVir)
c0ffcaf63c2ca2974f44138b0956fed657073fde0adeb0b1c940b5c45e8a5cab(avast!)
249a90b07ed10bd0cd2bcc9819827267428261fb08e181f43e90807c63c65e80(AVG)
4b650e5c4785025dee7bd65e3c5c527356717d7a1c0bfef5b4ada8ca1e9cbe17(CA)
c8e8248940830e9f1dc600c189640e91c40f95caae4f3187fb04427980cdc479(DoctorWeb)
97010f4c9ec0c01b8048dbad5f0c382a9269e22080ccd6f3f1d07e4909fac1a5(F-PROT)
aa0ad154f949a518cc2be8a588d5e3523488c20c23b8eb8fafb7d8c34fa87145 (F-Secure)
333e0a1e27815d0ceee55c473fe3dc93d56c63e3bee2b3b4aee8eed6d70191a3 (G)
d4634c9d57c06983e1d2d6dc92e74e6103c132a97f8dc3e7158fa89420647ec3(InternetSecurity)
977781971f7998ff4dbe47f3e1d679f1941b3237d0ba0fdca90178a15aec1f52(Jiangmin)
f1761a5e3856dceb3e14d4555af92d3d1ac47604841f69fc72328b53ab45ca56(Kaspersky)
a48be88bed64eff941be52590c07045b896bc3e87e7cf62985651bbc8484f945 (McAfee)
2bc42b202817bdab7d49506d291e3d9624ae0069087a8949c8fcb583c73772b1(Norton)
0d21bd52022ca7f7e97109d28d327da1e68cc0bedd9713b2dc2b49d3aa104392(Online)
0d21bd52022ca7f7e97109d28d327da1e68cc0bedd9713b2dc2b49d3aa104392(Online)
f7d9ea7f3980635237d6ea58048057c33a218f2670e0ff45af5f4f670e9aa6f4 (Panda)
522e5549af01c747329d923110c058b7bb7e112816de64bd7919d7b9194fba5b (Rising)
4db3801a45802041baa44334303e0498c2640cd5dfd6892545487bf7c8c9219f(ThreatFire)
9e217716c4e03eee7a7e44590344d37252b0ae75966a7f8c34531cd7bed1aca7 (Trend)
e1625a7f2f6947ea8e9328e66562a8b255bc4d5721d427f943002bb2b9fc5645(VirusBuster)
588730213eb6ace35caadcb651217bfbde3f615d94a9cca41a31ee9fa09b186c(ZoneAlarm)
b39be67ae54b99c5b05fa82a9313606c75bfc8b5c64f29c6037a32bf900926dd ()
a7f9b61169b52926bb364e557a52c07b34c9fbdcd692f249cd27de5f4169e700 ()
1ba035db418ad6acc8e0c173a49d124f3fcc89d0637496954a70e28ec6983ad7 ()

Die identifizierten Hash-Werte entsprechen den Zeichenfolgen bekannter, handelsüblicher Virenschutzprodukte. Der Hash-Wert (G) steht für Software von G DATA. Die genannten Hash-Werte mit den leeren Klammern wurden noch nicht identifiziert.

API-Verschleierung

In beiden Fällen gilt Folgendes:

Beide Schadprogramme nutzen die API-Verschleierung, um die Analyse komplizierter zu machen. Das Ziel ist es, eine API von Microsoft Windows auszuführen, ohne diese konkret zu nennen. In unseren Fällen ist die Vorgehensweise bei beiden Malware-Familien dieselbe: Wenn die Malware eine externe Funktion (aus einer dynamischen Bibliothek) ausführen muss, wird anstelle des Funktionsnamens eine Art „Hash-Wert“ verwendet. Der „Hash-Wert“ wird an eine interne Funktion übergeben. Diese Funktion stellt die Verbindung zwischen dem „Hash-Wert“ und der Adresse der Funktion her. Schließlich wird die entsprechende Adresse ausgeführt. Der einzige Unterschied von EvilBunny und Babar in Bezug auf die API-Verschleierung ist die interne Funktion, die zum Herstellen der Verbindung genutzt wird. Nachfolgend ein Beispiel (bei dem der „Hash-Wert“ 0x46318AD1 lautet):

Fall EvilBunny:

Bei EvilBunny-Samples führt die Malware bei jeder exportierten Funktionsbezeichnung der gewünschten dynamischen Bibliothek eine Art zyklische Redundanzprüfung (CRC) durch. Wenn der „CRC-Wert“ einer Funktionsbezeichnung mit dem „Hash-Wert“ übereinstimmt, weiß die Malware, dass es sich dabei um die auszuführende Funktion handelt. Hier der „CRC-Loop“:

Der Loop kann mit dem folgenden Python-Skript dargestellt werden:

#!/usr/bin/python 
CRC = 0 
function = “CreateProcessW” 
for i in list(function) 
key = rol32 (CRC, 7) 
CRC = ord(i)^key 
print function+”: 0x%08x” % (CRC)

Hier das Ergebnis des Skripts:

CreateProcessW: 0x46318ad1

Der Hexadezimalwert ist derselbe Wert wie in unserem Screenshot, so dass die ausgeführte Funktion CreateProcessW() ist. Mit diesem Skript können wir ganz einfach eine Zuordnungstabelle erstellen, mit der der Hexadezimalwert für jede beliebige Funktion aus der Bibliothek kernel32.dll erzeugt wird:

paul@gdata:~/$ cat API.py
#!/usr/bin/python 
import sys 
import pefile 

def rol32 (num, count): 
    num1 = (num << count) & 0xFFFFFFFF 
    num2 = (num >> (0x20 - count)) & 0xFFFFFFFF 
    return num1 | num2 

pe = pefile.PE(sys.argv[1]) 
for exp in pe.DIRECTORY_ENTRY_EXPORT.symbols:
 cpt = 0 
 for i in list(exp.name): 
  key = rol32(cpt,7) 
  cpt=ord(i)^key 
 print exp.name+": 0x%08x" % (cpt) 

paul@gdata:~/babar$ ./API.py kernel32.dll 
ActivateActCtx: 0x5147f60f 
AddAtomA: 0x1e1865e5 
AddAtomW: 0x1e1865f3 
AddConsoleAliasA: 0x06dc97e5 
AddConsoleAliasW: 0x06dc97f3 
AddLocalAlternateComputerNameA: 0xedbafee8 
AddLocalAlternateComputerNameW: 0xedbafefe 
...

Fall Babar:

Die Malware Babar führt keinerlei „CRC-Prüfung“ in Bezug auf die Funktionsbezeichnung durch. Der Algorithmus ist komplexer. Die zugrundeliegende Philosophie ist jedoch dieselbe: Für jede exportierte Funktionsbezeichnung wendet die Malware einen Algorithmus an, mit dem überprüft wird, ob der berechnete „Hash-Wert“ mit dem gewünschten „Hash-Wert“ übereinstimmt.

Zur Erstellung der Zuordnungstabelle bestand unser Konzept in diesem Fall darin, den Debugger mit Python zu realisieren. Bei unseren Samples ist die Anweisung bei 0x10040930 (CMP ECX, [EAX]) sehr interessant, da ECX den gewünschten „Hash-Wert“, [EAX] den berechneten „Hash-Wert“ der momentan exportierten Funktion und schließlich [EBX] die Bezeichnung der momentan exportierten Funktion enthält. So können wir ein kurzes Python-Skript für den Immunity Debugger erstellen, um diese Werte für jede exportierte Funktionsbezeichnung zu berechnen und die Tabelle zu erstellen:

from immlib import * 
from immutils import * 
def main(args): 
  imm = Debugger() 
  imm.setBreakpoint(0x10040930) 
  imm.run() 
  while True: 
    regs=imm.getRegs() 
    fct = imm.readString(regs['EBX']) 
    value = imm.readMemory(regs['EAX'], 4)[::-1] 
    imm.log(fct+":"+value.encode('hex')) 
    imm.run()

Ergebnis:

AcquireSRWLockExclusive:333bab35 
AcquireSRWLockShared:567cb604 
ActivateActCtx:4e17a661 
AddAtomA:3b9ce8fb 
AddAtomW:236e73a4 
AddConsoleAliasA:42b5c543 
AddConsoleAliasW:e566de2b 
AddDllDirectory:94debd22 
AddIntegrityLabelToBoundaryDescriptor:b4107a12 
AddLocalAlternateComputerNameA:1f6ed911 
…

Falls Sie sich für die vollständigen Zuordnungstabellen interessieren, setzen Sie sich bitte unter der Adresse intelligence@remove-this.gdata.de mit uns in Verbindung.

Extraktion und Analyse der Konfiguration von Babar

Die Konfiguration der Malware ist mit dem AES-Algorithmus verschlüsselt. Der Schlüssel und der Offset, an dem die Konfiguration gespeichert ist, finden sich am Ende der Babar Payloads (der dll-Dateien). Nach der Entschlüsselung können wir die folgenden Inhalte identifizieren. Sie enthalten Informationen über die Befehls- und Kontrollserver sowie die Bezeichnungen bestimmter Prozesse und Dateinamenerweiterungen, die die Malware im Auge behält:

Sample: 5da5079754d975d5b04342abf9d60bd0bae181a0

excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe 
txt, rtf, xls, xlsx, ppt, ppts, doc, docx, pdf, vsd 
skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe 
hxxp://www.alexpetro.com/images/training/courses/bb212/index.php 
hxxp://www.etehadyie.ir/images/public/bb212/index.php

Sample: efbe18eb8a66e4b6289a5c53f22254f76e3a29db:

excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe 
txt, rtf, xls, xlsx, ppt, ppts, doc, docx, pdf, vsd 
skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe 
hxxp://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php 
hxxp://www.gezelimmi.com/wp-includes/misc/bb/index.php

Die erste Zeile enthält Prozesse von Dokumentenanzeigeprogrammen, die zweite Zeile enthält Dateiendungen von Mediendateien und die dritte Zeile enthält Instant-Messaging-Prozesse. Die Nutzung dieser Informationen wird im Kapitel „Spionagefunktionen von Babar“ beschrieben.

Die letzte Zeile enthält die URLs der Befehls- und Kontrollserver. Die nachfolgenden Informationen waren zum Zeitpunkt der Erstellung dieses Artikels verfügbar:

  • www.alexpetro.com
  • Thema der Website: Dienstleistungsunternehmen für Bohrausrüstung (Erdöl und Erdgas) mit Sitz in Ägypten
  • Herkunft des Domain-Anmelders: -
  • Website wird gehostet in: Texas (USA)
  • www.etehadyie.ir (war während der Untersuchung nicht erreichbar)
  • Thema der Website: Haushaltsgeräte (laut Google Übersetzer)
  • Herkunft des Domain-Anmelders: Teheran (Iran)
  • Website wird gehostet in: -
  • www.horizons-tourisme.com
  • Thema der Website: Reisebüro mit Sitz in Algerien
  • Herkunft des Domain-Anmelders: Algier (Algerien)
  • Website wird gehostet in: Ohio (USA)
  • www.gezelimmi.com (war während der Untersuchung nicht erreichbar)
  • Thema der Website: Türkische Website zur Förderung des Tourismus in der Türkei
  • Herkunft des Domain-Anmelders: Merkez (Türkei)
  • Website wird gehostet in: New York (USA)


Wir wissen nicht, ob es sich bei den C&C-Servern um legitime Webseiten handelt, die während der Kampagne gekapert wurden, oder um Server, die speziell für die Angriffe eingerichtet wurden. Folie 23 erwähnt, C&C Nodes „in aller Welt (auch in Kanada, USA, Großbritannien)“ gefunden wurden.

Spionagefunktionen von Babar

Das Fernsteuerungstool weist allgemeine Merkmale auf, z. B. die Ausführung von Code, die Code-Injektion in laufende Prozesse, die Datei-Diebstahl (hier kommen die in der Konfigurationsdatei enthaltenen Erweiterungen ins Spiel). Babar verfügt jedoch noch über zusätzliche Funktionen, z. B. eine Keylogger-Funktion, mit der Tastenanschläge aufgezeichnet werden können. Darüber hinaus bietet das Tool die Möglichkeit, an den Inhalt der Zwischenablage zu gelangen (diese wird häufig dazu genutzt, Passwörter zu speichern, etwa wenn Passwortspeicheranwendungen wie KeePass genutzt werden). Die Daten werden in der Datei %COMMON_APPDATA%\MSI\update.msi gespeichert. Hier zwei Screenshots der Keylogger-API:

 

Die folgende Abbildung zeigt einen Ausschnitt der API zum Abfischen der Zwischenablage:

Babar kann mithilfe der API GdiPlus auch Screenshots des infizierten Desktops anfertigen. Hier ein Ausschnitt aus der API GdiPlus:

Zudem hat Babar, wie alle Elefanten, große Ohren: Die Malware ist in der Lage, Gespräche zu belauschen und diese mithilfe der Bibliotheken dsound und winmm aufzuzeichnen. Wir gehen davon aus, dass die Prozessliste mit Instant-Messaging-Diensten aus der Konfiguration dazu dient, festzustellen, wann die Malware diese Funktion sinnvollerweise aktivieren soll. Der folgende Screenshot zeigt die Nutzung der API wave*, um den Audiostream aufzuzeichnen:

Betrachtet man den Funktionsumfang, lässt sich feststellen, dass diese Malware ein reines Spionage-Tool ist. Ausgehend von den derzeit vorliegenden Informationen beeinträchtigt die Malware den betreffenden Computer nicht. Es handelt sich vielmehr um ein aufwändiges Tool, mit dem infizierte Computer abgehört und Daten von diesen abgeschöpft werden können. Dies führt zu der Annahme, dass mit diesem Tool eher einige wenige, ausgewählte Computer infiziert werden.

Fazit

Nachdem aus der erneut veröffentlichten Präsentation weitere Informationen über die Malware vorliegen, die der Operation SNOWGLOBE zugeschrieben wird, sind sich die Experten von G DATA sicher, dass sie Samples gefunden haben, die mit den Beschreibungen aus dem betreffenden Material übereinstimmen. EvilBunny und Babar entsprechen möglicherweise zwei der drei „Implantate“, die dort als „Snowballs“ und „Snowman“ bezeichnet werden.

Die Mitarbeiter der G DATA SecurityLabs sind davon überzeugt, dass die bei EvilBunny und Babar festgestellten Gemeinsamkeiten zeigen, dass beide Malware-Familien von denselben Entwicklern stammen. Diesen Malware-Familien mit Verbindung zu Zeichentrickfiguren verfügen zum Teil über gemeinsamen Programmcode. Die Analysen zeigen, dass es sich bei den identifizierten Samples um aktualisierte Versionen der Malware handelt, die CSEC in der Präsentation beschreibt. Dies könnte ein Grund dafür sein, dass bestimmte, von CSEC erwähnte Merkmale fehlen.

Dennoch sind die Experten leider außerstande, weitere Informationen in Hinblick auf die Herkunft der Malware oder auf die Liste der Opfer zu liefern. Die von CSEC bereitgestellten Informationen stützen sich zum Teil auf Hinweise, die im Code selbst gefunden wurden. Es konnten jedoch keine konkreten Spuren ermittelt werden. Die Vermutung, verantwortlich sei ein „französischer Geheimdienst“, gilt nach wie vor. Es war schon immer schwierig, bei Malware einen bestimmten Urheber zu ermitteln, insbesondere wenn es sich um spezialisierte, professionelle Malware handelt.
Falls hinter dieser Spionage-Software tatsächlich die Regierung eines Staates steht, wird diese wohl nicht als massenhaft verbreitete Malware eingesetzt, sondern nur gegen bestimmte, ausgewählte Ziele aktiviert. Die Hauptfunktionen dieser Malware sind die Datenbeschaffung und das Abhören von Gesprächen.

Auch wenn noch viele Fragen unbeantwortet bleiben, sind die vorliegenden Analysen ein wichtiger Schritt bei der Validierung der durchgesickerten Präsentation.

Die besten Beiträge per Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar