Eine Schadsoftware mit dem Namen „SocketPlayer“ erregte die Aufmerksamkeit einiger Sicherheitsforscher. Einer der G DATA – Analysten machte sich daraufhin an die Aufgabe, einen genaueren Blick auf die Schadsoftware zu werfen.
Warum SocketPlayer ein eher ungewöhnliches Schadprogramm ist, zeigt die Art und Weise, wie es mit seinem Kontrollserver kommuniziert: Die meisten Bankingtrojaner, Backdoors und Keylogger kommunizieren auf einer kommunikativen Einbahnstraße mit ihrem Befehlsgeber. Derjenige, der die Schadsoftware kontrolliert, ist darauf angewiesen, dass sich ein infizierter Rechner in regelmäßigen Abständen selbständig meldet und fragt, ob es neue Befehle gibt. Erst dann ist es möglich, einem infizierten PC Befehle zu erteilen (wie „Erstelle einen Screenshot“). SocketPlayer hingegen nutzt eine Programmbibliothek namens „socket.io“ für diese Kommunikation. Diese Programmbibliothek ist eigentlich für Webanwendungen gedacht, in denen zwei Parteien in Echtzeit und in beide Richtungen kommunizieren müssen. Sprich: der Befehlsgeber kann direkt mit den infizierten PCs interagieren und auch von sich aus eine Verbindung zu seinen Clients herstellen.
Der Vorteil scheint offensichtlich: um einer infizierten Maschine Befehle geben zu können, muss nicht erst gewartet werden, bis der Client eine Verbindung aufbaut. Dennoch ist die Verwendung der socket.io – Bibliothek bei der Erstellung von Schadsoftware absolut unüblich.
Variantenreichtum
Momentan sind zwei Varianten von SocketPlayer bekannt, von denen eine ein bloßer Downloader ist, der Code von einer beliebigen Webseite nachladen und ausführen kann. Die andere Variante, von der es wiederum zwei Formen gibt, ist etwas komplexer und beinhaltet unter Anderem auch Mechanismen, die für die Entdeckung von Sandbox-Systemen konzipiert sind. Merkt die Schadsoftware, dass sie auf einer Sandbox läuft, beendet sie sich sofort, ohne weitere Schritte zu unternehmen. So versuchen Malware-Autoren, ihre Schadsoftware vor einer allzu schnellen Entdeckung und anschließender Analyse zu schützen.
Funktionen
Einmal installiert, wartet SocketPlayer auf Befehle. Die Möglichkeiten reichen hier vom Auskundschaften von Laufwerken über das Erstellen von Screenshots bis hin zum Herunterladen und Ausführen beliebiger Dateien. Weitere Funktionalitäten sind zwar anwählbar, aber noch nicht in der Schadsoftware eingebaut.
Die untersuchte Variante wurde eine Zeitlang über eine indische Webseite verteilt. Wie diese Verbreitung stattfand, ist nicht klar – es kann sein, dass die Seite versucht hat, Besuchern per Drive-by-Download die Datei unterzuschieben. Genauso ist es aber auch denkbar, dass die Seite hier nur als bloßer Datenspeicher diente, auf den von außen verwiesen wurde. In jedem Fall lag die Schaddatei dort, ohne dass der Betreiber dies sofort bemerkt hätte. Mittlerweile ist die Webseite jedoch bereinigt.
Mehr Informationen
Wenn Sie mehr zu den genauen Details von SocketPlayer erfahren möchten, können sie hier die vollständige Analyse herunterladen (Dokument in englischer Sprache - öffnet sich in einem neuen Fenster).
