Ein ungewöhnliches Angriffswerkzeug hat die Aufmerksamkeit und Neugier von G DATA-Analyst Hendrik Eckardt geweckt. Das entdeckte RAT (Remote Access Tool) ist anscheinend auf Netzwerke ausgelegt, in denen Verantwortliche besonders genau hinschauen.
Die CSharp-Streamer getaufte Schadsoftware fällt als erstes dadurch auf, dass die Installation mittels eines stark obfuskierten Powershell-Skripts erfolgt. Diese Obfuskierung rückgängig zu machen, um überhaupt herauszufinden, was das Skript tut, ist überaus mühsam, wenngleich möglich.
Bewährt
Unter der Haube geht es allerdings recht ungezwungen zu – dort gibt es nicht nur keine Obfuskierung, sondern die Software offenbart sofort, woran man ist. Ganz neu ist die Schadsoftware auch nicht , auch wenn zu ihr bisher nur wenige Publikationen existieren. CSharp-streamer wurde das erste Mal 2021 „in freier Wildbahn“ gesichtet und hat sich seitdem nicht wesentlich verändert.
Es findet sich ein Sammelsurium verschiedener Tools, die allesamt frei verfügbar sind (etwa auf Github). Von Keyloggern über eine Variante Mimikatz bis hin zu Injektions-Tools für DLL-Dateien ist vieles dabei. Der Funktionsumfang geht über den anderer RATs hinaus: Neben einem Keylogger ist auch ein Tool vorhanden, das direkt über eine entsprechende API Dateien auf einen Filehosting-Dienst (in diesem Fall „MEGA“) hochladen kann.
Gezielt
Das Werkzeug ist offensichtlich darauf ausgelegt, das Ausrollen von Ransomware vorzubereiten. Die dafür wichtigsten Funktionen – das Stehlen von Zugangsdaten, die Ausforschung des Netzwerkes zur lateralen Ausbreitung sowie das Abgreifen von Informationen – sind vorhanden. Sprich: alle Mittel für die inzwischen schon fast klassische Double Extortion bring csharp-streamer mit. Sollten betroffene Unternehmen kein Lösegeld für die Entschlüsselung zahlen, drohen die Täter mit Veröffentlichung der erbeuteten Daten im Internet. Dass Tätergruppen diese Drohungen in den meisten Fällen wahr machen, ist mittlerweile bekannt.
Versteckt
Eine Besonderheit ist eine der Optionen die csharp-streamer für die Kommunikation benutzt. Neben den „normalen“ Wegen über TCP-Pakete besitzt csharp-streamer auch eine Option, um die eigene Kommunikation in ICMP-Datenpaketen zu verpacken. Diese Option kommt dann zum Einsatz, wenn andere Kommunikationsprotokolle nicht an einer Firewall vorbei kommen. Das ist zwar nicht komplett unüblich, aber dennoch ungewöhnlich. Hintergrund dieser Taktik: ICMP-Traffic wird in vielen Netzwerken nicht geprüft und fliegen somit „unter dem Radar“. Das macht die Kommunikation insgesamt resistenter gegenüber restriktiven Firewall-Konfigurationen. Eine solche restriktive Kontrolle durch Firewalls ist in den meisten kleineren Netzwerken nicht üblich, was den Schluss nahelegt, das csharp-streamer für den Einsatz in größeren Unternehmensnetzwerken ausgelegt ist, in denen es mehr Einschränkungen durch Firewalls gibt.
„The REvil that men do “
Untermauert wird dies durch die Tatsache, dass die Angreifergruppe gewisse Verbindungen zur berüchtigten REvil-Gruppierung hat, die sich zumindest offiziell aufgelöst hat – beziehungsweise durch Verhaftungen aufgelöst wurde. Jene Gruppierung hat in der Vergangenheit bereits durch spektakuläre Angriffe etwa auf Kaseya Schlagzeilen gemacht. Eine Vermutung ist, dass einzelne Personen oder ganze Teams, die ursprünglich für REvil tätig waren, in diese Gruppierung gewechselt sind. Denn auch in der Unterwelt dreht sich bisweilen das Personalkarussell.
Alle technischen Details zu csharp-streamer finden sich in der Analyse auf dem Blog von G DATA Advanced Analytics unter cyber.wtf (Artikel in englischer Sprache; Link öffnet sich in einem neuen Fenster).
Tim Berghoff
Security Evangelist