Itzik Kotler und Amit Klein zeigten während der Hacker-Konferenz Def Con ihren Spacebin getauften Angriff (Beispielcode auf Github). Spacebin macht moderne Antivirensoftware zum Sprungbrett für Datendiebstahl: Mindestens vier Antivirenprodukte – Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017 – sind beziehungsweise waren anfällig für die neue Angriffsmethode.

Insgesamt zehn Cloud-basierte Antivirenprodukte testeten die Forscher, vier davon (grün markiert) waren anfällig für die neuartige Attacke. (Bild: Itzik Kotler und Amit Klein)

Bis auf Kaspersky haben die betroffenen Hersteller die Lücken bereits geschlossen. Kaspersky empfiehlt seinen Kunden, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Die Schutzwirkung sei dadurch nicht beeinträchtigt.

Beschränkt kommunikationsfähig

Die Funktion zum Scannen der fraglichen Dateien in der Cloud ist es, die beim Ausschleusen der Daten hilft. Die Forscher nahmen für ihre Attacke zwei Szenarien an, wie sie typisch sind für besonders gesicherte Umgebungen. In einem kann das betroffene Endgerät nur Updates für Windows und die Antivirensoftware aus dem Internet ziehen, hat sonst aber keinerlei Zugriff auf das Web. Im zweiten Szenario findet noch nicht einmal das statt, die Maschine kann nur auf interne Update- und Antiviren-Management-Server zugreifen.

Damit der Angriff funktioniert, muss die von den Forschern zu Demozwecken geschriebene und Rocket getaufte Malware-Komponente im ersten Schritt auf einen dieser Rechner geschleust werden. Beispielsweise per USB-Stick. Anschließend beginnt ein mehrstufiger Prozess: Rocket sammelt die zu stehlenden Daten im Netzwerk ein und legt sie in der in ihr schlummernden "Satellite"-Komponente ab. Der Satellit hat hierfür einen zuvor reservierten Puffer.

Anschließend kompiliert die Rakete den Programmcode des Satelliten samt gestohlener Daten, gliedert die ausführbare Datei aus und schiebt sie samt der EICAR-Testdatei in den Windows-Autostart-Ordner. Ablageort und EICAR-Datei sollen garantieren, dass die Antivirensoftware (AV-Software) auf jeden Fall Alarm schlägt und auf die Malware aufmerksam wird.

Auch Virustotal betroffen

Anschließend lädt die AV-Software den Satelliten zur Analyse in die Sandbox in der Cloud. Dort führen die Virenwächter den Code zur Analyse aus, wodurch der Satellit den letzten Teil des Angriffs startet: Da die Cloud-Umgebungen der Malware Internetzugriff erlauben, kann der Schädling die Daten auf verschiedenen Arten an die Hintermänner der Attacke weiterleiten. ESET beispielsweise erlaubt der Malware keine Kommunikation per http -aber per DNS. In diesem Fall enkodiert der Satellit die auszuschleusenden Daten mit Base64 und packt diese als Subdomäne in eine DNS-Anfrage. Die angefragte Domäne steht unter Kontrolle des Angreifers, so dass dieser pro DNS-Anfrage zumindest einige hundert Bytes empfangen kann.

Laut den Forschern ist auch das von Google betriebenen Virustotal anfällig. Lädt ein Administrator eine fragliche Datei von Hand zu Virustotal hoch, hilft er Datendieben damit bei ihrem Job. Auch Virustotal will laut Kotler und Klein den Internetzugriff der Sandbox, der auf verschiedensten Ports erlaubt ist, nicht einschränken. (axv)