Neue Backdoor auf Basis von durchgesickerter NSA-Malware entwickelt

Sean Dillon, Sicherheitsforscher bei RickSense, hat eine SMBdoor genannte Schadsoftware für Windows entwickelt. Vorlage für die Backdoor waren die Malware-Implantate DoublePulsar und DarkPulsar des US-Auslandsgeheimdiensts NSA, die durch die Hackergruppe The Shadow Brokers öffentlich gemacht wurden.

Bei SMBdoor handelt es sich um einen Proof-of-Concept für einen Windows-Kernel-Treiber, der nicht dokumentierte Programmierschnittstellen im Prozess srvnet.sys. Das erlaubt es der Malware, legitime SMB-Verbindungen aufzubauen. Da sie dafür weder lokale Sockets noch offene Ports oder vorhandene Funktionen benötigt, ist sie auch in der Lage, der Erkennung durch einige Antivirensysteme zu entgehen.

Im Interview mit ZDNet USA betonte der Forscher, dass sein Beispielcode nicht auf GitHub zur Verfügung steht. Zudem unterliege sein Angriff einigen Einschränkungen, weswegen es auch eher eine wissenschaftliche Untersuchung sei. „Aber ich dachte, dass es für andere interessant sein könnte und dass Antivirenprodukte es erkennen sollten.“

Einer Weiterentwicklung zu einer praktisch einsetzbaren Malware stehen unter anderem in Windows enthaltene Schutzfunktionen im Wege, die das Ausführen von nicht signiertem Kernel-Code blockieren. Seine Methode sei aber für Angreifer interessant, denen es vor allem darum gehe, unentdeckt zu bleiben.

„Genauso wie DoublePulsar versteckt sich dieses Implantat in einem esoterischen Bereich des Systems“, ergänzte Dillon. Das Abhören über einen bereits angebundenen Port, ohne das jedoch ein Socket benutzt werde, sei eine bisher wenig gebräuchliche Angriffsmethode.

Der Forscher hofft, dass seine Forschung zu SMBdoor die Anbieter von Sicherheitssoftware dazu bringt, ihre Techniken zur Malware-Erkennung zu verbessern. Es gehe darum, Nutzer mehr Schutz vor Schädlingen wie SMBdoor und auch DoublePulsar und DarkPulsar zu bieten.

Dillon beschäftigt sich schon länger mit der durchgesickerten NSA-Malware. Unter anderem gelang es ihm, den SMB-Exploit EternalBlue, der unter anderem von der Ransomware WannaCry und NotPetya benutzt wurde, auf aktuelle Versionen von Windows 10 zu portieren.