Little Snitch: Schwarzkopie beinhaltet Erpresser-Software EvilQuest

Ghandy · 1. Juli 2020 um 09:39

Kommentare zu folgendem Beitrag: Little Snitch: Schwarzkopie beinhaltet Erpresser-Software EvilQuest

Capt.Proton · 1. Juli 2020 um 11:52

von objective see gibt es auch einen schädlingsbekämpfer gegen diese schadsoftware…

ich nutze von ihm schon länger KnockKnock

VIP · 2. Juli 2020 um 10:04

Im Übrigen gab es wohl eine Namensänderung bei der eingesetzten Ransomware von „EvilQuest“ in den neuen Namen „OSX.ThiefQuest“

Hier einmal ein Bericht eines Sicherheitsforschers von Malwarebytes, der versucht hatte, diese Infektion live nachzustellen!!

Die Analyse dieses Installationsprogramms zeigte, dass hier definitiv etwas Seltsames vor sich ging. Zunächst einmal ist das legitime Little-Snitch-Installationsprogramm attraktiv und professionell verpackt, mit einem gut gemachten, maßgeschneiderten Installationsprogramm, das ordnungsgemäß code-signiert ist. Dieses Installationsprogramm war jedoch ein einfaches Apple-Installationspaket mit einem generischen Symbol. Schlimmer noch, das Installationsprogrammpaket wurde sinnlos in einer Disk-Image-Datei verteilt.

Die Untersuchung dieses Installationsprogramms ergab, dass es die, wie sich herausstellte, legitimen Little Snitch-Installations- und Deinstallationsprogramme sowie eine ausführbare Datei namens „patch“ in das Verzeichnis /Users/Shared/ installieren würde.

Das Installationsprogramm enthielt auch ein Nachinstallationsskript - ein Shell-Skript, das nach Abschluss des Installationsprozesses ausgeführt wird. Es ist normal, dass diese Art von Installationsprogramm vor und/oder nach der Installation Skripte zur Vorbereitung und Bereinigung enthält, aber in diesem Fall wurde das Skript verwendet, um die Malware zu laden und dann das legitime Installationsprogramm von Little Snitch zu starten.

Das Skript verschiebt die Patch-Datei an einen Ort, der mit LittleSnitch in Verbindung zu stehen scheint, und benennt sie in CrashReporter um. Da es einen legitimen Prozess gibt, der Teil des MacOS ist und CrashReporter heißt, fügt sich dieser Name recht gut ein, wenn er im Activity Monitor angezeigt wird. Er entfernt sich dann aus dem Ordner /Users/Shared/ und startet die neue Kopie. Schließlich startet es das Installationsprogramm Little Snitch.

In der Praxis hat dies nicht sehr gut funktioniert. Die Malware wurde installiert, aber der Versuch, das Little Snitch-Installationsprogramm auszuführen, wurde auf unbestimmte Zeit aufgehalten, bis ich es schließlich zum Beenden zwang. Außerdem fing die Malware nicht wirklich an, irgendetwas zu verschlüsseln, obwohl ich sie eine Weile laufen ließ und einige Lockvogeldokumente als willige Opfer in Position brachte.

Während ich darauf wartete, dass die Malware etwas tut - irgendetwas! - fanden weitere Untersuchungen ein zusätzliches bösartiges Installationsprogramm für einige DJ-Software namens Mixed In Key 8 sowie Hinweise darauf, dass es auch ein bösartiges Ableton Live-Installationsprogramm gibt (obwohl ein solches Installationsprogramm noch nicht gefunden wurde). Es gibt zweifellos auch andere Installationsprogramme, die noch nicht gesehen wurden.

Das Mixed-In-Key-Installationsprogramm stellte sich als recht ähnlich heraus, wenn auch mit leicht unterschiedlichen Dateinamen und Nachinstallationsskripten.

Dieses enthielt keinen Code zum Starten eines legitimen Installationsprogramms und legte die Mixed-In-Key-Anwendung einfach direkt in den Programme-Ordner ab.

Nachdem die Infektion durch das Installationsprogramm ausgelöst wurde, begann sich die Malware recht großzügig auf der Festplatte zu verbreiten. Beide Varianten installierten Kopien der Patch-Datei an den folgenden Orten:

/Bibliothek/AppQuest/com.apple.questd
/Benutzer/Benutzer/Bibliothek/AppQuest/com.apple.questd
/privat/var/root/Library/AppQuest/com.apple.questd
Außerdem wurde die Persistenz über Launch Agent und Daemon-Plist-Dateien eingerichtet:

/Bibliothek/LaunchDaemons/com.apple.questd.plist
/Benutzer/Benutzer/Bibliothek/LaunchAgents/com.apple.questd.plist
/privat/var/root/Library/LaunchAgents/com.apple.questd.plist
Letzteres in jeder Gruppe von Dateien, die sich in /private/var/root/ befinden, ist wahrscheinlich auf einen Fehler im Code zurückzuführen, der die Dateien im Benutzerordner erzeugt, was zur Erzeugung der Dateien im Ordner des Root-Benutzers führt. Da es recht selten vorkommt, dass sich jemand tatsächlich als root einloggt, dient dies keinem praktischen Zweck.

Seltsamerweise kopierte sich die Malware auch in die folgenden Dateien:

/Benutzer/Benutzer/Bibliothek/.ak5t3o0X2
/privat/var/root/Bibliothek/.5tAxR3H3Y
Letztere war identisch mit der ursprünglichen Patch-Datei, aber erstere wurde auf sehr seltsame Weise modifiziert. Sie enthielt eine Kopie der Patch-Datei, wobei eine zweite Kopie der Daten aus dieser Datei am Ende angehängt wurde, gefolgt von weiteren 9 Bytes: die hexadezimale Zeichenfolge 03705701 00CEFAAD DE. Es ist noch nicht bekannt, was der Zweck dieser Dateien oder dieser zusätzlich angehängten Daten ist.

Bei diesen Dateien handelt es sich ausschließlich um ausführbare Dateien, die Teil des GoogleSoftwareUpdate sind. Sie werden am häufigsten installiert, da Google Chrome auf dem Rechner installiert ist. Diesen Dateien war der Inhalt der Patch-Datei vorangestellt, was natürlich bedeuten würde, dass der bösartige Code ausgeführt wird, wenn eine dieser Dateien ausgeführt wird. Chrome erkennt jedoch, dass die Dateien geändert wurden, und ersetzt die geänderten Dateien durch saubere Kopien, sobald es ausgeführt wird, so dass unklar ist, was der Zweck dieser Aktion ist.

Die über das Mixed-In-Key-Installationsprogramm installierte Malware war ähnlich zurückhaltend, mit der Verschlüsselung von Dateien für mich zu beginnen. Ich ließ es einige Zeit ohne Ergebnis auf einem echten Rechner laufen und begann dann, mit der Systemuhr zu spielen. Nachdem ich sie drei Tage vorgestellt, die Verbindung zum Netzwerk getrennt und den Computer ein paar Mal neu gestartet hatte, begann sie schließlich mit der Verschlüsselung von Dateien.

Die Malware war jedoch nicht besonders schlau, welche Dateien sie verschlüsselte. Es schien eine Reihe von Einstellungsdateien und andere Datendateien, wie z.B. die Schlüsselbund-Dateien, zu verschlüsseln. Dies führte beim Einloggen nach der Verschlüsselung zu einer Fehlermeldung.

Es gab andere sehr offensichtliche Anzeichen für Fehler, wie z.B. das Zurücksetzen des Docks auf sein Standard-Aussehen.

Auch der Finder zeigte erste Anzeichen von Problemen, wobei bei der Auswahl einer verschlüsselten Datei häufig rotierende Beachballs auftraten. Auch andere Anwendungen frierten periodisch ein, aber das Einfrieren des Finders konnte nur durch gewaltsames Beenden des Finders bewältigt werden.

Obwohl andere berichtet haben, dass eine Datei mit Anweisungen zur Zahlung des Lösegeldes erstellt wird, dass eine Warnmeldung angezeigt wird und dass sogar Text-to-Speech verwendet wird, um den Benutzer darüber zu informieren, dass er mit Lösegeld infiziert wurde, konnte ich nichts davon duplizieren, obwohl ich eine ganze Weile gewartet habe, bis die Lösegeldforderung beendet war.

Die Malware enthält einige Anti-Analyse-Techniken, die in Funktionen namens is_debugging und is_virtual_mchn zu finden sind. Dies ist bei Malware üblich, da ein an den Prozess angehängter Debugger oder die Ausführung in einer virtuellen Maschine beides Anzeichen dafür sind, dass ein Malware-Forscher sie analysiert. In solchen Fällen zeigt Malware in der Regel nicht ihre volle Leistungsfähigkeit.

In einem Blog-Beitrag auf Objective-See erläuterte Patrick Wardle die Einzelheiten der Funktionsweise dieser beiden Routinen. Die Funktion is_virtual_mchn scheint tatsächlich nicht zu prüfen, ob die Malware in einer virtuellen Maschine ausgeführt wird, sondern versucht vielmehr, eine VM abzufangen, während sie die Zeit anpasst. Es ist nicht ungewöhnlich, dass Malware Verzögerungen enthält. Beispielsweise enthielt die allererste Mac-Ransomware, KeRanger, eine dreitägige Verzögerung zwischen dem Zeitpunkt, an dem sie das System infizierte, und dem Beginn der Dateiverschlüsselung. Dies trägt dazu bei, die Quelle der Malware zu verschleiern, da das bösartige Verhalten möglicherweise nicht unmittelbar mit einem drei Tage zuvor installierten Programm in Verbindung gebracht wird.

Dies und die Tatsache, dass die Malware Funktionen mit Namen wie ei_timer_create, ei_timer_start und ei_timer_check enthält, bedeutet wahrscheinlich, dass die Malware mit einer Zeitverzögerung ausgeführt wird, obwohl noch nicht bekannt ist, worin diese Verzögerung besteht.

Patrick weist auch darauf hin, dass die Malware offenbar einen Keylogger enthält, da Aufrufe von CGEventTapCreate, einer Systemroutine, die die Überwachung von Ereignissen wie Tastatureingaben ermöglicht, vorhanden sind. Was die Malware mit dieser Fähigkeit macht, ist nicht bekannt. Sie öffnet auch eine Reverse Shell zu einem Command and Control (C2)-Server.

Es gibt noch eine Reihe offener Fragen, die durch weitere Analysen beantwortet werden sollen. Zum Beispiel: Welche Art von Verschlüsselung verwendet diese Malware? Ist sie sicher, oder wird sie leicht zu knacken sein (wie im Falle der Entschlüsselung von Dateien, die mit der FindZip-Lösungssoftware verschlüsselt wurden)? Wird sie umkehrbar sein, oder wird der Verschlüsselungsschlüssel nie an die Kriminellen dahinter weitergegeben (auch wie FindZip)?

Es gibt noch mehr zu lernen, und wir werden diesen Beitrag aktualisieren, sobald mehr bekannt wird.

Wenn Sie mit dieser Malware infiziert werden, werden Sie sie so schnell wie möglich loswerden wollen. Malwarebytes für Mac wird diese Malware als OSX.ThiefQuest erkennen und entfernen.

Wenn Ihre Dateien verschlüsselt werden, sind wir nicht sicher, wie schlimm die Situation ist. Es hängt von der Verschlüsselung und der Handhabung der Schlüssel ab. Es ist möglich, dass weitere Forschungen zu einer Methode zum Entschlüsseln von Dateien führen könnten, und es ist auch möglich, dass das nicht geschieht.

Der beste Weg, die Folgen von Lösegeldforderungen zu vermeiden, ist ein guter Satz von Backups. Bewahren Sie mindestens zwei Sicherungskopien von allen wichtigen Daten auf, und mindestens eine sollte nicht ständig an Ihrem Mac angeschlossen bleiben. (Ransomware kann versuchen, Backups auf angeschlossenen Laufwerken zu verschlüsseln oder zu beschädigen).

Ich persönlich habe mehrere Festplatten für Backups. Ich verwende Time Machine, um ein paar zu verwalten, und Carbon Copy Cloner, um ein paar weitere zu verwalten. Eine der Sicherungen befindet sich immer im Bankschließfach, und ich tausche sie regelmäßig aus, so dass ich im schlimmsten Fall immer relativ aktuelle Daten an einem sicheren Ort gespeichert habe.

Wenn Sie gute Backups haben, ist Lösegeld keine Bedrohung für Sie. Im schlimmsten Fall können Sie die Festplatte einfach löschen und von einem sauberen Backup wiederherstellen. Außerdem schützen Sie diese Backups auch vor Dingen wie Laufwerksausfall, Diebstahl, Zerstörung Ihres Geräts usw.
(Malwarebytes-Blog)

Indicators of Compromise

Files

patch (and com.apple.questd) 5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b Little Snitch 4.5.2.dmg f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa Mixed In Key 8.dmg b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

Network

C2 server 167.71.237.219 C2 address obtained from andrewka6.pythonanywhere[.]com

VIP · 13. Juli 2020 um 15:00

Eine Sicherheitsfirma hat ein Entschlüsselungs-Tool für eine neu entdeckte Ransomware veröffentlicht, die auf Mac-Nutzer abzielt. Der zwischenzeitlich von EvilQuest in ThiefQuest umbenannte Schädling versucht nach der Installation durch den Nutzer unter anderem, Dateien zu verschlüsseln.

Die Malware wurde offenbar als Bestandteil gecrackter Versionen beliebter Mac-Software wie etwa Little Snitch als Torrent-Datei zum Download feilgeboten.
Die Malware setze nicht auf Public-Key-Verschlüsselungsverfahren, sondern auf eine teils auf der Blockchiffre RC2 basierende Verschlüsselung, schreibt Sentinel Labs. Das Unternehmen sei nach näherer Begutachtung in der Lage gewesen, die Verschlüsselungroutine zu knacken. Ein Kommandozeilen-Tool zur Entschlüsselung wird auf Github bereitgestellt.

Apple hat den in macOS integrierten Malware-Schutz XProtect in neuer Version v2125 um eine Signatur zur Erkennung von ThiefQuest ergänzt, schreibt der Sicherheitsforscher Patrick Wardle, der die Malware ebenfalls analysiert hat. Apple führt diese unter dem Namen „MACOS.6cb9746“, sie sollte das Öffnen der Software unterbinden. XProtect erkenne aber neue Varianten des Schädlings bislang noch nicht, erklärte Wardle.

Die Verschlüsselung von Nutzerdateien sei aber nur ein Element des Schädlings und funktioniere zudem nicht zuverlässig, heißt es von der Sicherheitsfirma Malwarebytes. Auch der beiliegende „Erpresserbrief“ sei untypisch für klassische Ransomware: Der für eine angebliche Entschlüsselung geforderte Betrag von 50 Dollar sei auffällig niedrig und es werde immer dieselbe Bitcoin-Adresse zur Zahlung angegeben, entsprechend könne der Erpresser gar nicht nachvollziehen, wer bezahlt hat – eine Entschlüsselung sei wohl nicht vorgesehen.

Die Malware konzentriere sich stattdessen darauf, möglichst viele Dateien des Nutzers zu extrahieren und diese an einen Server zu übertragen, auch Code für das Mitschneiden der Tastatureingaben sei enthalten. Zudem versuche ThiefQuest, sich in ausführbare Dateien einzunisten und so auf dem System präsent zu bleiben, selbst wenn der Nutzer die ursprünglich installierte Malware entfernt, schreibt Wardle. Betroffene Nutzer sollten deshalb ihr System löschen und komplett neu aufsetzen oder von einem früheren Backup wiederherstellen.

Decrypter-Tool gegen Evilquest / macOS

Luxa · 13. Juli 2020 um 22:21

Klingt auf jeden Fall recht interessant. Was es nicht alles gibt, aber als privater Nutzer muss ich wohl kein Backup in ein Bankschließfach einsperren. Die paar Urlaubsfotos sind es dann doch nicht wert. Vielen Dank für das Teilen des Berichtes ^^

VIP · 14. Juli 2020 um 09:44

Natürlich muß jeder Nutzer selber entscheiden, wie schützenswert seine Daten sind! Wenn es bei dir nur ein paar Fotos sind, die du problemlos verschmerzen könntest, dann ist das halt so!
Mir persönlich würde es allerdings völlig auf den Zeiger gehen, dass andere in dem Augenblick entscheiden, dass ich ein Problem mit meinem Rechner bekomme…
Und da diese spezielle Malware ja darauf aus ist, möglichst viele Benutzerinformationen zu sammeln und diese an Unbekannte zu übertragen, kommt dies einem Einbruch in die Privatsphäre (vergleichbar mit einem Wohnungseinbruch) sehr nahe.
Gerade heutzutage, in Zeiten wo der Rechner als tägliches Werkzeug genutzt wird, um Dinge des Alltags abzuarbeiten, die man vor ein paar Jahren noch „zu Fuß“ erledigt hat, sind das lohnende Angriffsziele geworden! Ich nenne mal nur so Sachen, wie Online-Banking, Kommunikation mit Behörden und Ämtern, Bewerbungen, Digitalisierung persönlicher Dokumente im Allgemeinen etc. pp.
Ob sich nun ein Dieb deine Bankdaten aus dem Aktenordner in deiner Wohnung beschafft, oder diese online abgreift, ändert ja nichts an den Folgen des Diebstahls!

Luxa · 14. Juli 2020 um 09:52

Nein klar, die Privatsphäre ist auf jeden Fall schützenswert. Mein Kommentar zielt eher auf den letzten Abschnitt ab, in dem gesagt wird, dass der Autor ein Backup immer in ein Bankschließfach einschließt, was für einen normalen User für mich mehr Aufwand als Nutzen darstellt.

VIP · 14. Juli 2020 um 10:35

Über Backup-Strategien wurden schon ganze Studiengänge eingeführt an technischen Unis. Wenn aber der Nutzen den Aufwand rechtfertigt, ist so eine Maßnahme goldrichtig!
Im Fall von Autoren und Journalisten, die mit einem Rechner ihren Lebensunterhalt bestreiten, halte ich eine Sicherungsstrategie für unumgänglich - so wie es aussieht hat sich derjenige darüber auch seine Gedanken gemacht.
Eine sehr simple Strategie mit hoher Effizienz, ist die Sicherung nach der 3-2-1 Regel, die dann auch ein Backup für den Banktresor beinhaltet…Beispielsweise:

Die 3 steht für die dreifache Speicherung Ihrer Daten: einmal als Original im Live-System und ergänzend dazu auf zwei alternativen Speichermedien.
Die 2 steht für die Datensicherung auf zwei unterschiedlichen Technologien. Die können beispielsweise eine externe USB-Festplatte, ein Netzwerk-Speicher (NAS – Network Attached Storage), eine Blu-Ray oder ein Cloudspeicher sein.
Die 1 steht für eine Datensicherung außer Haus. Dies kann beispielsweise die Cloud sein oder bei Ihnen in der Firma, oder in einem Bankschließfach.

Hinzu würden dann noch die eigentlichen Formen des Backups kommen, also die Methodik zur Strategie!

Vollständiges Backup. …
Inkrementelles Backup. …
Differentielles Backup. …
Synthetisches vollständiges Backup. …
Ewiges inkrementelles Backup. …
Umgekehrtes inkrementelles Backup.

Wie du siehst, ist der Aufwand von oben noch echt harmlos…

Luxa · 14. Juli 2020 um 10:53

Ja gut. Da ist natürlich was dran. So habe ich das nie gesehen. Mein einziges Backup ist auf einer Externen Festplatte die bei mir Zuhause im abschließbaren Schrank liegt. Ein Backup meines ganzes Systems, was alle 2 Monate erneuert wird.

Wenn man wirklich sein Geld und seine Existenz einem PC anvertrauen muss dann sind solche Maßnahmen natürlich sinnvoll und berechtig.

Vielen Dank für die ausführliche Erklärung dazu. ^^

VIP · 14. Juli 2020 um 13:10

Genau, das ist der Standard. Was dir aber in einem Fall von Diebstahl, Einbruch oder einem Feuer, nicht mehr helfen könnte!! Deshalb auch diese Mehrfach-Strategien für kritische Daten.