SchwarzEnergie - BlackEnergy
BlackEnergy Malware wurde erstmals 2007 als HTTP-basiertes Toolkit gemeldet, das Bots generierte, um verteilte Denial-of-Service- Angriffe auszuführen . Im Jahr 2010 entstand BlackEnergy 2 mit Fähigkeiten, die über DDoS hinausgehen. Im Jahr 2014 wurde BlackEnergy 3 mit einer Vielzahl von Plug-Ins ausgestattet . Einer in Russland ansässigen Gruppe namens Sandworm (auch bekannt als Voodoo Bear) wird die Verwendung gezielter BlackEnergy-Angriffe zugeschrieben. Der Angriff wird über ein Word-Dokument oder einen PowerPoint-Anhang in einer E-Mail verteilt und lockt die Opfer dazu, auf die scheinbar legitime Datei zu klicken.
SchwarzEnergie 1 (BE1)
Der Code von BlackEnergy ermöglicht verschiedene Angriffsarten, um Zielmaschinen zu infizieren. Es ist auch mit serverseitigen Skripten ausgestattet, die die Täter auf dem C & C-Server ( Command and Control ) entwickeln können. Cyberkriminelle verwenden das BlackEnergy-Bot-Builder-Toolkit, um benutzerdefinierte ausführbare Bot-Client-Dateien zu generieren, die dann über E-Mail-Spam und Phishing- E-Mail-Kampagnen an Ziele verteilt werden . BE1 fehlen die Exploit-Funktionalitäten und ist auf externe Tools angewiesen, um den Bot zu laden. BlackEnergy kann anhand der YARA- Signaturen des US-Heimatschutzministeriums (DHS) erkannt werden .
Hauptmerkmale
• kann auf mehr als eine IP-Adresse pro Hostname abzielen
• verfügt über eine Laufzeitverschlüsselung, um der Erkennung durch Antivirensoftware zu entgehen
• versteckt seine Prozesse in einem Systemtreiber (syssrv.sys)
Befehlstypen
• DDoS-Angriffsbefehle (z. B. ICMP-Flood, TCP-SYN-Flood, UDP-Flood, HTTP-Get-Flood, DNS-Flood usw.)
• Befehle herunterladen, um neue oder aktualisierte ausführbare Dateien von seinem Server abzurufen und zu starten
• Steuerbefehle (zB stoppen, warten oder sterben)
SchwarzEnergie 2 (BE2)
BlackEnergy 2 verwendet ausgefeilte Rootkits / Prozess-Injektionstechniken, robuste Verschlüsselung und eine modulare Architektur als „Dropper“ bekannt. Dadurch wird die Rootkit-Treiber-Binärdatei entschlüsselt und dekomprimiert und auf dem Opfercomputer als Server mit einem zufällig generierten Namen installiert. Als Update auf BlackEnergy 1 kombiniert es älteren Rootkit-Quellcode mit neuen Funktionen zum Entpacken und Einschleusen von Modulen in Benutzerprozesse. Gepackter Inhalt wird mit dem LZ77- Algorithmus komprimiert und mit einer modifizierten Version der RC4- Chiffre verschlüsselt. Ein hartcodierter 128-Bit-Schlüssel entschlüsselt eingebettete Inhalte. Zum Entschlüsseln des Netzwerkverkehrs verwendet die Chiffre die eindeutige Identifikationszeichenfolge des Bots als Schlüssel. Eine zweite Variation des Verschlüsselungs-/Kompressionsschemas fügt der modifizierten RC4-Chiffre einen Initialisierungsvektor für zusätzlichen Schutz im Dropper- und Rootkit-Entpack-Stub hinzu, wird jedoch weder im inneren Rootkit noch in den Userspace-Modulen verwendet. Die primäre Modifikation der RC4-Implementierung in BlackEnergy 2 liegt im Key-Scheduling-Algorithmus.
Fähigkeiten
• kann lokale Dateien ausführen
• kann entfernte Dateien herunterladen und ausführen
• aktualisiert sich selbst und seine Plugins mit Befehls- und Kontrollservern
• kann Würfel- oder Zerstörungsbefehle ausführen
SchwarzEnergie 3 (BE3)
Die neueste Vollversion von BlackEnergy erschien 2014. Die Änderungen haben den Malware-Code vereinfacht: Dieser Versions-Installer legt die Hauptkomponente der Dynamicly Linked Library (DLL) direkt im lokalen Anwendungsdatenordner ab. Diese Variante der Malware war an dem Cyberangriff auf das Stromnetz der Ukraine im Dezember 2015 beteiligt .
Plugins
• FS.DLL - Dateisystemoperationen
• si.dll – Systeminformationen, „BlackEnergy Lite“
• jn.dll — Parasitärer Infektor
• ki.dll – Protokollierung von Tastenanschlägen
• ps.dll – Passwortdiebstahl
• ss.dll — Screenshots
• vs.dll – Netzwerkerkennung, Remote-Ausführung
• tv.dll – Team-Viewer
• rd.dll — Einfacher Pseudo-"Remote-Desktop"
• up.dll – Malware aktualisieren
• dc.dll – Windows-Konten auflisten
• bs.dll — Abfrage von Systemhardware, BIOS und Windows-Info
• dstr.dll — System zerstören
• scan.dll - Netzwerkscan