Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


White Hat Hacker hilft Cyberkriminellen unfreiwillig

Windows Benutzerdaten sind sehr wertvoll, besonders wenn es darum geht, ein Unternehmen anzugreifen: Das Ausspähen des Computers eines Mitarbeiters ist eine Sache. Ist man jedoch in der Lage, sich als dieser Mitarbeiter auszugeben und sämtliche Berechtigungen dieses Mitarbeiters im Unternehmensnetzwerk zu nutzen, stellt dies eine ganz andere, weit gefährlichere Bedrohung dar! Ein ganz neues Tool, das ursprünglich für legale Penetrationstests entwickelt wurde, kann auf recht einfache Weise für Angriffe gegen Unternehmen missbraucht werden.

 

Der israelische White-Hat-Hacker, der das Tool entwickelt hat, stellt klar, dass das von ihm bereitgestellte Tool nicht für gesetzeswidrige Handlungen konzipiert wurde! Doch eine solche Warnung reicht im Allgemeinen nicht aus, um Angreifer davon abzuhalten, zu Sicherheitszwecken – wie etwa für Penetrationstests – entwickelte Software missbräuchlich zu nutzen.

 

Die Datei, die zum Ausspähen der Benutzerdaten von Windows Accounts verwendet wird, kann nur lokal auf einem Computer genutzt werden. Sie eignet sich hervorragend für den Einsatz in Domänen-Netzwerkumgebungen, wie sie normalerweise in Unternehmen verwendet werden. Doch auch Privatnutzer und deren Heimcomputer laufen Gefahr, dass ihre Windows Benutzerdaten ausgespäht werden. Etwaige Angreifer können den Hostnamen des Computers statt der Windows Domäne als angeforderten Kontakt festlegen.

 

Für die lokale Ausführung der Datei benötigen die Angreifer Zugriff auf den angeschlossenen PC, z. B. über eine legitime oder heimlich installierte Fernwartungssoftware (RAT). Aus diesem Grund wird ein derartiger Angriff auch als „Post-Exploitation-Tool“ bezeichnet.

 

Die Produkte von G Data erkennen die oben beschriebene Bedrohung als „Win32.Trojan-Stealer.KeyLogger.A“.Wenn der Angreifer die Datei ausführt, zeigt diese ein Anmeldefenster an, in dem der Anwender aufgefordert wird, seine Benutzerdaten für die gewählte Domäne einzugeben. Die derzeitig eingesetzte Datei kann das Windows Anmeldefenster unabhängig von der eingestellten Systemsprache nur in englischer Sprache anzeigen!

 

Alle eingegebenen Benutzerdaten aus allen Anmeldeversuchen werden in einer .txt-Datei im temp-Ordner des infizierten Anwenders gespeichert. Das Anmeldefenster wird immer wieder angezeigt, bis die korrekten Benutzerdaten eingegeben werden. Die Datei nutzt alle eingegebenen Benutzerdatenkombinationen für die Anmeldung am Domain Controller, und weiß deshalb, welche Benutzerdaten korrekt sind und welche nicht.Sobald die korrekten Benutzerdaten eingegeben wurden, hat die Datei die Authentifizierung am Domain-Control-Server erfolgreich überprüft und die Passwortdaten im Klartext in der genannten .txt-Datei gespeichert.

 

Es gibt für den menschlichen Anwender nur begrenzte Möglichkeiten, diese Bedrohung zu erkennen. In vielen Unternehmen ist es nichts Ungewöhnliches, Windows Benutzerdaten für den Zugriff auf bestimmte Netzwerkressourcen eingeben zu müssen. Je nach den Einstellungen des Administrators werden solche Aufforderungen im Laufe des normalen Arbeitstages mehr oder weniger häufig angezeigt.

Zurück