infoguard-cyber-security-alert

[Alert] InfoGuard CSIRT warnt vor infizierten USB-Sticks

Zurück in die Zukunft: In den letzten Wochen hat das InfoGuard Cyber Defence Center zusammen mit dem Incident-Response-Team verschiedene Fälle von kritischen Infektionen untersucht, die über infizierte USB-Sticks ausgelöst wurden. Obwohl USB-Malware oder USB-Würmer schon seit Jahren bekannt sind und durch das Ausschalten der AutoPlay-Funktionalität eine gewisse Entschärfung stattgefunden hat, haben Cyber-Kriminelle wiederum Wege gefunden, die Benutzer zum Ausführen von bösartigem Code auf dem USB-Stick zu bewegen.

Eine Malware-Familie sticht dabei aus der Familie der USB-Schädlinge besonders heraus: die von der amerikanischen Cyber-Security-Firma Red Canary getaufte Malware namens «Raspberry Robin». Raspberry Robin wurde im Mai 2022 das erste Mal in einem Blogpost von Red Canary vorgestellt und hat sich innerhalb eines halben Jahres von einem klassischen USB-Wurm zu einer ernsthaften Bedrohung für Firmennetzwerke entwickelt.(1)

Der Fuss in der Türe

Die initiale Infektion findet über Shortcut-Dateien auf dem USB-Stick statt (.LNK Dateien), die von den ahnungslosen Benutzern angeklickt werden. Nach dem Doppelklicken der Verknüpfung(en) wird durch das legitime Microsoft-Programm «msiexec» ein bösartiges MSI-Paket aus dem Internet heruntergeladen und auf dem Host installiert, was zu einer Kompromittierung des Rechners führt.

Als Teil der Infektionskette wird eine Persistenz eingerichtet, also dass der bösartige Code auch nach einem Neustart des Rechners wieder gestartet würde. In der Folge macht der infizierte Rechner periodische Abfragen zu Command & Control Servern, um neue Befehle abzuholen und ggf. weiteren Code auf dem Rechner auszuführen.

Level Up

Nach der initialen Infektion kann unter Umständen weiterer Code nachgeladen werden. Das InfoGuard Cyber Defence Center entdeckte diverse Fälle, in denen eine bösartige DLL auf den infizierten Systemen ausgeführt wurde. Gemäss der detaillierten Analyse von Microsoft ist diese DLL für die Erstellung von weiteren Verknüpfungen auf den eingesteckten USB-Sticks verantwortlich, was dem Wurm für die Weiterverbreitung dient und so unter Umständen weitere Rechner in einem Firmennetzwerk infizieren kann.(2)

Die Angreifer können aber über die bereits installierten Vektoren auf dem infizierten Host beliebigen weiteren Code nachladen. In den von InfoGuard untersuchten Fällen wurde der bekannte Trojaner «Agent Tesla» versucht herunterzuladen, der es einem Angreifer ermöglichen würde, einen detaillierten und gezielten Angriff gegen das interne Netzwerk vorzunehmen, indem der infizierte Computer betrieben wird.

Aufgrund dem Nachladen von beliebigem Code, was schlussendlich zu einem «Hands-On»-Angriff führt – also dem orchestrierten Angriff durch einen Menschen –, wird vermutet, dass die Drahtzieher hinter Raspberry Robin ihre initialen Zugänge in Netzwerke an beliebige andere Gruppierungen verkaufen. Genau dieses Nachladen von weiterem Code ist eine hochriskante Aktion, die schnell zu einer vollständigen Kompromittierung vom Netzwerk führen könnte.

Empfehlungen vom InfoGuard CSIRT

  • Endpoint Detection & Response-Lösungen, die vom InfoGuard Cyber Defence Center für den Schutz von Hunderten von Netzwerken verwendet werden, sind in der Lage, diverse Schritte der Infektionskette von Raspberry Robin zu erkennen und ggf. sogar zu verhindern.
  • Mitarbeitende sollten informiert und geschult werden, dass nur firmeneigene USB-Sticks verwendet werden dürfen. Der Einsatz von privaten USB-Sticks ist verboten, um nicht schon infizierte USB-Sticks in das Firmennetz zu bringen.
  • Anti-Virus-Alarme, die in Zusammenhang mit einem USB-Stick stehen, sollten mit hoher Priorität analysiert werden, auch wenn gerade USB-Würmer schon seit Jahren bekannt sind und sich unter Umständen eine gewisse «Alert Fatigue» entwickelt hat.
  • Unternehmen sollten prüfen, ob das AutoPlay-Feature, das für das automatische Starten von Dateien nach dem Einstecken von USB-Sticks verantwortlich ist, wirklich deaktiviert ist.(3)(4)

Ein gezieltes Hunting nach Raspberry Robin kann durch die Spezialist*innen der InfoGuard bei Bedarf durchgeführt werden. Kontaktieren Sie uns für eine Besprechung der nächsten Schritte.

Jetzt Kontakt aufnehmen

 

1) https://redcanary.com/blog/raspberry-robin/

2) https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

3) https://learn.microsoft.com/en-gb/windows/win32/shell/autoplay-reg#using-the-registry-to-disable-autorun

4) https://www.stigviewer.com/stig/windows_server_2016/2019-07-09/finding/V-73547

<< >>

Cyberrisiken , CSIRT

Stephan Berger
Über den Autor / Stephan Berger

InfoGuard AG - Stephan Berger, Head of Investigations

Weitere Artikel von Stephan Berger


Ähnliche Artikel
Advent, Advent, die Schule «brennt»! [Teil 1]
Advent, Advent, die Schule «brennt»! [Teil 1]

Sehr geehrte Leser*innen. Wie jedes Jahr im Advent, besinnen wir – die InfoGuard als verlässlicher [...]
Advent, Advent, die Schule «brennt»! [Teil 2]
Advent, Advent, die Schule «brennt»! [Teil 2]

Im ersten Teil unserer dreiteiligen Adventsstory haben wir erfahren, dass die Schule Winterstadt Opfer einer [...]
Mit DNS Cyber-Angriffe an vorderster Front abwehren
Mit DNS Cyber-Angriffe an vorderster Front abwehren

Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essenziell für die Kommunikation [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
Neuer Call-to-Action