Zscaler deckt HydroJiin-Kampagne auf, die SSL-verschlüsselten Datenstrom zur Verbreitung einsetzt

Zscaler-Logo-Blue-CMYK-15Jun2015

Die Sicherheitsforscher des ThreatLabZ-Teams deckten unlängst eine Malware-Kampagne auf, an der mehrere Infostealer-RAT-Familien und Kryptominer beteiligt sind und vergaben den Namen HydroJiin. Diese Kampagne treibt seit September 2020 ihr Unwesen unter Ausnutzung des verschlüsselten SSL-Datenverkehrs, um den Schadcode vor der Entdeckung durch traditionelle Sicherheitslösungen zu verstecken und hat dadurch einigen Erfolg. Diese großangelegte Kampagne nutzt eine Vielzahl von Infektionsvektoren, von handelsüblichen RATs bis hin zu benutzerdefinierter Malware, E-Mail-Spam, als geknackte Software getarnte Backdoor-Programme und andere Köder.

HydroJiin präsentiert sich als äußerst verschachtelte Kampagne. Eine mehrstufige Infektionskette ausgehend von einer Quell-Webseite leitet von einer Payloads zur nächsten weiter, wie die Grafik verdeutlicht. Zu den einzigartigen analysierten Aspekten dieser Kampagne zählt unter anderem, , dass benutzerdefinierte Python-basierte Backdoors  zusammen mit anderen Remote Access Trojanern, wie Netwired und Quasar zum Einsatz kommen. Ein Python Backdoor Befehl für MacOS weist auf die zukünftige Möglichkeit weiterer plattformübergreifender Funktionalität hin. Dazu wird ähnlich wie bei CobianRAT auf die Möglichkeit weiterer Backdoors gesetzt und setzt stark auf Pastebin, um verschlüsselte Payloads zu Hosten. Die Kampagne steht in Verbindung mit einem Bedrohungsakteur, der auch an der Verbreitung mehrerer bösartiger Tools über eine spezielle Malware-E-Commerce-Website beteiligt ist.

Abbildung 1: Infektionskette der HydroJiin-Kampagne (Quelle: Zscaler 2021)

Eine Infektion beginnt mit der Zustellung eines Downloaders, der mehrere Payloads herunterlädt. Wahrscheinlich werden diese Downloader per Spam-E-Mail und geknackter Software initiiert, wie bei früheren Kampagnen bereits zu beobachten war. Sobald die Angreifer eine erste Kompromittierung erreicht haben, lädt der Downloader drei weitere Dateien nach. Dabei wird ein Injector als Loader verwendet, um heruntergeladene Payloads in legitime Prozesse zu injizieren. Nachgeladen wird der bekannte Remote Access Trojaner Netwired, der dazu dient, das infizierte System zu kontrollieren und Informationen zu stehlen. Zusätzlich kommt verdeckter Meterpreter-basierter Shellcode zum Herunterladen weiterer Payloads zum Einsatz. Eine Pyrome-Python-Backdoor wird von diesem Shellcode heruntergeladen, die im Nachgang auch socat und xmrig miner laden, und schließlich lädt xmrig miner einen weiteren Remote Access Trojaner namens Quasar herunter.

Notwendigkeit des Durchleuchtens von SSL-Traffic

Die Download-Statistiken der Malware-Payloads aus Pastebin zeigen, dass der Malware-Akteur mit diesem Modell Erfolg hat. Der Malware-Akteur ist beharrlich in seinen Bemühungen, immer mehr verschiedene Tools, Techniken und Methoden einzusetzen, um seine Erfolgschancen zu erhöhen. Durch die verschlüsselten Elemente operiert die Angriffskette im Verborgenen und verdeutlich das Gefahrenpotenzial, dass von SSL-Datenverkehr einhergeht, der nicht auf Malware untersucht wird.

Bedrohungen im gesamten SSL-Datenverkehr lassen sich mit einer leistungsfähigen Cloud-nativen, proxy-basierten Architektur aufspüren, die den gesamten Datenverkehr jedes Users kontinuierlich und inline auf Schadcode untersucht Unbekannte Angriffe werden in Quarantäne geschickt und Patient-Zero Malware kann mithilfe KI-gesteuerter Quarantäne gestoppt werden, die verdächtige Inhalte zur Analyse zurückhält.

Die Kampagne ist ein Beleg dafür, wie wichtig eine kontinuierliche SSL-Prüfung in Verbindung mit Zero Trust-Richtlinien sind, um eine anfängliche Kompromittierung sowie die Kommunikation zurück zu C&C-Servern zu unterbinden. HydroJiin verwendet eine Reihe verschiedener Techniken, um die Chancen auf eine erfolgreiche Infiltration von Unternehmen zu erhöhen, die keine angemessenen Vorsichtsmaßnahmen ergreifen.

Gegen das Scannen des SSL-Verkehrs gibt es allerdings nach wie vor zahlreiche Vorbehalte und Missverständnisse. Datenschutzrechtliche Bedenken hinsichtlich der Anonymität oder Bedenken seitens der IT-Abteilung, dass dieses vollumfängliche Scannen zu Ressourcen- und damit Kostentreibend ist stehen dabei im Vordergrund. Diese Bedenken sind angesichts der Gefahrenlage hinfällig und lassen sich zudem durch Aufklärungsarbeit hinsichtlich der Funktionsweise technischer Lösungen zum SSL-Scanning leicht ausräumen, um dem Gefahrenpotenzial erfolgreich zu begegnen.

Mehr zu den technischen Details erfahren Sie hier: https://www.zscaler.com/blogs/security-research/look-hydrojiin-campaign