Palo Alto Networks hat aktuelle Erkenntnisse zum mysteriösen türkischen Botnet „Filmkan“ gewonnen. Am 31. Januar berichtete der Malware-Experte Mohammad Faghani über eine Malware, die sich über Facebook-Posts verbreitet. Basierend auf der Anzahl der „Likes“ schätzte Faghani, dass sich mehr als 100.000 Nutzer mit der Malware infiziert haben. Da das Forschungszentrum von Palo Alto Networks keinen Namen identifizieren konnte, unter dem diese Malware in Erscheinung tritt, haben die Sicherheitsspezialisten die Bezeichnung „Filmkan“ gewählt, basierend auf den Domains der Command-an-Control-Server, die die Malware nutzt.
„Vieles deutet darauf hin, dass diese Malware von einem türkischen Akteur erstellt wurde. Die Malware enthält viele Kommentare auf Türkisch. Die Domains, die für Command-an-Control-Zwecke genutzt werden, sind durch ein türkisches Unternehmen registriert und die an dem Angriff beteiligten Sozialnetzwerkprofile stammen ebenfalls aus der Türkei“, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Filmkan ist sehr flexibel, wodurch mehr Möglichkeiten als eine einfache Interaktion mit sozialen Netzwerken bestehen. Die Motivation hinter diesem Angriff ist nicht erkennbar, aber dem Autor von Filmkan ist es gelungen, innerhalb kürzester Zeit ein großes Botnet aufzubauen.“
Während der erste Bericht von Faghani nur spärliche Angaben enthielt, folgten am 2. Februar zusätzliche Analysen, die detaillierter auf die Funktionalität der Malware eingehen. Die Analyse-Cloud WildFire von Palo Alto Networks erfasste einige Samples dieser Malware bereits am 22. Januar und hat bis jetzt 44 verschiedene Samples, die dem von Faghani beschriebenen Verhalten entsprechen, gesammelt.
Funktionalität von Filmkan
Die Malware besteht aus vier grundlegenden Komponenten: einem Windows Executable Dropper (basierend auf AutoHotkey), einem wget for Windows Executable, einer schädlichen Google Chrome Extension sowie dynamischem JavaScript-Code, der durch den Server des Angreifers bereitgestellt wird. Die Erstinfektion tritt auf, wenn ein Benutzer auf einen Link in einem Facebook-Post klickt, der vermeintlich zu einem pornografischen Video führt. Nach einigen Sekunden wird in dem Video dem Benutzer mitgeteilt, dass er ein Update für Flash Player benötigt, womit der Executable Dropper zum Einsatz kommt.
Filmkan Dropper
Der Filmkan Dropper nutzt ein Flash-Icon, um den Anschein eines legitimen Updates zu erwecken. Der Autor von Filmkan hat den Dropper mithilfe von AutoHotkey (AHK), ein legitimes Werkzeug zum Programmieren von Windows-Anwendungen mit einer benutzerdefinierten Skriptsprache, erstellt. AHK Scripts sind in Binärdateien kompiliert, die den Script-Code interpretieren, so dass sie zu jedem Windows-System portabel sind. Die AHK Scripts in den Filmkan-Binärdateien enthalten viele Debug Strings, die auf Türkisch geschrieben sind.
Die Scripts haben folgende Funktionen:
- Prüfen, ob Google Chrome auf dem System installiert ist.
- Wenn Google Chrome nicht installiert ist, dieses installieren und eine Verknüpfung auf dem Desktop herstellen.
- Kopieren der Dropper-Binärdatei ins Anwendungsdatenverzeichnis als „Chromium.exe“.
- Aufsetzen eines Run-Key, um Chromium.exe beim Systemstart zu starten.
- Löschen von Dateien mit dem Namen chromenet.exe und Chromium_Launcher.exe (möglicherweise ältere Versionen des Droppers).
- Installieren einer legitimen ausführbaren wget.exe-Datei aus der Binärdatei heraus.
- Überprüfen anhand von drei Command-and-Control-Servern auf aktualisierte ausführbare Dateien.
- Laden und Ersetzen einer aktualisierten ausführbaren Datei.
- Installieren eines bösartigen Chrome-Plug-Ins mit heruntergeladenen Inhalten vom Command-and-Control-Server. Während der Dropper für die Erstinstallation und Aktualisierung selbst verantwortlich ist, ist die restliche Funktionalität in der Filmkan Chrome Extension enthalten.
Filmkan Chrome Extension
Chrome Extensions ermöglichen es Entwicklern, den Google Chrome Browser zu erweitern, in der Regel durch das Hinzufügen neuer Funktionen. Entwickler schreiben Extensions in JavaScript und HTML, die typischerweise in einem Paket enthalten sind, zusammen mit Ressourcen, um die Extension zu betreiben. Der Filmkan Dropper ruft JavaScript mit dem installierten wget.exe-Programm von einem der drei definierten C2-Server ab. Der Dropper speichert diesen JavaScript-Code als „bg.txt“, der im installierten Chrome-Extension-Manifest als „Hintergrund“-Skript definiert ist. Dieses Skript wird ausgeführt, immer wenn der Chrome-Browser auf dem System geöffnet wird. Der Inhalt der bg.txt-Datei kann jederzeit vom Angreifer geändert werden.Die aktuelle Version des Skripts enthält drei Hauptfunktionen.
Die Chrome-Extension schließt jede Registerkarte bestimmter URLs, die der Benutzer öffnen will, womit effektiv verhindert wird, dass der Benutzer die Extension entdecken oder entfernen kann. Die Extension lädt eine Reihe von JSON-Daten aus hxxp://www.filmver.com/ahk/get.js herunter und verwendet diese Daten als eine schwarze Liste, um das Laden bestimmter URLs zu verhindern. Das Blockieren von Antiviren- und sicherheitsrelevanten Domains ist eine gängige Taktik, die Malware-Autoren verwenden, um Benutzer am Entfernen einer Infektion zu hindern. Die dritte Hauptfunktion dieser Extension ist das Herunterladen und Ausführen von JavaScript-Code aus hxxp://www.filmver.com/ahk/user.php. Diese Funktion macht die Filmkan Extension sehr flexibel, so dass der Angreifer das Skript jederzeit ändern kann.
Schutz vor Filmkan
Unternehmen sollten die Domains .com und .net blockieren, um damit zu verhindern, dass Filmkan Updates vom Angreifer empfangen kann. Diese Domains sind die Hauptschwäche von Filmkan, da eine gleichzeitige Sperrung dem Angreifer den Zugriff auf das Botnetz verwehrt.
„Filmkan nutzt keine Software-Schwachstellen aus, sondern hat sich bisher auf Social Engineering beschränkt, um Benutzer zu infizieren. Benutzer sollten daher misstrauisch sein gegenüber jeder Meldung, dass ein Update für Flash in Google Chrome verfügbar ist, da Chrome eine integrierte Flash-Runtime enthält, die von Google aktualisiert wird“, rät Thorsten Henning.