The Shadow Brokers - Was bisher geschah

The Shadow Brokers

Was bisher geschah

Michael Schneider
von Michael Schneider
am 11. Mai 2017
Lesezeit: 9 Minuten

Am 13. August 2016 leakte eine Hackergruppe namens The Shadow Brokers Exploits, welche die Gruppe offenbar von einer anderen Hackergruppe mit dem Namen The Equation Group gestohlen hatte. Diese wurde erstmals von Kaspersky erwähnt und es wird vermutet, dass eine Verbindung zum US-Geheimdienst NSA existiert. Die Nachricht des Leaks wurde auf verschiedenen Portalen, unter anderem Twitter, GitHub, Tumbler und imgur verbreitet.

Die Veröffentlichung diente vorwiegend als Anreiz für die gleichzeitig startende Auktion von weiteren Exploits. Die Partei, welche am meisten Bitcoins (BTC) an die Adresse 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK sendet, erhält das Passwort, um die Sammlung von Exploits entschlüsseln zu können. Alle anderen Bieter erhalten ihren Einsatz nicht zurück. Falls die Summe von 1 Mio. BTC überschritten wird, dann werden die Exploits frei und für alle zugänglich veröffentlicht. Die Auktion ist jedoch zeitlich nicht beschränkt, das Ende wird willkürlich durch die Shadow Brokers selbst festgelegt.

Die Auktion selbst war kein Erfolg. In der Übersicht aller Transaktionen wird ersichtlich, dass der höchste Beitrag 1,5 BTC betrug. Bis im August 2016 gingen insgesamt 2,006074 BTC auf das Konto ein. Am 12. Januar 2017 erklärten die Shadow Brokers die Auktion als nicht erfolgreich beendet und verschwanden mit einer letzten Mitteilung von der Bildfläche. Im Artikel The Shadow Brokers: Lifting the Shadows of the NSA’s Equation Group? der Firma Risked Based Security wird der zeitliche Verlauf der Auktion detailliert dargestellt.

Veröffentlichte Exploits

Es wurden zwei Dateien veröffentlicht: die Datei eqgrp-free-file.tar.xz.gpg, welche als Teaser für die Auktion gilt und die Datei eqgrp-auction-file.tar.xz.gpg, dessen Passwort versteigert wird. Beide Dateien waren verschlüsselt, für die Teaser-Datei lautete das Passwort theequationgroup. Diese Datei enthielt unter anderem die folgenden Exploits:

Unerwartetes Comeback und neue Exploits

Am 8. April 2017 meldete sich die Shadow Brokers zurück, und veröffentlichten in der Mitteilung Don’t Forget Your Base an den US-Präsidenten Donald Trump das Passwort CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN für die Auktion-Datei eqgrp-auction-file.tar.xz.gpg. In dieser Datei waren befanden sich wiederum Tools und Exploits, dieses Mal für die Betriebssysteme Windows, Linux und Solaris. Einige der nachfolgenden Exploits können dazu genutzt werden, dass ein nicht-authentisierter Benutzer die höchsten lokalen Rechte auf dem angegriffenen System erlangt:

Microsoft veröffentlichte am 14. April 2017 die Stellungnahme Protecting customers and evaluating risk zu den veröffentlichten Exploits. Im Patchday vom März hatte Microsoft mit dem Update Microsoft Security Bulletin MS17-010 die meisten der Schwachstellen bereits ohne spezielle Ankündigung behoben. Es wurde von Seiten Microsoft kein Kommentar abgegeben, von wem und wann Microsoft über die Existenz der Schwachstellen informiert wurde.

Nachwirkungen

Das Update MS17-010 wurde im März über Windows Update verteilt. Firmen und Privatanwender, welche regelmässig Updates einspielen, sind dementsprechend nun vor diesen Exploits geschützt. Es zeigt sich jedoch, dass viele Systeme noch verwundbar gegen solche Angriffe sind. Der Angriff auf die Systeme erfolgt mittels des Exploits ETERNALBLUE, nach dessen erfolgreichen Ausführung wird die Backdoor DOUBLEPULSAR installiert. Dazu kann das Tool FUZZBUNCH genutzt werden, die Konfiguration und das Starten des Exploits vereinfacht. Eine Ausführung von ETERNALBLUE sieht wie folgt aus:

Module: Eternalblue

[?] Execute Plugin? [Yes] :
[*] Executing Plugin
[*] Connecting to target for exploitation.
    [+] Connection established for exploitation.
[*] Pinging backdoor...
    [+] Backdoor not installed, game on.
[*] Target OS selected valid for OS indicated by SMB reply
[*] CORE raw buffer dump (52 bytes):
0x00000000  57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32  Windows Server 2
0x00000010  30 30 38 20 52 32 20 53 74 61 6e 64 61 72 64 20  008 R2 Standard
0x00000020  37 36 30 31 20 53 65 72 76 69 63 65 20 50 61 63  7601 Service Pac
0x00000030  6b 20 31 00                                      k 1.
[*] Building exploit buffer
[*] Sending all but last fragment of exploit packet
    ................DONE.
[*] Sending SMB Echo request
[*] Good reply from SMB Echo request
[*] Starting non-paged pool grooming
    [+] Sending SMBv2 buffers
        ..............DONE.
    [+] Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] Sending SMB Echo request
[*] Good reply from SMB Echo request
[*] Sending last fragment of exploit packet!
    DONE.
[*] Receiving response from exploit packet
    [+] ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] Sending egg to corrupted connection.
[*] Triggering free of corrupted buffer.
[*] Pinging backdoor...
    [+] Backdoor returned code: 10 - Success!
    [+] Ping returned Target architecture: x64 (64-bit)
    [+] Backdoor installed
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[*] CORE sent serialized output blob (2 bytes):
0x00000000  08 00                                            ..
[*] Received output parameters from CORE
[+] CORE terminated with status code 0x00000000
[+] Eternalblue Succeeded

Ein mit DOUBLEPULSAR infiziertes System kann anhand der Antwort auf einen spezifischen Ping auf Port 445/tcp identifiziert werden. Im Blogpost Analyzing the DOUBLEPULSAR Kernel DLL Injection Technique hat die Firma Countercept eine Analyse der Backdoor ausführlich beschrieben und zugleich ein Tool namens doublepulsar-detection-script veröffentlich, um infizierte System zu detektieren. Eine Analyse des Unternehmens BinaryEdge zeigt jedoch, dass am 21.04.2017 bereits 106’410 im Internet erreichbare Systeme infiziert waren. Einige Tage später, am 27. April 2017 waren es schon 428’827 Systeme. Es ist davon auszugehen, dass in nächster Zeit die Anzahl der infizierten Systeme noch mehr ansteigen wird.

Fazit

Dieses Beispiel zeigt eindrücklich auf, wie wichtig eine zeitnahe Aktualisierung von Systemen ist. Zudem sollte die Angriffsfläche von Systemen soweit als möglich reduziert werden. Beispielsweise sollte der Dienst SMB bei Systemen nicht erreichbar sein, die direkt mit dem Internet verbunden sind. Wer bis jetzt mit der Installation von Sicherheitsupdates zögert, der sollte die Veröffentlichung dieser Exploits als Weckruf betrachten.

Über den Autor

Michael Schneider

Michael Schneider arbeitet seit dem Jahr 2000 in der IT. Im Jahr 2010 hat er sich auf die Informationssicherheit spezialisiert. Zu seinen Aufgaben gehören das Penetration Testing, Hardening und das Aufspüren von Schwachstellen in Betriebssystemen. Er ist bekannt für eine Vielzahl in PowerShell geschrieber Tools zum Finden, Ausnutzen und Beheben von Schwachstellen. (ORCID 0000-0003-0772-9761)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
HardeningKitty

HardeningKitty

Michael Schneider

KleptoKitty

KleptoKitty

Michael Schneider

Linux Hardening

Linux Hardening

Michael Schneider

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv