Was der Staatstrojaner ausspioniert: FinFisher erneut analysiert


Der seit einiger Zeit bekannte Schädling FinFisher ist bekanntlich ein Staatstrojaner. Analysen, zum Beispiel von Citizen Lab und dem Sicherheitsexperten Claudio Guarnieri, haben die Funktionen der umstrittenen Malware erstmals beschrieben. Jetzt liegt erstmals eine ausführliche Analyse von FinFisher auf Deutsch vor.

Der Securitysoftware-Hersteller Eset hat in seinen Virenlaboren Malware-Samples des Staatstrojaners FinFisher unter die Lupe genommen und einen ausführlichen deutschsprachigen Report verfasst. Laut WikiLeaks ist Eset der Antiviren-Hersteller, der FinFisher als Trojaner identifiziert hat. Der Staatstrojaner, der auch “FinSpy” genannt wird, wurde vom britisch-deutschen Unternehmen FinFisher (ehemals Gamma) entwickelt.

Sogenannte Staatstrojaner und insbesondere FinFisher sind in ihren Funktionen modernen Schadprogrammen relativ ähnlich, die vor allem Privatpersonen angreifen. Der Hauptunterschied liegt darin, dass der Code der Malware auf dem infizierten System nicht enttarnt, entpackt oder entschlüsselt wird. Da gerade diese Vorgänge in der Regel zu einer Erkennung durch eine Antiviren-Software führen, wird bei dieser Malware konsequent auf die Tarnung verzichtet.

Bei normaler Malware wird der Code üblicherweise nicht offen ausgeliefert. Deren enorme Verbreitung würde nach kurzer Zeit bewirken, dass dieser Schadcode analysiert und dadurch zuverlässig von Antivirenprogrammen erkannt wird. Eine manuelle Modifikation durch den Malware-Entwickler wäre damit nötig. Da FinFisher aber nicht breit gestreut, sondern vermutlich gezielt eingesetzt wird, konnten die Macher bis vor kurzem Analysen und Erkennung entgehen. Trotz aller Bemühungen, Licht ins Dunkel dieser Malware zu bringen, sind die Erkennungsraten mancher Komponenten bei vielen Antiviren-Programmen nur gering.

Einmal auf dem Computer gelandet, sammelt die FinFisher Daten über sein Opfer, zeichnet Audio- und Videodateien – beispielsweise von Skype – auf, durchsucht und löscht Dateien und führt Befehle aus. Die Samples, die Eset untersucht hat, können Tastenanschläge aufzeichnen, Audio-Mitschnitte vom Mikrofon und Videos vom Desktop oder der Webcam des Nutzers aufnehmen sowie bearbeitete, gelöschte oder an Drucker gesendete Dokumente heimlich versenden. Darüber hinaus sammelt das Schadprogramm Informationen wie IP-Adresse, Computername, Nutzername, Windows-Version, Zeitzone, aktuelles Datum und die eingestellte Zeit.

Die Installation des Staatstrojaners erfolgt entweder durch direkten, physischen Zugriff auf ein System oder wird dem Anwender als “Köderdatei”, getarnt als ein Bild, per E-Mail-Anhang zugeschickt. Die Malware ist im Code der Datei getarnt versteckt und wird bei Öffnen des Bildes aktiviert. Einmal ausgeführt, überprüft die Malware, ob der Rechner des Opfers bereits infiziert ist und beginnt, Dienste zu starten und Treiber bereitzustellen, die den Zugriff durch Dritte auf die Geräte des Systems ermöglichen. Die Kommunikation läuft laut Eset getarnt über den Internet Explorer.

Offenbar kann das Programm sogar sein Verhalten ändern, wenn es eine Sicherheitssoftware erkennt, die versucht, die Ausführung von FinFisher zu stoppen oder zu blockieren. Außerdem kann sich die Malware mittels Befehl oder zuvor eingestelltem Zeitplan selbst löschen – und so seine Entdeckung verhindern.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.   

 

Comments (0)

Skip to main content