In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit hat Cisco Talos die Entdeckung eines neuartigen und hochentwickelten Angriffswerkzeugs bekannt gegeben, das als “Alchimist” bezeichnet wird. Dieses vielseitige Framework, das in GoLang geschrieben ist, zielt darauf ab, eine Vielzahl von Betriebssystemen zu kompromittieren, darunter Windows, Linux und macOS. Alchimist umfasst nicht nur eine Command-and-Control (C2)-Infrastruktur, sondern auch eine Reihe von Malware-Komponenten, darunter die als “Insekt” bekannte Remote-Access-Trojaner (RAT)-Familie. Dieses Framework stellt eine erhebliche Bedrohung dar, da es eine integrierte Lösung für Angreifer bietet, die von der initialen Infektion bis zur vollständigen Fernsteuerung der betroffenen Systeme reicht.
Die Alchimist-Plattform: Ein Blick hinter die Kulissen
Alchimist zeichnet sich durch seine All-in-One-Architektur aus. Das Framework wird als einzelne ausführbare Datei bereitgestellt, die sowohl die C2-Server-Funktionalität als auch die notwendigen Ressourcen für die Web-Benutzeroberfläche und die Insekt-RAT-Payloads enthält. Die Entwickler haben sich für GoLang entschieden, was die Kompilierung für verschiedene Plattformen erleichtert und die Verbreitung vereinfacht. Die Web-Benutzeroberfläche, die in vereinfachtem Chinesisch gehalten ist, bietet Angreifern eine intuitive Plattform zur Verwaltung ihrer Kampagnen. Sie ermöglicht die Generierung konfigurierter Payloads, die Herstellung von Fernverbindungen, die Bereitstellung von Malware auf Zielsystemen, das Erstellen von Screenshots und die Ausführung beliebiger Befehle.
Assets und Payload-Generierung
Beim Start extrahiert der Alchimist-C2-Server seine eingebetteten Assets, darunter Web-Interface-Code und die Insekt-Payloads für Windows und Linux, in ein temporäres Verzeichnis. Bemerkenswert ist, dass die Insekt-Payloads nicht neu kompiliert werden. Stattdessen liest der Server einen Dummy-Binary, patcht ihn im Speicher mit spezifischen Platzhaltern und gibt die modifizierte Binärdatei dann aus. Die Alchimist-Plattform unterstützt verschiedene Kommunikationsprotokolle, darunter TLS, SNI und WSS/WS, was die Flexibilität bei der Verschleierung der C2-Kommunikation erhöht. Die Payload-Generierung erfolgt über die Web-Oberfläche, wo der Angreifer Parameter wie Protokolltyp, C2-Host, Plattform und Daemon-Flag eingibt.
Die Insekt-Malware: Ein vielseitiges Werkzeug
Insekt ist die RAT-Komponente des Alchimist-Frameworks und dient als primärer Agent auf den infizierten Systemen. Diese 64-Bit-Malware ist für Windows und Linux konzipiert und verfügt über eine breite Palette von Fernzugriffsfunktionen. Zu den Kernfähigkeiten gehören das Abrufen von Dateigrößen, das Sammeln von Betriebssysteminformationen, die Ausführung beliebiger Befehle, das Upgrade des eigenen Codes, die Ausführung von Befehlen als anderer Benutzer, das Pausieren für vordefinierte Zeiträume und die Steuerung der Screenshot-Funktion.
Zusätzliche Funktionen und Befehle
Über die grundlegenden RAT-Funktionen hinaus bietet Insekt erweiterte Möglichkeiten wie die Ausführung von Shellcode, das Scannen von IP-Adressen und Ports, die Manipulation von SSH-Schlüsseln und die Erstellung von Proxy-Verbindungen. Die Malware unterstützt die Ausführung interaktiver Shells über PowerShell, Bash und CMD.exe. Sie kann auch spezifische Befehlscodes vom Alchimist-C2-Server empfangen, um vordefinierte Aktionen auf dem infizierten Endpunkt auszuführen. Dazu gehören das Hinzufügen von Benutzern, das Zuweisen von Administratorrechten, das Auflisten von Domänenbenutzern und -administratoren, das Deaktivieren der Firewall und das Ändern von Firewall-Regeln.
Weitere im Framework gefundene Werkzeuge
Neben Alchimist und Insekt hat Cisco Talos weitere Komponenten entdeckt, die die Angriffsfähigkeiten erweitern. Dazu gehören ein macOS-Exploitationstool, das eine Schwachstelle im polkit-Dienst (CVE-2021-4034) ausnutzt, um Privilegien zu eskalieren, sowie ein benutzerdefiniertes Backdoor-Tool. Das Framework enthielt auch verschiedene kommerzielle Werkzeuge wie psexec und netcat, die für die laterale Bewegung im Netzwerk nützlich sind, sowie ein Intranet-Scanning-Tool namens “fscan”.
macOS-Exploitation und Scriptlets
Das für macOS bestimmte Mach-O-Executable enthält einen Exploit für CVE-2021-4034 und eine Bind-Shell-Backdoor. Obwohl polkit nicht standardmäßig auf macOS installiert ist, stellt diese Komponente eine potenzielle Gefahr dar. Alchimist kann auch Skripte generieren, die als erster Schritt einer Infektion dienen, wie das “down.sct”-Skript, das einen PowerShell-Befehl zum Herunterladen der Insekt-Malware verwendet.
Die wachsende Bedrohung durch integrierte C2-Frameworks
Die Entdeckung von Alchimist unterstreicht einen wachsenden Trend unter Cyberkriminellen: die zunehmende Nutzung von vorgefertigten und integrierten Command-and-Control-Frameworks. Ähnlich wie das zuvor von Talos aufgedeckte “Manjusaka”-Framework bietet Alchimist eine Komplettlösung, die es Angreifern ermöglicht, Operationen effizienter und mit weniger Aufwand durchzuführen. Die fortschrittlichen Funktionen dieser Frameworks, wie die Fähigkeit zur Ausführung beliebiger Befehle und Shellcodes, stellen eine ernsthafte Herausforderung für die Cybersicherheit dar.
Endpoint-Sicherheitsteams sollten mehrschichtige Abwehrmaßnahmen implementieren, privilegierte Operationen in ihren Umgebungen kontinuierlich überwachen und verdächtige Programme erkennen. Netzwerksicherheitsteams sollten auf ungewöhnlichen Datenverkehr achten und vorsichtig bei verdächtigen heruntergeladenen Artefakten sein. Kontrollierte Download- und Dateiausführungsrichtlinien auf Endpunkten und Servern sind unerlässlich, um Organisationen vor solchen Bedrohungen zu schützen.
Für Benutzer von Unix-ähnlichen Systemen, die keine Patches für ihre Betriebssysteme finden können, wird empfohlen, das SUID-Bit des pkexec-Dienstprogramms zu entfernen, um eine mögliche Umgehung der Schwachstelle zu verhindern.
Abdeckung und Schutzmaßnahmen
Cisco bietet mit seinen Produkten wie Cisco Secure Endpoint, Cisco Secure Web Appliance, Cisco Secure Email, Cisco Secure Firewall und Cisco Umbrella umfassende Schutzmechanismen gegen die von Alchimist und Insekt ausgehenden Bedrohungen. Diese Lösungen helfen dabei, die Ausführung von Malware zu verhindern, den Zugriff auf bösartige Websites zu blockieren und verdächtige Aktivitäten im Netzwerk zu erkennen. Darüber hinaus wurden spezifische ClamAV-Signaturen und Snort-Regeln veröffentlicht, um diese Bedrohungen zu erkennen.
Indikatoren für Kompromittierung (IOCs)
Eine detaillierte Liste der Indikatoren für Kompromittierung (IOCs), einschließlich IP-Adressen, Domänennamen und Dateihashes, ist im GitHub-Repository von Talos verfügbar, um Organisationen bei der Erkennung und Abwehr dieser Bedrohung zu unterstützen.