Wie funktioniert ZuoRAT?
ZuoRAT ist ein Nachfahre von Mirai, einem der berühmtesten Internet der Dinge (IoT)-Botnetze der Geschichte. Der Quellcode von Mirai wurde 2016 geleakt, wodurch andere Malware auf der bestehenden Codebasis aufbauen konnte.
ZuoRAT hat vom Boom der Fernarbeit profitiert, der durch die COVID-19-Pandemie ausgelöst wurde. Aufgrund der Pandemie läuft mittlerweile ein größerer Teil des Geschäftsverkehrs über SOHO-Router, die Heimbüros oder kleine Unternehmen mit dem Internet verbinden. Diese Router werden in der Regel weniger überwacht und gesichert als ihre größeren Gegenstücke. Dies ist wahrscheinlich der Grund dafür, dass der RAT über ein Jahr lang unbemerkt bleiben konnte, bevor er entdeckt wurde.
ZuoRAT verschafft sich Zugriff auf SOHO-Router, indem es ungepatchte Schwachstellen ausnutzt. Diese Schwachstellen sind öffentlich bekannt; allerdings wenden nur wenige Einzelpersonen und kleine Unternehmen die Patches an, wodurch sie anfällig für Missbrauch sind. Nach dem Zugriff auf einen Router besteht das Hauptziel von ZuoRAT darin, vertrauliche Daten zu sammeln. Es belauscht die Kommunikation, die über den Router läuft, und führt Man-in-the-Middle-Angriffe (MitM) auf den HTTP- und DNS-Verkehr aus.
Als RAT bietet die Malware dem Angreifer außerdem die Möglichkeit, das infizierte Gerät fernzusteuern. Nachdem der Malware Betreiber Informationen über das infizierte Gerät und das Netzwerk, mit dem es verbunden ist, gesammelt hat, kann er entscheiden, bestimmte Befehle auf den Systemen auszuführen oder zusätzliche Module herunterzuladen.
Durch seine Modularität verfügt ZuoRAT über ein breites Spektrum an Funktionen. Für die Malware wurden schätzungsweise 2.500 verschiedene Module identifiziert, die es Angreifern ermöglichen, hochgradig individuelle Angriffe auf infizierte Systeme und Netzwerke zu starten.
Wie sich ZuoRAT- Malware auf Netzwerksysteme auswirkt
Die ZuoRAT-Malware wurde entwickelt, um sich unbemerkt auf SOHO-Routern einzuschleichen. Die Malware nutzte nicht nur die Tatsache aus, dass diese Router in der Regel nicht verwaltet werden, sondern verwendete auch die Router-zu-Router-Kommunikation sowie Proxy-Server für Befehls- und Steuerungszwecke (C2). Dadurch wurde es noch schwieriger, die Malware zu erkennen oder zu ihrer Quelle zurückzuverfolgen.
Neben dem Aufbau eines Netzwerks infizierter Router kann ZuoRAT auch verschiedene andere Auswirkungen auf die Netzwerksysteme einer Organisation haben. Die Malware kann den Netzwerkverkehr abhören und abfangen und verfügt über verschiedene Module, mit denen sie die Ressourcen und den Zugriff der Malwareauf den Netzwerkverkehr ausnutzt, um weitere Angriffe wie etwa das Einschleusen von Passwörtern oder die Injektion von Code durchzuführen.
So schützen Sie sich vor ZuoRAT-Malware
Zu den bewährten Sicherheitsmethoden, die zum Schutz vor diesen Angriffen beitragen können, gehören:
- Geräteinventar: ZuoRAT nutzt die Tatsache aus, dass viele SOHO-Routerbesitzer nicht wissen, welches Gerät sie haben, und daher weniger geneigt sind, auf Berichte über eine aktiv ausgenutzte Schwachstelle zu reagieren. Durch die Führung eines vollständigen Inventars aller IT-Geräte können Sie sicherstellen, dass kein Gerät verloren geht.
- Patch-Management: ZuoRAT nutzt öffentlich bekannte Schwachstellen, um Zugriff auf anfällige Geräte zu erhalten. Durch die zeitnahe Installation verfügbarer Patches und Updates können potenzielle Sicherheitslücken geschlossen werden, bevor sie von einem Angreifer ausgenutzt werden können.
- Netzwerksicherheit: ZuoRAT führt verschiedene böswillige Aktionen aus, darunter MitM-Angriffe und das Herunterladen bösartiger Module und anderer Malware Varianten. Netzwerküberwachung und Intrusion Prevention Systems (IPS) können helfen, diese Bedrohungen zu erkennen und zu beheben.
- Websicherheit: ZuoRAT kann für HTTP-MitM-Angriffe verwendet werden, die den Datenverkehr der Benutzer auf andere Websites umleiten. Web-Sicherheitslösungen können dabei helfen, bösartige Weiterleitungen zu identifizieren und die Übermittlung Malware über Phishing Seiten an die Geräte der Benutzer zu verhindern.
- Zugriffsverwaltung: Diese Malware gefährdet Router, belauscht den Datenverkehr und kann für Password-Spraying und ähnliche Angriffe verwendet werden. Mit allen diesen Methoden können Benutzeranmeldeinformationen kompromittiert werden. Daher ist ein starkes Zugriffsmanagement – einschließlich Zugriffskontrollen mit geringstmöglichen Privilegien und mehrstufiger Authentifizierung – für den Schutz vor Account-Takeover-Angriffen (ATO) unabdingbar.
ZuoRAT-Malware-Erkennung und -Schutz mit Check Point
ZuoRAT ist eine vielseitige Malware Variante, die sich den Anstieg der Telearbeit zunutze macht, indem sie unzureichend geschützte kleine Netzwerke ins Visier nimmt, denen plötzlich vertrauliche Geschäftsdaten anvertraut wurden. Durch den Zugriff auf ungepatchte SOHO-Router verschafft es sich einen perfekten Ausgangspunkt, um den Netzwerkverkehr zu überwachen und von diesen oft nicht verwalteten Geräten aus andere Angriffe auszuführen.
Solche Techniken sind auch im Jahr 2023 noch weit verbreitet und zeigen, dass Cyberkriminelle auf eine erfolgreiche Taktik gestoßen sind. Dies ist jedoch nur eine von vielen Sicherheitsbedrohungen, mit denen Unternehmen zu kämpfen haben. Erfahren Sie mehr über die aktuelle Bedrohungslandschaft der Cybersicherheit im Cyber Security Report 2024 von Check Point.
Harmony Endpoint von Check Point bietet Unternehmen die erforderliche Transparenz und Kontrolle, um die Bedrohungen durch ZuoRAT und andere Malware-Varianten zu identifizieren und zu verwalten. Erfahren Sie mit einer kostenlosen Demo mehr über Harmony Endpoint und seinen auf Prävention ausgerichteten Ansatz.
Feedback