Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Gefahr durch Rust-basiertes Splinter-Post-Exploitation-Tool

Cybersecurity-Forscher haben ein neues Post-Exploitation Penestrations-Test-Tool namens Splinter entdeckt. Palo Alto Networks Unit 42 berichtet, das Programm auf den Systemen mehrerer Kunden gefunden zu haben. Was in den Händen verantwortungsvoller Pen-Tester wertvolle Erkenntnisse bringen kann, gerät in den Diensten von Angreifern zur gefährlichen Waffe.

THNBedrohungen
Lesezeit 2 Min.

„Das Tool wurde in der leistungsstarken Programmiersprache Rust entwickelt und bietet die typischen Funktionen, die bei Penetrationstests-Tools erwartet werden“, so Dominik Reichel von Unit 42. „Obwohl Splinter nicht die Raffinesse von Post-Exploitation-Tools wie Cobalt Strike erreicht, birgt es dennoch ein erhebliches Risiko für Organisationen, wenn es in die falschen Hände gerät.“

Penetrationstests-Tools werden häufig in Red-Team-Operationen verwendet, um Sicherheitslücken in Unternehmensnetzwerken aufzudecken. Allerdings können solche Simulationstools auch von Angreifern zu ihrem Vorteil genutzt werden.

Unit 42 hat bisher keine Aktivitäten von Bedrohungsakteuren im Zusammenhang mit dem Splinter-Tool festgestellt. Wer das Tool entwickelt hat, ist noch unklar. Die entdeckten Artefakte sind außergewöhnlich groß, rund 7 MByte – eine Größe, die vor allem auf die Einbindung von 61 Rust-Bibliotheken (Crates) zurückzuführen ist.

Ähnlich wie andere Post-Exploitation-Frameworks speichert Splinter Konfigurationsdaten, darunter kritische Informationen über den Command-and-Control (C2)-Server, und baut über HTTPS eine sichere Verbindung zu diesem Server auf. „Splinter-Implantate operieren nach einem aufgabenbasierten Modell, was typisch für Post-Exploitation-Tools ist,“ so Reichel weiter „Sie erhalten ihre Befehle direkt von dem C2-Server, den der Angreifer spezifiziert hat.“

Zu den Funktionen des Tools gehören das Ausführen von Windows-Befehlen, das Starten von Modulen über Remote-Process-Injection, das Hoch- und Herunterladen von Dateien, das Sammeln von Cloud-Kontoinformationen und das Selbstlöschen vom System.

„Die zunehmende Vielfalt von Tools zeigt, wie wichtig es ist, Präventions- und Erkennungsfähigkeiten stets auf dem neuesten Stand zu halten, da Kriminelle wahrscheinlich jede Technik übernehmen, die effektiv ist, um Organisationen zu kompromittieren,“ warnt Reichel. Zeitgleich zur Enthüllung meldete Deep Instinct zwei hochgefährliche Angriffsmethoden, die Bedrohungsakteure nutzen könnten, um heimliche Code-Injection und Privilegieneskalationen durchzuführen. Dabei wird eine RPC-Schnittstelle in Microsoft Office sowie ein bösartiger Shim verwendet.

„Wir haben einen schädlichen Shim in einen Prozess eingeschleust, ohne eine SDB-Datei (Shim Database Format) im System zu registrieren,“ so die Sicherheitsexperten Ron Ben-Yizhak und David Shandalov. „Damit haben wir die Erkennung durch EDR-Systeme geschickt umgangen, indem wir einen untergeordneten Prozess manipulierten und die Ziel-DLL luden, noch bevor ein EDR-Hook aktiv werden konnte.“

Im Juli 2024 enthüllte Check Point eine innovative Prozess-Injection-Technik namens Thread Name-Calling, bei der Shellcode in laufende Prozesse injiziert wird, indem die API für Thread-Beschreibungen raffiniert missbraucht wird, während gleichzeitig Endpoint-Schutzsysteme umgangen werden.

„Mit jeder neuen API in Windows entstehen immer wieder auch neue, kreative Möglichkeiten für Injektionstechniken,“ erklärt die Sicherheitsforscherin Aleksandra ‚Hasherezade‘ Doniec. Thread Name-Calling macht sich einige der neueren APIs zunutze, verlässt sich aber dennoch auf etablierte Methoden wie APC-Injections – Techniken, die stets als ernste Bedrohung betrachtet werden sollten. Ebenso alarmierend ist die gezielte Manipulation von Zugriffsrechten in einem Remote-Prozess.“