Silver Sparrow Dropper überwindet macOS Detection; kostenloses Skript für MSPs verfügbar

Nach der FireEye-Sicherheitslücke im Dezember hat Datto schnell einen kostenlosen FireEye Countermeasure Scanner für Managed Service Provider (MSPs) veröffentlicht, um die gestohlenen Tools zu erkennen. Diese Woche trat eine Bedrohung in Form eines neuen Droppers namens Silver Sparrow in Erscheinung. Das Entwickler-Team von Datto RMM hat sich direkt an die Arbeit gemacht und ein kostenloses Skript für MSPs entwickelt, das den Dropper aufspürt.

Ein Dropper wird bei einem Angriff verwendet, um sich auf einem Gerät einzunisten und Payload nachzuladen, die Komponente, die dem System Schaden zufügt. Aus der Analyse ergeben sich vier interessante Details über diesen Angriff, die die Wachsamkeit gegenüber derlei Aktivitäten zum Schutz Ihrer kleinen und mittleren Geschäftskunden (SMB) erhöhen sollten.

Die Apple M1-Architektur im Visier

Die im November eingeführte Apple M1-Architektur ist die Abkehr von den Intel-basierten Prozessoren, die Apple bei seinen Desktop- und Laptop-Produktlinien bislang eingesetzt hat. Bis zu diesem Zeitpunkt gab es noch keine Variante, die auf die neue ARM64-basierte Architektur von Apple abgezielt hat. Die Teams von Red Canary und Malwarebytes, die das Ganze entdeckt haben, haben zwei Varianten von Silver Sparrow ausfindig gemacht. Während die erste Variante nur auf Intel x86_64 ausgerichtet war, enthielt das zweite Sample sowohl x86_64 als auch ARM64 Architekturen im PKG. Das ist ein klares Zeichen für die MSP-Community, dass die Cyberkriminellen weiterhin macOS ins Visier nehmen und ihre Taktiken weiterentwickeln.

Nutzung der macOS Installer Javascript API

Bestehende Malware-Techniken nutzen Preinstall- und Postinstall-Skripte als Teil des Installers, deren Ausführungsmuster von Detection Engines identifiziert werden können, um Maßnahmen zu ergreifen. Silver Sparrow nutzt den vertrauenswürdigen macOS Installer-Prozess, um bösartige JavaScript-Befehle auszuführen, die in einer XML-Datei versteckt sind, die im Paket enthalten ist. Das bietet dem bösartigen Code zusätzlichen Schutz vor bestehenden Erkennungsfunktionen und solchen, die von vertrauenswürdigen Betriebssystemprozessen ausgehen. Das wiederum macht es für viele Next-Gen-Engines schwierig, diesen als bösartig zu identifizieren. Ein klarer Schritt also, um wie eine normale oder vertrauenswürdige Paketinstallation auszusehen und den Verteidigern eine Erkennungsmöglichkeit zu nehmen.

Die fehlende Payload

Bei der durchgeführten Analyse hatte keines der beiden Teams den wirkungsvollsten Teil eines Droppers feststellen können: die Payload. Payloads sind das, was weitreichende Folgen hat und was wir in der Regel aus den Nachrichten oder der eigenen Praxis kennen (wie zum Beispiel RYUK und Trickbot). Das Malwarebytes-Team weist darauf hin, dass bei den Hosts, auf denen der Dropper identifiziert wurde, die Payload zu fehlen scheint. Außerdem gab es innerhalb der Ausführungsskripte verschlüsselte Nachrichten mit der Botschaft "Hello World", was dafürspricht, dass Silver Sparrow noch in der Entwicklung ist. Die Erkenntnisse bislang deuten stark darauf hin, dass dieser Dropper noch in den Kinderschuhen steckt und wir in Zukunft wahrscheinlich noch mehr über Silver Sparrow hören werden.

Selbstzerstörung

Wir alle wissen es zu schätzen, wenn jemand hinter sich aufräumt. Von Silver Sparrow wünscht man sich allerdings nicht, dass er alle Spuren beseitigt. Der Dropper ist zwar darauf ausgelegt, im System zu bleiben, er hat allerdings eine Art Kill Switch, um die Entfernung der Komponenten mit installierten persistenten Mechanismen zu erzwingen. Das wird durch die Überwachung auf das Vorhandensein einer Datei, ~/Library/._insu, erreicht. Das ermöglicht es den Betreibern, falls gewünscht, die Payload nachzuladen und das System ohne Spuren zu verlassen.

Erkennung und Prävention

Als die Nachricht von bekannt wurde, war dem Entwickler-Team von Datto RMM sofort klar, dass unsere MSP-Partner und die IT-Community Unterstützung benötigen, da viele EDR-Produkte (Endpoint Detection and Response) diese Bedrohung nur schwer abwehren können. Daher hat Datto das Silver Sparrow Detection and Prevention-Skript in Datto RMM für den sofortigen Einsatz und die Verfügbarkeit auf GitHub für die Community freigegeben, um es innerhalb anderer RMM-Plattformen nutzbar zu machen. Das neue Skript hilft nicht nur bei der Erkennung der aktuellen Variante, sondern es platziert auch die Selbstzerstörungsdatei, um Silver Sparrow zu beseitigen und so zu verhindern, dass die Payload nachgeladen wird. Das Skript basiert auf den Indikatoren im Red Canary-Bericht, die sich weiterentwickeln können. Daher ist das Feedback der Community wichtig, um eine kontinuierliche Verbesserung zu unterstützen.

Die Teams der Informationssicherheit und von Datto RMM bei Datto engagieren sich für die Sicherheit unserer MSP-Partner und ihrer KMU-Kunden. Daher werden wir auch weiterhin Tools zur Verbesserung der Sicherheit entwickeln und bereitstellen. Der Weg zur Cyber-Resilienz erfordert kontinuierliche Verbesserungen und eine gemeinsame Verantwortung, die wir mit übernehmen, um den Channel zu schützen.