Wir stellen dir heute eine kaum bekannte, aber dennoch gefährliche Art von Malware vor. Der Virus „Sarwent“ infiziert Rechner per Remote-Zugriff und hat es insbesondere auf Windows-Betriebssysteme abgesehen.
Der genaue Ablauf von Sarwent
Ganz neu auf dem Markt ist diese Malware-Variante nicht. Sicherheitsforscher von SentinelOne entdeckten Sarwent Anfang des Jahres — er existiert allerdings schon seit 2018. Grosse Bekanntheit hat er bis heute nicht erlangt. Genau das macht ihn gefährlich: Sarwent kann ähnlich hohen Schaden anrichten wie weitaus bekanntere Schädlinge, nur dass bei unbekannten Varianten selten zeitnah Gegenmassnahmen bereitstehen.
Vitali Kremez, ebenfalls Experte für IT-Security, stellte nähere Informationen über Sarwent bereit. Die genaue Verbreitung und bevorzugte Angriffsziele sind bislang unbekannt. Die Experten gehen davon aus, dass Sarwent zusätzliche Malware auf infizierten Rechnern installiert und Daten kompromittierter Systeme anschliessend weiterverkauft — beispielsweise im Darknet.
Offene RDP Ports dienen als Einfallstor
Sarwent dringt über ungesicherte RDP Ports ins Betriebssystem ein. RDP steht für Remote Desktop Protokoll — es speichert Zugangsdaten für den Rechner und regelt, welche weiteren Geräte zugriffsberechtigt sind.
Diese Einstellungen nimmst du im Router vor. Sarwent und ähnliche Malware nutzen bevorzugt Standard-Ports, also jene, die das Betriebssystem vorgibt. Wer diese nicht manuell ändert und keine Firewall einsetzt, öffnet Schadsoftware Tür und Tor.
Sarwent besitzt diverse Fähigkeiten
Sarwent zielt klar auf das Remote Desktop Protokoll von Windows-Systemen. Gelangt die Malware einmal ins System, setzt sie eigene CLI-Befehle (Kommandozeilen-Eingaben) ein. Damit übernimmt sie nahezu sämtliche Administratorrechte.
Sarwent kann sogar neue Benutzerkonten auf Windows anlegen. Selbst bei aktiver Firewall ändert sie einfach die entsprechenden Einstellungen und öffnet die RDP-Ports für weitere Schadsoftware. Mit dieser Vorgehensweise baut Sarwent sich ein Nest auf dem infizierten Rechner.
Indikatoren für einen Befall mit Sarwent
Die Sicherheitsforscher von SentinelOne veröffentlichten die ersten bekannten Indikatoren für einen potenziellen Sarwent-Befall. Die folgende Auflistung zeigt sogenannte Hashwerte. Diese Werte verifizieren die Originalität einer Datei — abweichende Werte deuten auf eine nachträgliche Veränderung hin, im vorliegenden Fall durch Sarwent.
- 3f7fb64ec24a5e9a8cfb6160fad37d33fed6547c
- ab57769dd4e4d4720eedaca31198fd7a68b7ff80
- d297761f97b2ead98a96b374d5d9dac504a9a134
- 106f8c7ddbf265fc108a7501b6af292000dd5219
- 83b33392e045425e9330a7f009801b53e3ab472a
- 2979160112ea2de4f4e1b9224085efbbedafb593
Um die Werte zu prüfen, brauchst du ein separates Tool — grösstenteils kostenlose Optionen stehen zur Verfügung. „HashCheck“ etwa ist eine gratis-Erweiterung für den Windows Explorer, verfügbar zum Download auf GitHub.