Wir stellen Ihnen heute eine kaum bekannte, aber dennoch gefährliche Art von Malware vor. Der Virus “Sarwent” infiziert Rechner mittels Remote-Zugriff und sieht es insbesondere auf Windows-Betriebssysteme ab.
Der genaue Ablauf von Sarwent
Ganz neu “auf dem Markt” ist diese Version von Malware indes nicht. Sicherheitsforscher von SentinelOne entdeckten Sarwent Anfang diesen Jahres, er existiert allerdings schon seit dem Jahr 2018, wie es heisst. Grosse Bekanntheit hat er offenbar dennoch nie erreicht. Genau das macht Sarwent aber auch gefährlich: die Malware kann ebenso hohen Schaden anrichten wie weit bekanntere Vertreter, nur dass bei unbekannten Versionen eben selten zeitnah Problemlösungen bereitstehen.
Vitali Kremez, ebenfalls Experte in Sachen IT-Security, stellte einige nähere Informationen über Sarwent bereit. Die genaue Verbreitung oder bevorzugte Angriffsziele sind derweil leider nicht bekannt. Die Experten gehen davon aus, dass Sarwent sowohl zusätzliche Malware auf dem infizierten Rechner installiert, als auch Daten von kompromittierten Systemen anschliessend weiterverkauft – beispielsweise im Darknet.
Offene RDP Ports dienen als Einfallstor
Sarwent dringt über ungesicherte RDP Ports in das Betriebssystem ein. Bei RDP handelt es sich um das sogenannte Remote Desktop Protokoll. Dieses Protokoll speichert die Zugänge für den Rechner. Über RDP wird auch geregelt, welche weiteren Rechner zugriffsberechtigt sind.
Entsprechende Einstellungen tätigt man im verwendeten Router. Malware wie Sarwent nutzen bevorzugt Standard-Ports, also solche, die vom Betriebssystem als Standard definiert sind. Ändert man diese nicht manuell und verwendet keine Firewall zum Schutz gegen unbefugte Zugriffe, stellt dieser Umstand ein hohes Risiko für das Eindringen von Schadsoftware dar.
Sarwent besitzt diverse Fähigkeiten
Wie eingangs erwähnt, fokussiert Sarwent klar das Remote Desktop Protokoll von Windows-Systemen. Gelangt die Malware einmal ins System, wendet sie eigene CLI-Befehle (Eingaben in der Kommandozeile) an. Das macht es ihr möglich, nahezu sämtliche Administratorrechte zu übernehmen und auszuführen.
Theoretisch ist es Sarwent damit sogar möglich, für sich selbst neue Benutzerkonten auf Windows anzulegen. Selbst bei einer aktiven Firewall ist es ihr damit erlaubt, die entsprechenden Einstellungen einfach zu ändern und die RDP-Ports “für die Allgemeinheit” – also eine Vielzahl weiterer Vertreter von Schadsoftware – zu öffnen.
Mit dieser Vorgehensweise baut Sarwent sich quasi ein Nest auf dem infizierten Rechner.
Indikatoren für einen Befall mit Sarwent
Die Sicherheitsforscher von SentinelOne veröffentlichten ebenso die ersten bekannten Indikatoren für einen potenziellen Befall mit der Sarwent Malware. Bei der nachfolgenden Auflistung handelt es sich um sogenannte Hashwerte. Vereinfacht gesagt sorgen diese Werte dafür, dass die Originalität einer Datei verifiziert wird. “Falsche” Werte sprechen für eine nachträgliche Veränderung, im vorgestellten Fall also durch Sarwent.
- 3f7fb64ec24a5e9a8cfb6160fad37d33fed6547c
- ab57769dd4e4d4720eedaca31198fd7a68b7ff80
- d297761f97b2ead98a96b374d5d9dac504a9a134
- 106f8c7ddbf265fc108a7501b6af292000dd5219
- 83b33392e045425e9330a7f009801b53e3ab472a
- 2979160112ea2de4f4e1b9224085efbbedafb593
Um die Werte zu überprüfen, ist allerdings ein separates Tool vonnöten. Auch dafür gibt es unterschiedliche, grösstenteils kostenlose Software-Lösungen auf dem Markt. Bei “HashCheck” handelt es sich beispielsweise um eine gratis Erweiterung für den Windows Explorer, die unter anderem GitHub zum Download anbietet.