News

Ein Spion im Bild

Virenautoren scheuen keine Mühe, wenn es darum geht, eine schädliche Kampagne zu schützen und ihr Machwerk vor Erkennungsmechanismen und den neugierigen Augen der Sicherheitsexperten zu verbergen. Wie eine von Dell SecureWorks durchgeführte Analyse zeigte, hat sich die hinter Stegoloader stehende Gruppe nun auf Steganografie verlegt, um ihren Spion vor Entdeckung zu schützen. Sie verwendet ein spezialisiertes Bereitstellungsmodul, das, nachdem ein Rechner kompromittiert wurde, eine PNG-Datei von einer legitimen Site lädt, die den Schädling enthält.

Steganografie wird normalerweise eingesetzt, um Informationen in einer anderen Nachricht oder in einem Bild zu verbergen. Malware-Autoren hilft sie dabei, ausführbaren Code in einer Bilddatei zu verbergen. In diesem Fall wird die Extraktion und die Ausführung des Codes nur nach einer Reihe von Sicherheitsüberprüfungen der Ausführungsumgebung gestartet. Neben Stegoloader verwenden auch einige andere Schadfamilien Steganografie, unter anderem auch Spione, die in APT-Kampagnen mit MiniDuke verwendet werden, mit dem Rootkit Alureon und dem Downloader Lurk, dem SecureWorks eine seiner Publikationen des vergangenen Jahres gewidmet hat.

Stegoloader ist in erster Linie für den Diebstahl von Informationen bestimmt, allerdings hat SecureWorks keine Daten über seinen Einsatz in zielgerichteten Attacken, obgleich die Experten eine solche Möglichkeit nicht ausschließen. Zum gegenwärtigen Zeitpunkt sind unter den Opfern des Schädlings Vertreter aus dem Gesundheitswesen, aus dem Bildungsbereich sowie Produktionsbetriebe, doch Infektionen über ein Exploit oder zielgerichtete Versendungen wurden bisher nicht registriert. Die Forscher nehmen an, dass die Anwender sich den Spion auf Websites einfangen, auf denen sie eigentlich Piraten-Software herunterladen wollen. Dieses Verbreitungsschema hat Stegoloader schon früher verwendet.

„Der einzige Infektionsvektor, den ich bestätigen kann, ist der Download von Piratenprogrammen“, erklärte Pierre-Marc Bureau, Senior Security Researcher von SecureWorks. „Ich vermute, dass die Angreifer, sobald sie sich in einem Netz eingenistet haben, das für sie von Interesse ist, sofort zusätzliche Module einsetzen, um weiteren Zugriff zu erhalten. Allerdings sind mir solche Module bisher nicht untergekommen.“

Stegoloader stiehlt in erster Linie Informationen über das System und lädt andere Module, die den Zugriff auf kürzlich geöffnete Dokumente und auf Listen der installierten Programme ermöglichen und die Einträge aus dem Browserverlauf und installierte Dateien für die Entwicklungs- und Analyse-Plattform IDA stehlen und zudem die Passwort stehlende Malware Pony hochladen.

„Bevor der Schädling andere Module bereitstellt, überprüft er, ob er in einer Analyse-Umgebung ausgeführt wird“, teilt SecureWorks über seine Entdeckung mit. „So verfolgt das Bereitstellungsmodul beispielsweise die Platzierung des Maus-Cursors, indem es viele Male die Funktion GetCursorPos aufruft. Wenn der Cursor sich die ganze Zeit bewegt oder sich aufgehängt hat, stellt der Schädling die Arbeit ein und legt keinerlei schädliche Aktivität an den Tag.“

„Ebenfalls um die statische Analyse zu verlangsamen, werdendie meisten Binärcode-Zeilen im Programm-Stack konstruiert, bevor sie benutzt werden“, schreiben die Forscher weiter. „Diese Standardtechnik garantiert Virenschreibern, dass keine in Klartext gespeicherten Codezeilen im Körper des Schädlings vorhanden sind. Sie werden dynamisch konstruiert, was die Erkennung und Analyse erschwert.“

Das Bereitstellungsmodul registriert laufende Prozesse und setzt die Ausführung seiner Hauptfunktionalität aus, wenn es eine von zwei Dutzend hartcodierten Zeilen entdeckt, die mit Untersuchungstools wie Wireshark, Fiddler und anderen in Verbindung gebracht werden. Wird kein Feind entdeckt, so verbindet es sich mit dem C&C-Server, verschlüsselt die Kommunikation und lädt die PNG-Datei mit dem Schadcode.

„Der extrahierte Datenstrom wird mit Hilfe des Algorithmus‘ RC4 und eines hartcodierten Schlüssels chiffriert“, erläutern die Experten von SecureWorks. „Dabei werden weder die PNG-Abbildung noch der verschlüsselte Code auf der Festplatte gespeichert, was die Suche nach dem Schädling mit den traditionellen Mitteln der Signatur-basierten Analyse erschwert. Bereits analysierte Samples verwendeten unterschiedliche URL für den Download und unterschiedliche RC4-Schlüssel.“

Nach dem Start des Hauptmoduls, das nach Angaben von SecureWorks nur im Arbeitsspeicher existiert, können verschiedene Befehle vom C&C-Server zur Ausführung kommen – selbstverständlich nur, wenn die Angreifer an dem kompromittierten Rechner interessiert sind. Die Liste der möglichen Befehle umfasst das Aufheben und Stoppen der Ausführung von Befehlen, das Absenden von Informationen über das System und das Versenden des Verlaufs von Firefox/Chrome/Internet Explorer sowie die Ausführung von Shell-Code.

Quelle: Threatpost

Ein Spion im Bild

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach