Ein Spion im Bild

Virenautoren scheuen keine Mühe, wenn es darum geht, eine schädliche Kampagne zu schützen und ihr Machwerk vor Erkennungsmechanismen und den neugierigen Augen der Sicherheitsexperten zu verbergen. Wie eine von Dell SecureWorks durchgeführte Analyse zeigte, hat sich die hinter Stegoloader stehende Gruppe nun auf Steganografie verlegt, um ihren Spion vor Entdeckung zu schützen. Sie verwendet ein spezialisiertes Bereitstellungsmodul, das, nachdem ein Rechner kompromittiert wurde, eine PNG-Datei von einer legitimen Site lädt, die den Schädling enthält.

Steganografie wird normalerweise eingesetzt, um Informationen in einer anderen Nachricht oder in einem Bild zu verbergen. Malware-Autoren hilft sie dabei, ausführbaren Code in einer Bilddatei zu verbergen. In diesem Fall wird die Extraktion und die Ausführung des Codes nur nach einer Reihe von Sicherheitsüberprüfungen der Ausführungsumgebung gestartet. Neben Stegoloader verwenden auch einige andere Schadfamilien Steganografie, unter anderem auch Spione, die in APT-Kampagnen mit MiniDuke verwendet werden, mit dem Rootkit Alureon und dem Downloader Lurk, dem SecureWorks eine seiner Publikationen des vergangenen Jahres gewidmet hat.

Stegoloader ist in erster Linie für den Diebstahl von Informationen bestimmt, allerdings hat SecureWorks keine Daten über seinen Einsatz in zielgerichteten Attacken, obgleich die Experten eine solche Möglichkeit nicht ausschließen. Zum gegenwärtigen Zeitpunkt sind unter den Opfern des Schädlings Vertreter aus dem Gesundheitswesen, aus dem Bildungsbereich sowie Produktionsbetriebe, doch Infektionen über ein Exploit oder zielgerichtete Versendungen wurden bisher nicht registriert. Die Forscher nehmen an, dass die Anwender sich den Spion auf Websites einfangen, auf denen sie eigentlich Piraten-Software herunterladen wollen. Dieses Verbreitungsschema hat Stegoloader schon früher verwendet.

„Der einzige Infektionsvektor, den ich bestätigen kann, ist der Download von Piratenprogrammen“, erklärte Pierre-Marc Bureau, Senior Security Researcher von SecureWorks. „Ich vermute, dass die Angreifer, sobald sie sich in einem Netz eingenistet haben, das für sie von Interesse ist, sofort zusätzliche Module einsetzen, um weiteren Zugriff zu erhalten. Allerdings sind mir solche Module bisher nicht untergekommen.“

Stegoloader stiehlt in erster Linie Informationen über das System und lädt andere Module, die den Zugriff auf kürzlich geöffnete Dokumente und auf Listen der installierten Programme ermöglichen und die Einträge aus dem Browserverlauf und installierte Dateien für die Entwicklungs- und Analyse-Plattform IDA stehlen und zudem die Passwort stehlende Malware Pony hochladen.

„Bevor der Schädling andere Module bereitstellt, überprüft er, ob er in einer Analyse-Umgebung ausgeführt wird“, teilt SecureWorks über seine Entdeckung mit. „So verfolgt das Bereitstellungsmodul beispielsweise die Platzierung des Maus-Cursors, indem es viele Male die Funktion GetCursorPos aufruft. Wenn der Cursor sich die ganze Zeit bewegt oder sich aufgehängt hat, stellt der Schädling die Arbeit ein und legt keinerlei schädliche Aktivität an den Tag.“

„Ebenfalls um die statische Analyse zu verlangsamen, werdendie meisten Binärcode-Zeilen im Programm-Stack konstruiert, bevor sie benutzt werden“, schreiben die Forscher weiter. „Diese Standardtechnik garantiert Virenschreibern, dass keine in Klartext gespeicherten Codezeilen im Körper des Schädlings vorhanden sind. Sie werden dynamisch konstruiert, was die Erkennung und Analyse erschwert.“

Das Bereitstellungsmodul registriert laufende Prozesse und setzt die Ausführung seiner Hauptfunktionalität aus, wenn es eine von zwei Dutzend hartcodierten Zeilen entdeckt, die mit Untersuchungstools wie Wireshark, Fiddler und anderen in Verbindung gebracht werden. Wird kein Feind entdeckt, so verbindet es sich mit dem C&C-Server, verschlüsselt die Kommunikation und lädt die PNG-Datei mit dem Schadcode.

„Der extrahierte Datenstrom wird mit Hilfe des Algorithmus‘ RC4 und eines hartcodierten Schlüssels chiffriert“, erläutern die Experten von SecureWorks. „Dabei werden weder die PNG-Abbildung noch der verschlüsselte Code auf der Festplatte gespeichert, was die Suche nach dem Schädling mit den traditionellen Mitteln der Signatur-basierten Analyse erschwert. Bereits analysierte Samples verwendeten unterschiedliche URL für den Download und unterschiedliche RC4-Schlüssel.“

Nach dem Start des Hauptmoduls, das nach Angaben von SecureWorks nur im Arbeitsspeicher existiert, können verschiedene Befehle vom C&C-Server zur Ausführung kommen – selbstverständlich nur, wenn die Angreifer an dem kompromittierten Rechner interessiert sind. Die Liste der möglichen Befehle umfasst das Aufheben und Stoppen der Ausführung von Befehlen, das Absenden von Informationen über das System und das Versenden des Verlaufs von Firefox/Chrome/Internet Explorer sowie die Ausführung von Shell-Code.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.