News

GootKit: neue Methoden zum Verbergen und Verbleiben im System

Wie Softpedia mit Verweis auf einen Bericht von IBM X-Force mitteilt, hat einer der aktivsten Bank-Trojaner, GootKit, im Juni ein umfassendes Update erhalten, wobei sein Quellcode erneut geändert wurde.

Im Gegensatz zu seinen Konkurrenten wurde dieser Bank-Schädling, der im Jahr 2014 erstmals in freier Wildbahn auftauchte, noch nie als Malware-as-a-Service angeboten und sein Quellcode war niemals öffentlich verfügbar. Nach Aussage von X-Force kontrollieren die GootKit-Betreiber die Frequenz, mit der die Angriffe durchgeführt werden, streng, ebenso wie die Liste der potentiellen Opfer, bei denen es sich in erster Linie um Kunden europäischer Banken handelt, darunter auch juristische Personen.

GootKit wird mit Hilfe der Exploit-Packs Angler und Neutrino verbreitet. Der Schädling stiehlt die Zugangsdaten zum Online-Banking mit Hilfe von Web-Einschleusungen, indem er den Content im Browser im Flug austauscht. Seine Autoren verwenden eine Menge Arbeit darauf, ihr Baby vor Entdeckung zu schützen und verbessern zu diesem Zweck fortlaufend den Quellcode.

Im vergangen Monat fanden die Experten von X-Force heraus, dass die Virenschreiber GootKit erneut Modifikationen unterzogen haben, und zudem recht weitreichenden: Sie haben das Modul zum Diebstahl von Videodaten leichter gemacht, das Format MP4 gegen das veraltete .ivf mit Komprimierung mit LZMA ausgetauscht; sie haben die Detektion virtueller Maschinen verbessert, die normalerweise für die Analyse von verdächtigem Code verwendet werden, und sie haben obendrein die Installationsart geändert.

Während sich GootKit früher – wie viele andere moderne Bank-Schädlinge auch – auf Dropper verlassen hat, die eine ausführbare Datei auf der infizierten Maschine starten, so lädt der Schädling jetzt nur eine DLL in einen Prozess seiner Wahl. Und bei diesem Prozess handelt es sich keinesfalls um explorer.exe, der von fast allen Bankern benutzt wird, früher auch von GootKit, sondern um svchost.exe, dessen zahlreiche Exemplare, die gleichzeitig laufen können, den Antiviren-Scannern die Arbeit erheblich erschweren.

Und während GootKit früher außerdem Veränderungen in der Windows-Registry vorgenommen hat, um die Persistenz zu gewährleisten, so registriert er sich jetzt in der Registry unter willkürlichem Namen als geplanter Task, wenn die Bereitstellung mit minimalen Privilegien erfolgt (LUA), oder als Windows-Dienst, wofür allerdings Administratorenrechte erforderlich sind.

Im ersten Fall wird der schädliche Task minütlich in der Art eines Wächterprozesses ausgeführt, ebenso wie nach jedem Start, damit GootKit auch nach einem Antiviren-Scan oder der Installation von Systemupdates auf der Workstation präsent bleibt. Wird der Schädling als Dienst registriert, so wird er gestartet, noch bevor der Nutzer sich ins System einloggt, und er setzt seine Arbeit fort, nachdem sich dieser ausgeloggt hat. Der Name des Schädlingsdienstes ist zufällig, um kein Misstrauen einerseits bei dem Anwender zu erwecken, wenn dieser einen Blick auf die Liste der laufenden Prozesse wirft, andererseits bei der Software, die einen Systemscan durchführt.

Die Suche nach einer virtuellen Maschine führt der aktualisierte GootKit auf zweierlei Art durch. Vor der Bereitstellung der Payload sucht der Dropper in der System-Registry, auf der Festplatte, im BIOS und im Bereich der MAC-Adresse nach Werten, die mit einer VM in Verbindung gebracht werden (VMWare, VBOX, SONI usw.). Werden solche Variablen entdeckt, so deaktiviert sich der Schädling und sendet einen Bericht an den C&C-Server, damit der Botbetreiber irgendwelche Maßnahmen ergreifen kann – beispielweise die betreffende Workstation in die Schwarze Liste aufnehmen.

In der Folge werden einige dieser VM-Überprüfungen wiederholt und neue werden hinzugefügt. So wird etwa nach sprechenden Werten im Ereignisprotokoll des BIOS gesucht, ein Vergleich mit der Weißen Liste der Namen für den Zentralprozessor wird durchgeführt (virtuelle Maschinen weisen dem Prozessorkern normalerweise einen ungewöhnlichen Namen zu). Zudem wird überprüft, ob Festplatten mit IDE- und SCSI-Schnittstellen vorhanden sind.

Eine Analyse der Konfigurationsdatei von GootKit hat gezeigt, dass der Schädling bevorzugt französische und britische Banken angreift, obwohl er sich auf für italienische und spanische Finanzinstitute interessiert. Die Population von GootKit ist insgesamt sehr klein, auf ihn entfallen nach Angaben von IBM nur 4% aller Attacken von Finanzschädlingen.

Quelle: Softpedia

GootKit: neue Methoden zum Verbergen und Verbleiben im System

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach