GootKit: neue Methoden zum Verbergen und Verbleiben im System

Wie Softpedia mit Verweis auf einen Bericht von IBM X-Force mitteilt, hat einer der aktivsten Bank-Trojaner, GootKit, im Juni ein umfassendes Update erhalten, wobei sein Quellcode erneut geändert wurde.

Im Gegensatz zu seinen Konkurrenten wurde dieser Bank-Schädling, der im Jahr 2014 erstmals in freier Wildbahn auftauchte, noch nie als Malware-as-a-Service angeboten und sein Quellcode war niemals öffentlich verfügbar. Nach Aussage von X-Force kontrollieren die GootKit-Betreiber die Frequenz, mit der die Angriffe durchgeführt werden, streng, ebenso wie die Liste der potentiellen Opfer, bei denen es sich in erster Linie um Kunden europäischer Banken handelt, darunter auch juristische Personen.

GootKit wird mit Hilfe der Exploit-Packs Angler und Neutrino verbreitet. Der Schädling stiehlt die Zugangsdaten zum Online-Banking mit Hilfe von Web-Einschleusungen, indem er den Content im Browser im Flug austauscht. Seine Autoren verwenden eine Menge Arbeit darauf, ihr Baby vor Entdeckung zu schützen und verbessern zu diesem Zweck fortlaufend den Quellcode.

Im vergangen Monat fanden die Experten von X-Force heraus, dass die Virenschreiber GootKit erneut Modifikationen unterzogen haben, und zudem recht weitreichenden: Sie haben das Modul zum Diebstahl von Videodaten leichter gemacht, das Format MP4 gegen das veraltete .ivf mit Komprimierung mit LZMA ausgetauscht; sie haben die Detektion virtueller Maschinen verbessert, die normalerweise für die Analyse von verdächtigem Code verwendet werden, und sie haben obendrein die Installationsart geändert.

Während sich GootKit früher – wie viele andere moderne Bank-Schädlinge auch – auf Dropper verlassen hat, die eine ausführbare Datei auf der infizierten Maschine starten, so lädt der Schädling jetzt nur eine DLL in einen Prozess seiner Wahl. Und bei diesem Prozess handelt es sich keinesfalls um explorer.exe, der von fast allen Bankern benutzt wird, früher auch von GootKit, sondern um svchost.exe, dessen zahlreiche Exemplare, die gleichzeitig laufen können, den Antiviren-Scannern die Arbeit erheblich erschweren.

Und während GootKit früher außerdem Veränderungen in der Windows-Registry vorgenommen hat, um die Persistenz zu gewährleisten, so registriert er sich jetzt in der Registry unter willkürlichem Namen als geplanter Task, wenn die Bereitstellung mit minimalen Privilegien erfolgt (LUA), oder als Windows-Dienst, wofür allerdings Administratorenrechte erforderlich sind.

Im ersten Fall wird der schädliche Task minütlich in der Art eines Wächterprozesses ausgeführt, ebenso wie nach jedem Start, damit GootKit auch nach einem Antiviren-Scan oder der Installation von Systemupdates auf der Workstation präsent bleibt. Wird der Schädling als Dienst registriert, so wird er gestartet, noch bevor der Nutzer sich ins System einloggt, und er setzt seine Arbeit fort, nachdem sich dieser ausgeloggt hat. Der Name des Schädlingsdienstes ist zufällig, um kein Misstrauen einerseits bei dem Anwender zu erwecken, wenn dieser einen Blick auf die Liste der laufenden Prozesse wirft, andererseits bei der Software, die einen Systemscan durchführt.

Die Suche nach einer virtuellen Maschine führt der aktualisierte GootKit auf zweierlei Art durch. Vor der Bereitstellung der Payload sucht der Dropper in der System-Registry, auf der Festplatte, im BIOS und im Bereich der MAC-Adresse nach Werten, die mit einer VM in Verbindung gebracht werden (VMWare, VBOX, SONI usw.). Werden solche Variablen entdeckt, so deaktiviert sich der Schädling und sendet einen Bericht an den C&C-Server, damit der Botbetreiber irgendwelche Maßnahmen ergreifen kann – beispielweise die betreffende Workstation in die Schwarze Liste aufnehmen.

In der Folge werden einige dieser VM-Überprüfungen wiederholt und neue werden hinzugefügt. So wird etwa nach sprechenden Werten im Ereignisprotokoll des BIOS gesucht, ein Vergleich mit der Weißen Liste der Namen für den Zentralprozessor wird durchgeführt (virtuelle Maschinen weisen dem Prozessorkern normalerweise einen ungewöhnlichen Namen zu). Zudem wird überprüft, ob Festplatten mit IDE- und SCSI-Schnittstellen vorhanden sind.

Eine Analyse der Konfigurationsdatei von GootKit hat gezeigt, dass der Schädling bevorzugt französische und britische Banken angreift, obwohl er sich auf für italienische und spanische Finanzinstitute interessiert. Die Population von GootKit ist insgesamt sehr klein, auf ihn entfallen nach Angaben von IBM nur 4% aller Attacken von Finanzschädlingen.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.