Locky und Cerber mit neuen Verbergungstechniken

Seit Mitte Januar beobachten Forscher, dass die neusten Versionen der Schädlinge Cerber und Locky gelernt haben, recht erfolgreich die existierenden Systeme zur Erkennung von Schadcode zu umgehen, und zwar mit Hilfe einer Infrastruktur, die es ermöglicht, Schadcode innerhalb eines NSIS-Installers zu verbergen. Außerdem wenden sie nun einige Obfuskations- und Verschlüsselungsebenen an – bis hin zur Codeausführung im Speicher.

Es ist nicht bekannt, ob die dafür nötige Infrastruktur in Untergrundforen verkauft wird oder ob die Autoren beider Schädlinge miteinander interagieren. Wirklich sicher ist nur, dass die neusten Versionen beider Familien ein ähnliches Verhalten an den Tag legen.

„Cyberkriminelle versuchen stets vorher noch unbekannte Wege zu finden, um die Ausführung ihres Schadcodes zu gewährleisten. Sobald wir herausgefunden haben, wie die eine oder andere Technik funktioniert, entwickeln sie bereits eine neue“, erzählt Tom Nipravsky, IT-Sicherheitsforscher bei Deep Instinct. „Im Laufe der letzten zwei Monate konnten wir einen neuen Trend beobachten, und zwar die Verwendung von NSIS. Wir mutmaßen, dass es sich dabei um irgendeine allgemeine Infrastruktur handelt, denn unterschiedliche Typen von Erpressern verhalten sich auf einmal völlig gleich.“

Nipravsky, Autor eines Berichts über die neusten Trend in der Welt der Cyberkriminellen, erklärte, dass nicht nur Cerber (Versionen 5.1 und 4) und Locky (viele Versionen) diese neue Technik verwenden, sondern auch verschiedene Versionen von Cryptolocker und Cryptowall.

„Wir nehmen an, dass diese Infrastruktur in den Tiefen des Darkwebs verkauft wird, doch wir sind uns dessen nicht zu hundert Prozent sicher. Allerdings muss es sich um eine einheitliche Infrastruktur handeln, da das Verhalten bei allen absolut gleich ist“, bemerkt er. „Der Trend ist bereits seit zwei Monaten zu beobachten; selbst die neusten Versionen von Locky und Cerber benutzen NSIS“.

NSIS ist die Abkürzung für Nullsoft Scriptable Install System – ein System zum Erstellen von Installationsprogrammen für Windows auf der Grundlage von offenem Code. Das ist das Schlüsselelement der Technik zur Obfuskation von Schadcode in den jüngsten Betrugskampagnen, das das Verbergen des ausführbaren Codes des Schädlings vor den Detektionssystemen ermöglicht. Laut dem Artikel von Nipravsky ruft ein SYSTEM Plugin im NSIS-Installer die Win32 API auf und gibt einem Angreifer so die Möglichkeit, den Speicher unter dem ausführbaren Inhalt herauszufinden und den Teil des Codes auszuführen, der für die Verschlüsselung der Payload zuständig ist.

„Dank dem SYSTEM Plugin kann man Funktionen innerhalb von Windows aufrufen und alles machen, was man will. Die Cybergangster separieren einen Teil des Speichers, schleusen dort ihren Code ein und führen ihn daraufhin aus“, sagte Nipravsky. „Da der ode obfuskiert ist, ist nur der Stub offensichtlich, der für die Erfüllung der XOR-Operation des nächsten Code-Schrittes zuständig ist. Die Schutzlösungen sehen nicht, was mit dem eigentlichen Code passiert. Sie können lediglich das registrieren, was ein kleiner Teil des Stubs macht, und der macht praktisch gar nichts, er führt lediglich die XOR-Operation über einigen Bytes aus.“

Der NSIS-Installer stellt Cyberkriminellen eine einfache Methode bereit, Schadcode auszuführen, unterstreicht Nipravsky. Doch seinen Worten zufolge ist das noch nicht alles.

In den Attacken wird beispielsweise die Technik Heaven’s Gate für den Aufruf von 64—Bit-Code aus einem 32-Bit-Prozess eingesetzt, was das Umgehen von API-Hooks ermöglicht, die in Detektionssystemen verwendet werden. Heaven’s Gate verwendet Systemaufrufe anstelle von Standard-APIs, was ebenfalls zur Obfuskation des Codes beiträgt, da die existierenden Debugger nicht immer gut funktionieren, wenn 64-Bit-Code aus einem 32-Bit-Prozess ausgeführt wird.

Für den Start des Installers wird in den Attacken auch eine Technik mit der Bezeichnung Process Hollowing eingesetzt. Mit ihrer Hilfe erstellen die Angreifer Prozesse im Zustand „angehalten“ und ersetzen das Prozessabbild durch das Abbild des Prozesses, den sie verbergen wollen. Der Installer ist innerhalb des NSIS-Installers verschlüsselt und wird im Laufe der Ausführung entschlüsselt.

„Alles passiert innerhalb des Speichers. Der Angreifer erstellt einen Prozess im Zustand ‚angehalten‘ und ersetzt das Abbild des Prozesses durch das Abbild des Ransomware-Prozesses und leitet den Eintrittspunkt des neuen Prozesses auf den schädlichen Code um“, erklärt Nipravsky. „Das heißt, wenn der Prozess fortgesetzt wird, wendet er sich an den Code es Schädlings und nicht an den ursprünglichen Code.“

Nipravsky schließt mit der Erläuterung, dass die Erstellung von Prozessen im angehaltenen Zustand und die Umverteilung von Abbildern als verdächtige Aktivität angesehen werden muss.

„Die Cyberkriminellen setzen die Technik Process Hollowing jedes Mal auf eine andere Weise ein, um das Erkennen und Verfolgen von schädlicher Aktivität zu verkomplizieren“, merkt der Experte dazu an. „Einen Prozess auszuführen, der sich im angehaltenen Zustand befindet, ist normal. Doch wenn damit ein Austausch des Abbilds einhergeht, dann wirkt das schon verdächtig. Ich sehe eine derartige Verwendung dieser Technik zum ersten Mal. Ein Scan der ausführbaren Dateien mit einem AV-Programm bestimmt, ob sie gestartet werden können, doch sobald diese Überprüfung vorbei ist, kann man machen, was man will. Das machen sich die Cyberverbrecher zunutze.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.