TeslaCrypt erweitert Dateiliste und verbessert Selbstschutz

Wie viele andere seiner Art, gibt auch TeslaCrypt sich nicht mit dem Erreichten zufrieden. In den letzten Wochen haben die Forscher von Endgame zwei neue Samples dieser Erpresser-Malware gefunden, die mit neuen Obfuskations- und Selbstschutzmethoden ausgestattet sind, sowie mit einer langen Liste von Dateierweiterungen.

Wie die Expertin Amanda Rousseau gegenüber Threatpost erklärte, werden diese neuen Samples massenhaft als Anhänge an Spam-Mails verbreitet, die als Mitteilungen von Logistikunternehmen getarnt sind. Die Version 4.1A erschien nach Einschätzung von Endgame vor etwa einer Woche; neben den bereits bekannten Erweiterungen richtet sie sich auch gegen die folgenden: .7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv und .wallet.

Die Verbreitung von TeslaCrypt mittels Spam ist ebenfalls neu: In den letzten TeslaCrypt-Kampagnen wurden Exploit-Packs und Redirects von WordPress– und Joomla-Sites verwendet, um den Verschlüsselungsschädling in Umlauf zu bringen. Nun soll das Opfer eine angehängte ZIP-Datei öffnen, um den JavaScript-Downloader zu aktivieren, der Wscript (eine Windows-Komponente) zum Laden der TeslaCrypt-Binärdatei aus der Domain greetingsyoungqq[.]com verwendet.

Rousseau zufolge war die Analyse des aktualisierten Verschlüsselungsschädlings überaus aufwendig, da dieser viele Code-Threads und Debugging-Techniken einsetzt, um den Schutzlösungen das Leben schwer zu machen. „Sie scheinen sehr darum bemüht zu sein, Strings im Speicher zu verbergen“, sagt Rousseau. „Es ist sehr viel schwieriger, den Schädling zu entdecken, wenn es [ein AV-Produkt] nicht den Speicher scannt.“

TeslaCrypt erweitert Dateiliste und verbessert Selbstschutz

Auch die Nutzung von Wscript erschwert die Erkennung, da der Traffic aussieht wie eine legitime Windows-Kommunikation. Laut Aussage von Rousseau benötigten die Detektions-Tools vier Tage, um diese Technik zu erkennen und sie als Signatur darzustellen. Die Einsatzzeit der C&C-Server, auf denen TeslaCrypt gehostet wird, ist befristet, und nach Ablauf der Frist wechseln die Cybergangster das Hosting.

Die aktualisierte Ransomware verwendet auch ein COM-Objekt, um das Herausziehen von Code-Strings zu verbergen und zerstört die Zone-IDs, damit sie nicht gefunden werden. Um einer Überwachung zu entgehen, beendet der Schädling zudem eine Reihe von Windows-Prozessen, und zwar Task Manager, Registry Editor, SysInternals Process Explorer, System Configuration und Command Shell. Um sich dauerhaft im System festzusetzen, kopiert er sich auf die Festplatte und erstellt einen entsprechenden Registry-Wert.

Eine genaue technische Beschreibung der neuen TeslaCrypt-Version, darunter auch der von ihr verwendeten Verschlüsselungs- und Anti-Debugging-Techniken, wurde im Blog von Endgame veröffentlicht.

In ihrem Kommentar weist Rousseau darauf hin, dass die neuen Samples es im Rahmen der durchgeführten Tests bis zu den angeschlossenen Netzwerkfestplatten geschafft und dort versucht hätten Dateien zu verschlüsseln. Sie unternehmen zudem den Versuch, Volume Shadow Copy zu löschen, der Windows-Systemdienst zur Erstellung von Schattenkopien, um dem Opfer diese Möglichkeit zur Wiederherstellung zu nehmen.

Es gibt auch gute Nachrichten: Die aktualisierte TeslaCrypt-Version codiert die Dateien mit einem AES 256-Schlüssel und nicht mit einem 4096 Bit langen RSA, wie in der Lösegeldforderung angegeben, und dabei verbleiben die für die Dechiffrierung unerlässlichen Informationen auf dem infizierten Rechner. „Wir haben den Verschlüsselungsalgorithmus analysiert: Er funktioniert korrekt, belässt aber die Wiederherstellungsdatei im System“, bestätigt Rousseau. „Nimmt man den früheren Decodierer von TeslaCrypt und aktualisiert seinen Code entsprechend [den neuen Erkenntnissen], kann man eine Entschlüsselung durchführen.“ Vor ungefähr einem Jahr hat Cisco ein Kommandozeilen-Tool herausgebracht, das die von TeslaCrypt gekaperten Dateien dechiffrieren kann.

Rousseau weist zudem darauf hin, dass die Autoren des aktualisierten Schädlings viel Code aus früheren Versionen übernommen haben, unter anderem die Verwendung von COM-Objekten und einige Debugging-Techniken. „Man hat den Eindruck, sie sind den Forschern dicht auf den Fersen, betrachten den [Entschlüsselung-] Code, der auf Github und als open source veröffentlicht wurde“, sagt die Vertreterin von Endgame und verweist auf die raschen Veränderungen der letzten Monate, beginnend mit der Version 4.0 bis hin zur jüngsten Version 4.1A. „Kleine Verbesserungen werden mit jeder Version und gegenüber jedem Decodierer angebracht. Sie nehmen das Beste von dem, was vor einigen Monaten gut war, und wenden es heute an.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.