Verbergungstechnik lässt Cryptowall-Verbreitung durch Angler florieren

Das Exploit-Pack Angler folgt dem Beispiel jener Schädlinge, die sich weiterentwickeln, indem sie die Technologien zur Umgehung von Detektionslösungen ausbauen. Seit Anfang Juni registrieren die Beobachter aus dem SANS Internet Storm Center fast täglich einen Austausch der URL-Schablonen, die von diesem Exploit-Pack verwendet werden, um die Erpressersoftware Cryptowall 3.0 in Umlauf zu bringen.

Nach Angaben von Brad Duncan, Forscher bei Rackspace und ständiger Mitarbeiter von ISC SANS, hat sich der mit Angler in Verbindung stehende Traffic innerhalb eines Monats fast bis zur Unkenntlichkeit verändert. „Möglicherweise sind die an den URL-Schablonen von Angler vorgenommenen Veränderungen ein Versuch, die Intrusion Detection Systeme zu umgehen”, kommentiert der Experte. „Das ist lediglich unsere Vermutung, aber die ist aller Wahrscheinlichkeit nach nicht allzu weit von der Realität entfernt.“

Das Exploit-Pack Angler wird benutzt, um verschiedene Schädlinge in Umlauf zu bringen, doch zum aktuellen Zeitpunkt ist sein Favorit Cryptowall 3.0. Dieses Dateien blockierende Erpresserprogramm verschlüsselt Dateien des Opfers und fordert 500 Dollar (in Bitcoin) für die Dechiffrierung. Vor zehn Tagen veröffentlichte das FBI eine Warnmitteilung, in der die Gesamtverluste der Opfer von Cryptowall 3.0 aufgeführt wurden – mehr als18 Millionen US-Dollar.

Seit vergangenem Februar wird dieses Schadprogramm hauptsächlich mit Hilfe von Exploit-Packs verbreitet. Laut den Ergebnissen einer von Cisco durchgeführten Analyse verwendet Cryptowall 3.0 einen vereinfachten Dropper, aus dessen Funktionalität die Exploits entnommen wurden. Das Verbreitungsschema unter Einsatz von Angler kam gegen Ende Mai langsam in Fahrt, und zwar gleichzeitig mit der Aktivierung von Spam-Versendungen, die die Verbreitung von Cryptowall 3.0 zum Ziel hatten.

Die Renatbilität dieser Schadkampagnen ist allem Anschein nach hoch, da die Verbreiter des Blockierprogramms nun eifrig in neue URL-Schemata investieren. Nach Angaben von Duncan gab es leichte Veränderungen in den URL-Schablonen, die in den HTTP GET-Anfragen nach der Landing-Page von Angler verwendet werden, doch auch in Anfragen nach dem in den Attacken verwendeten Flash-Exploit und der eigentlichen Payload (Cryptowall).

So wurde im Zeitraum zwischen dem 9. und 12. Juni den URL-Zeilen ein Fragezeichen hinzugefügt, und die Schablone selbst erhielt ein anderes Äußeres [Wortfolge]=[Zahlenfolge]. Zum 15. Juni änderte sich die Anfrage an die Landing-Page erneut und in der Zeile erschienen willkürliche Folgen und ausgeschriebene Zahlen. Am nächsten Tag waren die Zahlen in der Anfrage übrigens nicht mehr ausgeschrieben.

„Am nächsten Tag, dem 16.06.2015, haben wir keine Zahlwörter mehr beobachten können“, stellt Duncan fest.“Die Schablone &one &two &three (usw.) war durch das Muster &[willkürliches Wort] ersetzt worden“. Bereits nach einem Tag begannen die Experimente mit langen Ketten von alphabetischen Zeichen. Zum vergangenen Mittwoch entfernten sich die mit Angler in Verbindung gebrachten GET-Anfragen komplett von dem Original, das am 9. Juni registriert worden war: Laut Aussage des Forschers sieht die Suchzeile nun so aus: search?q=, während sie zu Beginn des vergangenen Monats noch folgendermaßen aussah: search?[willkürliche Zeichen].

Der Experte weist zudem darauf hin, dass ein solches Katz- und Maus-Spiel ständige Modifikationen erforderlich macht, und zwar nicht nur in den Signaturen, sondern auch in den „Perl-kompatiblen regulären Ausdrücke“ (PCRE), die bei dem Vergleich der URL-Schablonen angewendet werden. Den Standard PCRE unterstützen beispielsweise alle Intrusion Detection Systeme auf der Basis von Snort.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.