News

Verbergungstechnik lässt Cryptowall-Verbreitung durch Angler florieren

Das Exploit-Pack Angler folgt dem Beispiel jener Schädlinge, die sich weiterentwickeln, indem sie die Technologien zur Umgehung von Detektionslösungen ausbauen. Seit Anfang Juni registrieren die Beobachter aus dem SANS Internet Storm Center fast täglich einen Austausch der URL-Schablonen, die von diesem Exploit-Pack verwendet werden, um die Erpressersoftware Cryptowall 3.0 in Umlauf zu bringen.

Nach Angaben von Brad Duncan, Forscher bei Rackspace und ständiger Mitarbeiter von ISC SANS, hat sich der mit Angler in Verbindung stehende Traffic innerhalb eines Monats fast bis zur Unkenntlichkeit verändert. „Möglicherweise sind die an den URL-Schablonen von Angler vorgenommenen Veränderungen ein Versuch, die Intrusion Detection Systeme zu umgehen”, kommentiert der Experte. „Das ist lediglich unsere Vermutung, aber die ist aller Wahrscheinlichkeit nach nicht allzu weit von der Realität entfernt.“

Das Exploit-Pack Angler wird benutzt, um verschiedene Schädlinge in Umlauf zu bringen, doch zum aktuellen Zeitpunkt ist sein Favorit Cryptowall 3.0. Dieses Dateien blockierende Erpresserprogramm verschlüsselt Dateien des Opfers und fordert 500 Dollar (in Bitcoin) für die Dechiffrierung. Vor zehn Tagen veröffentlichte das FBI eine Warnmitteilung, in der die Gesamtverluste der Opfer von Cryptowall 3.0 aufgeführt wurden – mehr als18 Millionen US-Dollar.

Seit vergangenem Februar wird dieses Schadprogramm hauptsächlich mit Hilfe von Exploit-Packs verbreitet. Laut den Ergebnissen einer von Cisco durchgeführten Analyse verwendet Cryptowall 3.0 einen vereinfachten Dropper, aus dessen Funktionalität die Exploits entnommen wurden. Das Verbreitungsschema unter Einsatz von Angler kam gegen Ende Mai langsam in Fahrt, und zwar gleichzeitig mit der Aktivierung von Spam-Versendungen, die die Verbreitung von Cryptowall 3.0 zum Ziel hatten.

Die Renatbilität dieser Schadkampagnen ist allem Anschein nach hoch, da die Verbreiter des Blockierprogramms nun eifrig in neue URL-Schemata investieren. Nach Angaben von Duncan gab es leichte Veränderungen in den URL-Schablonen, die in den HTTP GET-Anfragen nach der Landing-Page von Angler verwendet werden, doch auch in Anfragen nach dem in den Attacken verwendeten Flash-Exploit und der eigentlichen Payload (Cryptowall).

So wurde im Zeitraum zwischen dem 9. und 12. Juni den URL-Zeilen ein Fragezeichen hinzugefügt, und die Schablone selbst erhielt ein anderes Äußeres [Wortfolge]=[Zahlenfolge]. Zum 15. Juni änderte sich die Anfrage an die Landing-Page erneut und in der Zeile erschienen willkürliche Folgen und ausgeschriebene Zahlen. Am nächsten Tag waren die Zahlen in der Anfrage übrigens nicht mehr ausgeschrieben.

„Am nächsten Tag, dem 16.06.2015, haben wir keine Zahlwörter mehr beobachten können“, stellt Duncan fest.“Die Schablone &one &two &three (usw.) war durch das Muster &[willkürliches Wort] ersetzt worden“. Bereits nach einem Tag begannen die Experimente mit langen Ketten von alphabetischen Zeichen. Zum vergangenen Mittwoch entfernten sich die mit Angler in Verbindung gebrachten GET-Anfragen komplett von dem Original, das am 9. Juni registriert worden war: Laut Aussage des Forschers sieht die Suchzeile nun so aus: search?q=, während sie zu Beginn des vergangenen Monats noch folgendermaßen aussah: search?[willkürliche Zeichen].

Der Experte weist zudem darauf hin, dass ein solches Katz- und Maus-Spiel ständige Modifikationen erforderlich macht, und zwar nicht nur in den Signaturen, sondern auch in den „Perl-kompatiblen regulären Ausdrücke“ (PCRE), die bei dem Vergleich der URL-Schablonen angewendet werden. Den Standard PCRE unterstützen beispielsweise alle Intrusion Detection Systeme auf der Basis von Snort.

Quelle: Threatpost

Verbergungstechnik lässt Cryptowall-Verbreitung durch Angler florieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach