Kaspersky entdeckt dateilose Malware in Windows-Ereignisprotokollen

Das Cybersicherheitsunternehmen sagt, dass dies das erste Mal ist, dass sie diese Art von Malware-Versteckmethode gesehen haben.

Bild: weerapat1003 / Adobe Stock

Eine beispiellose Entdeckung von Kaspersky könnte schwerwiegende Folgen für Benutzer von Windows-Betriebssystemen haben. Das Cybersicherheitsunternehmen hat einen Artikel veröffentlicht am 4. Mai, in dem detailliert beschrieben wird, dass Hacker zum allerersten Mal Shellcode in Windows-Ereignisprotokolle eingefügt haben, um Trojaner als dateilose Malware zu verstecken.

Die Malware-Kampagne nutzte ein breites Spektrum an Techniken, darunter kommerzielle Penetrationstest-Suites und Anti-Erkennungs-Wrapper, darunter solche, die mit der Programmiersprache Go kompiliert wurden, sowie mehrere Last-Stage-Trojaner.

SEHEN: Passwortverletzung: Warum Popkultur und Passwörter nicht zusammenpassen (kostenloses PDF) (TechRepublic)

Die Hackergruppen setzten in der letzten Phase zwei Arten von Trojanern ein, um sich weiteren Zugriff auf das System zu verschaffen. Dies wurde über zwei verschiedene Methoden bereitgestellt, sowohl über die HTTP-Netzwerkkommunikation als auch durch die Aktivierung der Named Pipes.

Wie Hacker den Trojaner in Ereignisprotokolle geschickt haben

Laut Kaspersky ereignete sich das früheste Mal, dass diese Malware versteckt wurde, im September 2021. Die Angreifer konnten ein Ziel dazu bringen, eine .rar-Datei über eine authentische Website herunterzuladen, die dann .dll-Trojaner-Dateien auf die Festplatte des beabsichtigten Opfers entpackte.

„Wir wurden Zeugen einer neuen gezielten Malware-Technik, die unsere Aufmerksamkeit erregt hat“, sagte Denis Legezo, leitender Sicherheitsforscher bei Kaspersky. „Für den Angriff hat der Akteur einen verschlüsselten Shellcode aus Windows-Ereignisprotokollen aufbewahrt und dann ausgeführt. Das ist ein Ansatz, den wir noch nie zuvor gesehen haben, und unterstreicht, wie wichtig es ist, sich der Bedrohungen bewusst zu sein, die Sie sonst überraschen könnten. Wir glauben, dass es sich lohnt, die Technik der Ereignisprotokolle zu MITRE Matrixs Abschnitt Defense Evasion and Hide Artifacts hinzuzufügen. Auch die Nutzung mehrerer kommerzieller Pentesting-Suiten ist nicht alltäglich.“

Die HTTP-Netzwerkmethode sah, dass die bösartige Datei auf die Windows-Systemdateien abzielte und eine Malware versteckte, indem sie ein Duplikat einer vorhandenen Datei mit dem Zusatz „1.1“ zur Zeichenfolge erstellte, von der Kaspersky annimmt, dass es sich um die bösartige Version einer Datei handelt .

„Vor der HTTP-Kommunikation sendet das Modul leere (aber immer noch verschlüsselte) Daten in einem ICMP-Paket, um die Verbindung zu prüfen, wobei ein fest codierter 32 Byte langer RC4-Schlüssel verwendet wird“, sagte Legezo. „Wie alle anderen Zeichenfolgen wird dieser Schlüssel mit dem Throwback-XOR-basierten Algorithmus verschlüsselt. Wenn der Ping eines Kontrollservers mit verfügbarem Port 80 erfolgreich ist, werden die oben genannten Fingerabdruckdaten an diesen gesendet. Als Antwort teilt der C2 den verschlüsselten Befehl für die Hauptschleife des Trojaners.“

Die andere Methode ist als Named-Based Pipes-Trojaner bekannt, der die Microsoft Help Data Services Module-Bibliothek in Windows-Betriebssystemdateien findet und dann eine vorhandene Datei greift, um sie mit einer Malware-Version zu überschreiben, die eine Reihe von Befehlen ausführen kann. Sobald die bösartige Version ausgeführt wird, wird das Gerät des Opfers nach Architektur- und Windows-Versionsinformationen durchsucht.

So vermeiden Sie diese Art von Angriff

Kaspersky bietet die folgenden Tipps für Windows-Benutzer, die hoffen, diese Art von Malware zu vermeiden:

  • Verwenden Sie eine zuverlässige Endpoint-Sicherheitslösung.
  • Installieren Sie Anti-APT- und EDR-Lösungen.
  • Stellen Sie Ihrem Sicherheitsteam die neuesten Bedrohungsinformationen und Schulungen zur Verfügung.
  • Integrieren Sie Endpoint Protection und setzen Sie dedizierte Dienste ein, die zum Schutz vor hochkarätigen Angriffen beitragen können.

Während die von Hackern verwendeten Methoden immer schwieriger zu entdecken sind, ist es so wichtig wie nie zuvor, die Sicherheit der Geräte zu gewährleisten. Die Verantwortung für den Schutz von Geräten liegt genauso auf den Schultern des IT-Teams wie auf den Benutzern eines Windows-Geräts. Durch den Einsatz von Endpoint Security und einer Zero-Trust-Architektur kann der nächste große Malware-Angriff gestoppt werden, wodurch der Verlust sensibler Daten und persönlicher Informationen verhindert wird.

Leave a Comment