Cybercrime
Ausweichtaktiken machen Malware unsichtbar
von
Jens
Stark - 04.09.2019
Foto:
Cyberkriminelle nutzten neue Wege, um ihre Schadsoftware vor den gängigen Sicherheitsmechanismen zu verstecken. Dadurch bleibt Malware oft lange Zeit aktiv, bis die Gefahr entdeckt wird.
Cyberkriminelle suchen weiterhin nach immer neuen Schwachstellen auf der gesamten digitalen Angriffsfläche von Unternehmen. Mit Ausweich- und Antianalyseverfahren werden ihre Ansätze dabei immer ausgefeilter. Dies sind die Hauptergebnisse des aktuellen vierteljährlichen "Global Threat Landscape Report" von Fortinet.
Zudem hat der sogenannte Threat Landscape Index im jüngsten Quartal einen neuen Höchstwert erreicht: Gegenüber dem Vorjahr hat er sich um fast vier Prozent erhöht. Laut dem IT-Security-Spezialisten sind die Hauptgründe für den Anstieg bei vermehrten Malware- und Exploit-Aktivitäten zu suchen.
Ausweichtaktiken von Malware
Wie bereits angedeutet, kann Malware mittlerweile über Funktionen verfügen, um Antiviren-Software oder andere Maßnahmen zur Bedrohungserkennung zu umgehen. Im Report wird in diesem Zusammenhang von einer kürzlich observierten, großangelegten Spam-Kampagne berichtet, bei der Angreifer diese Techniken einsetzen und optimieren. Dabei wurden Phishing-E-Mails versandt, die ein Excel-Dokument mit einem bösartigen Makro enthielten. Das Besondere dabei: Die Attribute des Makros waren darauf ausgelegt, Sicherheits-Tools zu deaktivieren, willkürlich Befehle auszuführen und Speicherprobleme zu verursachen. Zudem sollten sie sicherstellen, dass sich das Makro nur auf japanischen Systemen ausführen ließ. Eine Rolle spielte dabei auch eine xlDate-Variable, die bisher nicht vom Hersteller dokumentiert ist.
Ein weiteres Beispiel ist eine Variante des Dridex-Banking-Trojaners, der bei jeder Anmeldung des Opfers die Namen und Hashes von Dateien ändert. Das mache es schwierig, die Malware auf infizierten Host-Systemen zu erkennen, heißt es.
Möglichst lange unentdeckt bleiben
Daneben zeigt die Studie, welche Methoden Schadprogramme verwenden, um möglichst lange "under cover" zu operieren. Als Beispiel wird die Malware Zegost genannt, die zunächst einmal das grundlegende Element einer Speer-Phishing-Kampagne ist. Wie bei anderen Infostealern ist das Hauptziel von Zegost, Geräteinformationen zu sammeln und zu exportieren. Im Vergleich zu anderer Malware enthält Zegost jedoch eine bislang einzigartige Konfigurationen, um nicht entdeckt zu werden. Beispielsweise gibt es eine Funktion zum Löschen von Ereignisprotokollen. Diese Art der Bereinigung ist bei typischer Malware nicht zu beobachten. Eine weitere interessante Ausweichstrategie von Zegost ist ein Befehl, der den Infostealer bis zum 14. Februar 2019 in eine Art Ruheposition versetzte. Erst danach begann er seine Infektionsroutine.
Die kriminellen Akteure hinter Zegost nutzen also ein ganzes Arsenal an Exploits. Ihr Ziel ist es, eine Verbindung zum anvisierten Opfer herzustellen und aufrechtzuerhalten. Das macht sie im Vergleich zu anderen Angreifern zu einer langfristigen Bedrohung.
Die kriminellen Akteure hinter Zegost nutzen also ein ganzes Arsenal an Exploits. Ihr Ziel ist es, eine Verbindung zum anvisierten Opfer herzustellen und aufrechtzuerhalten. Das macht sie im Vergleich zu anderen Angreifern zu einer langfristigen Bedrohung.
