Modulare Malware Der neue heimliche Angriff, der Ihre Daten stiehlt
Malware gibt es in allen Formen und Größen. Darüber hinaus ist die Komplexität von Malware im Laufe der Jahre erheblich gewachsen. Angreifer wissen, dass der Versuch, jeden Aspekt ihres Schadpakets in eine einzige Nutzlast zu integrieren, nicht immer der effizienteste Weg ist.
Im Laufe der Zeit ist Malware modular geworden. Das heißt, einige Malware-Varianten können verschiedene Module verwenden, um die Auswirkungen auf ein Zielsystem zu ändern. Was ist modulare Malware und wie funktioniert sie??
Was ist modulare Malware??
Modulare Malware ist eine erweiterte Bedrohung, die ein System in verschiedenen Phasen angreift. Anstatt durch die Vordertür zu strahlen, geht modulare Malware subtiler vor.
Dazu werden nur die wesentlichen Komponenten installiert. Anstatt eine Fanfare zu verursachen und die Benutzer auf seine Anwesenheit aufmerksam zu machen, ermittelt das erste Modul die System- und Netzwerksicherheit. Wer ist zuständig, welche Schutzmaßnahmen ausgeführt werden, wo die Malware Schwachstellen finden kann, welche Exploits die besten Erfolgschancen haben und so weiter.
Nachdem die lokale Umgebung erfolgreich ausgelotet wurde, kann das Malware-Modul der ersten Stufe den Befehls- und Steuerungsserver (C2) auswählen. Der C2 kann dann weitere Anweisungen zusammen mit zusätzlichen Malware-Modulen zurücksenden, um die spezifische Umgebung zu nutzen, in der Malware betrieben wird.
Modulare Malware hat mehrere Vorteile im Vergleich zu Malware, bei der alle Funktionen in einer einzigen Nutzlast zusammengefasst sind.
- Der Malware-Autor kann die Malware-Signatur schnell ändern, um Virenschutz und andere Sicherheitsprogramme zu umgehen.
- Modulare Malware ermöglicht umfangreiche Funktionen für eine Vielzahl von Umgebungen. Autoren können dabei auf bestimmte Ziele reagieren oder alternativ bestimmte Module für den Einsatz in bestimmten Umgebungen vorsehen.
- Die anfänglichen Module sind winzig und etwas leichter zu verschleiern.
- Durch die Kombination mehrerer Malware-Module können Sicherheitsforscher abschätzen, was als nächstes kommt.
Modulare Malware ist keine plötzliche neue Bedrohung. Malware-Entwickler nutzen modulare Malware-Programme seit langem effizient. Der Unterschied besteht darin, dass Sicherheitsforscher in einer größeren Anzahl von Situationen auf modulare Malware treffen. Forscher haben auch das riesige Botnet von Necurs (bekannt für den Vertrieb der Ransomware-Varianten Dridex und Locky) entdeckt, das modulare Malware-Nutzlasten verteilt. (Was ist eigentlich ein Botnet? Was ist ein Botnet und ist Ihr Computer Teil von Einem? Was ist ein Botnet und ist Ihr Computer Teil von Einem?) Botnets sind eine Hauptquelle für Malware, Ransomware, Spam und vieles mehr ein Botnetz? Wie entstehen sie? Wer kontrolliert sie? Und wie können wir sie aufhalten?
Beispiele für modulare Malware
Es gibt einige sehr interessante modulare Malware-Beispiele. Hier sind ein paar für Sie zu berücksichtigen.
VPNFilter
VPNFilter ist eine aktuelle Malware-Variante, die Router und IoT-Geräte (Internet of Things) angreift. Die Malware arbeitet in drei Schritten.
Die erste Stufe der Malware kontaktiert einen Befehls- und Steuerungsserver, um das Modul der zweiten Stufe herunterzuladen. Das Modul der zweiten Stufe sammelt Daten, führt Befehle aus und kann die Geräteverwaltung beeinträchtigen (einschließlich der Fähigkeit zur “Backstein” Router, IoT oder NAS-Gerät). Die zweite Stufe kann auch Module der dritten Stufe herunterladen, die wie Plugins für die zweite Stufe funktionieren. Die Module der dritten Stufe umfassen einen Paketsniffer für SCADA-Verkehr, ein Paketinjektionsmodul und ein Modul, mit dem die Stufe-2-Malware über das Tor-Netzwerk kommunizieren kann.
Hier erfahren Sie mehr über VPNFilter, woher es stammt und wie man es erkennt.
T9000
Die Sicherheitsforscher von Palo Alto Networks haben die Malware des T9000 entdeckt (kein Bezug zu Terminator oder Skynet ... oder ?!).
T9000 ist ein Tool zur Aufklärung und Datensammlung. Einmal installiert, lässt T9000 einen Angreifer zu “Erfassen Sie verschlüsselte Daten, machen Sie Screenshots von bestimmten Anwendungen und richten Sie sich gezielt an Skype-Benutzer,” sowie Microsoft Office-Produktdateien. T9000 wird mit verschiedenen Modulen geliefert, die bis zu 24 verschiedene Sicherheitsprodukte umgehen und den Installationsprozess ändern, um unter dem Radar zu bleiben.
DanaBot
DanaBot ist ein mehrstufiger Banking-Trojaner mit verschiedenen Plugins, mit denen der Autor seine Funktionalität erweitert. (Wie Sie schnell und effektiv mit Remotezugriffstrojanern umgehen. Wie einfach und effektiv mit Remotezugriffstrojanern verfahren? Wie einfach und effektiv mit Remotezugriffstrojanern umgehen? Eine RAT riechen? Sie können es leicht loswerden, indem Sie diese einfachen Schritte befolgen. Lesen Sie mehr) Im Mai 2018 wurde DanaBot in einer Reihe von Angriffen auf australische Banken entdeckt. Zu dieser Zeit entdeckten die Forscher ein Packet-Sniffing- und -Injektions-Plugin, ein VNC-Plug-In für die Remote-Anzeige, ein Data-Harvesting-Plugin und ein Tor-Plugin, die eine sichere Kommunikation ermöglichen.
“DanaBot ist ein Banking-Trojaner, was bedeutet, dass er notwendigerweise geo-zielgerichtet ist,” liest den Proofpoint-DanaBot-Blogeintrag. “Die Übernahme durch Akteure mit hohem Volumen macht jedoch, wie wir in der US-Kampagne gesehen haben, eine aktive Entwicklung, eine geografische Expansion und ein anhaltendes Interesse der Bedrohungsakteure an der Malware an. Die Malware selbst enthält eine Reihe von Anti-Analyse-Funktionen sowie aktualisierte Stealer- und Fernsteuerungsmodule, wodurch die Attraktivität und der Nutzen für Bedrohungsakteure weiter erhöht werden.”
Marap, AdvisorsBot und CobInt
Ich kombiniere drei modulare Malware-Varianten in einem Abschnitt, als die hervorragenden Sicherheitsforscher bei Proofpoint alle drei entdeckten. Die modularen Malware-Varianten weisen Ähnlichkeiten auf, sind jedoch unterschiedlich verwendbar. Darüber hinaus ist CobInt Teil einer Kampagne für die Cobalt Group, eine kriminelle Organisation, die mit einer langen Liste von Bank- und Finanzkriminalität in Verbindung steht.
Marap und AdvisorsBot waren beide auf der Suche nach Zielsystemen für Verteidigung und Netzwerk-Mapping und ob die Malware die volle Nutzlast herunterladen sollte. Wenn das Zielsystem ausreichend interessant ist (z. B. einen Wert hat), fordert die Malware die zweite Stufe des Angriffs auf.
Wie andere modulare Malware-Varianten folgen Marap, AdvisorsBot und CobInt einem dreistufigen Ablauf. Die erste Stufe ist normalerweise eine E-Mail mit einem infizierten Anhang, der den ersten Exploit enthält. Wenn der Exploit ausgeführt wird, fordert die Malware sofort die zweite Stufe an. Die zweite Stufe trägt das Aufklärungsmodul, das die Sicherheitsmaßnahmen und die Netzwerklandschaft des Zielsystems bewertet. Wenn die Malware alles für geeignet hält, werden das dritte und letzte Modul heruntergeladen, einschließlich der Hauptnutzlast.
Proofpoint-Analyse von:
- Marap
- AdvisorBot (und PoshAdvisor)
- CobIn
Chaos
Mayhem ist eine etwas ältere modulare Malware-Variante, die erstmals 2014 zum Vorschein kam. Mayhem bleibt jedoch ein hervorragendes Beispiel für modulare Malware. Die Malware, die von Sicherheitsforschern bei Yandex aufgedeckt wurde, richtet sich an Linux- und Unix-Webserver. Die Installation erfolgt über ein schädliches PHP-Skript.
Nach der Installation kann das Skript mehrere Plugins aufrufen, die die endgültige Verwendung der Malware definieren.
Zu den Plugins gehören ein Brute-Force-Kennwort-Cracker für FTP-, WordPress- und Joomla-Konten, ein Webcrawler zur Suche nach anderen anfälligen Servern und ein Tool, das die Heartbleed OpenSLL-Sicherheitsanfälligkeit ausnutzt.
DiamondFox
Unsere endgültige modulare Malware-Variante ist auch eine der vollständigsten. Aus einigen Gründen ist es auch einer der besorgniserregendsten.
Grund eins: DiamondFox ist ein modulares Botnetz, das in verschiedenen Untergrundforen zum Verkauf angeboten wird. Potenzielle Cyberkriminelle können das modulare DiamondFox-Botnet-Paket erwerben, um Zugriff auf eine Vielzahl erweiterter Angriffsmöglichkeiten zu erhalten. Das Tool wird regelmäßig aktualisiert und verfügt wie alle guten Onlinedienste über einen personalisierten Kundensupport. (Es hat sogar ein Änderungsprotokoll!)
Grund zwei: Das modulare DiamondFox-Botnetz wird mit einer Reihe von Plugins geliefert. Diese werden über ein Dashboard ein- und ausgeschaltet, das als Smart-Home-App nicht unangebracht wäre. Zu den Plugins gehören maßgeschneiderte Spionagetools, Tools zum Diebstahl von Berechtigungen, DDoS-Tools, Keylogger, Spam-Mailer und sogar ein RAM-Scraper.
Warnung: Das folgende Video enthält Musik, die Sie möglicherweise nicht genießen können.
So stoppen Sie einen modularen Malware-Angriff
Gegenwärtig schützt kein bestimmtes Tool vor einer bestimmten modularen Malware-Variante. Einige modulare Malware-Varianten haben auch einen begrenzten geografischen Umfang. So sind Marap, AdvisorsBot und CobInt hauptsächlich in Russland und den GUS-Staaten vertreten.
Die Proofpoint-Forscher wiesen jedoch darauf hin, dass andere Kriminelle trotz der derzeitigen geografischen Einschränkungen eine solche etablierte kriminelle Organisation sehen, die modulare Malware verwendet, andere werden dies sicherlich tun.
Es ist wichtig zu wissen, wie modulare Malware auf Ihrem System ankommt. Die Mehrheit verwendet infizierte E-Mail-Anhänge, die in der Regel ein Microsoft Office-Dokument mit einem schädlichen VBA-Skript enthalten. Angreifer verwenden diese Methode, da infizierte E-Mails leicht an Millionen potenzieller Ziele gesendet werden können. Darüber hinaus ist der erste Exploit klein und kann leicht als Office-Datei getarnt werden.
Stellen Sie sicher, dass Sie Ihr System auf dem neuesten Stand halten und in Malwarebytes Premium investieren. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich. 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich Die kostenlose Version von Malwarebytes ist großartig, die Premium-Version bietet eine Reihe nützlicher und lohnenswerter Funktionen. Weiterlesen !
Erfahren Sie mehr über: Jargon, Malware, modulare Malware, Trojanisches Pferd.