Malware ist schwieriger zu erkennen. Was ist modulare Malware und wie verhindern Sie, dass sie auf Ihrem PC Schaden anrichtet?

Modulare Malware: Der neue Stealthy Attack Diebstahl Ihrer Daten

Werbung Malware gibt es in allen Formen und Größen. Darüber hinaus hat die Entwicklung von Malware im Laufe der Jahre erheblich zugenommen. Angreifer erkennen, dass der Versuch, jeden Aspekt ihres Schadpakets in eine einzige Nutzlast zu integrieren, nicht immer die effizienteste Methode ist. Im Laufe der Zeit ist Malware modular geworden. D

Werbung

Malware gibt es in allen Formen und Größen. Darüber hinaus hat die Entwicklung von Malware im Laufe der Jahre erheblich zugenommen. Angreifer erkennen, dass der Versuch, jeden Aspekt ihres Schadpakets in eine einzige Nutzlast zu integrieren, nicht immer die effizienteste Methode ist.

Im Laufe der Zeit ist Malware modular geworden. Das heißt, einige Malware-Varianten können unterschiedliche Module verwenden, um zu ändern, wie sie sich auf ein Zielsystem auswirken. Was ist modulare Malware und wie funktioniert sie?

Was ist modulare Malware?

Modulare Malware ist eine erweiterte Bedrohung, die ein System in verschiedenen Phasen angreift. Anstatt durch die Haustür zu schießen, verfolgt modulare Malware einen subtileren Ansatz.

Dazu müssen zunächst nur die wesentlichen Komponenten installiert werden. Anstatt eine Fanfare auszulösen und Benutzer auf ihre Anwesenheit aufmerksam zu machen, überprüft das erste Modul die System- und Netzwerksicherheit. Wer ist verantwortlich, welche Schutzmaßnahmen werden ausgeführt, wo kann die Malware Sicherheitslücken finden, welche Exploits haben die besten Erfolgschancen und so weiter.

Nach dem erfolgreichen Scoping der lokalen Umgebung kann sich das Malware-Modul der ersten Stufe auf seinen Command and Control-Server (C2) einwählen. Der C2 kann dann weitere Anweisungen zusammen mit zusätzlichen Malware-Modulen zurücksenden, um die spezifische Umgebung zu nutzen, in der die Malware ausgeführt wird.

Modulare Malware bietet im Vergleich zu Malware, bei der alle Funktionen in einer einzigen Nutzlast zusammengefasst sind, mehrere Vorteile.

  • Der Malware-Autor kann die Malware-Signatur schnell ändern, um Antiviren- und anderen Sicherheitsprogrammen auszuweichen.
  • Modulare Malware ermöglicht umfangreiche Funktionen für eine Vielzahl von Umgebungen. Dabei können Autoren auf bestimmte Ziele reagieren oder alternativ bestimmte Module für die Verwendung in bestimmten Umgebungen vormerken.
  • Die anfänglichen Module sind winzig und etwas leichter zu verschleiern.
  • Durch die Kombination mehrerer Malware-Module können Sicherheitsforscher die nächsten Schritte abschätzen.

Modulare Malware ist keine plötzliche neue Bedrohung. Malware-Entwickler setzen seit langem modulare Malware-Programme effizient ein. Der Unterschied besteht darin, dass Sicherheitsforscher in einer Vielzahl von Situationen auf mehr modulare Malware stoßen. Die Forscher haben auch das enorme Necurs-Botnetz (berüchtigt für die Verbreitung der Ransomware-Varianten Dridex und Locky) entdeckt, das modulare Malware-Nutzdaten verbreitet. (Was ist überhaupt ein Botnet? Was ist ein Botnet und ist Ihr Computer Teil eines? Was ist ein Botnet und ist Ihr Computer Teil eines? Botnets sind eine Hauptquelle für Malware, Ransomware, Spam und mehr. Aber was ist das? ein Botnetz? Wie entstehen sie? Wer kontrolliert sie? Und wie können wir sie aufhalten? Read More)

Beispiele für modulare Malware

Es gibt einige sehr interessante modulare Malware-Beispiele. Hier sind einige, die Sie berücksichtigen sollten.

VPNFilter

VPNFilter ist eine neuere Malware-Variante, die Router und IoT-Geräte (Internet of Things) angreift. Die Malware arbeitet in drei Schritten.

Die Malware der ersten Stufe kontaktiert einen Befehls- und Steuerungsserver, um das Modul der zweiten Stufe herunterzuladen. Das Modul der zweiten Stufe sammelt Daten, führt Befehle aus und kann die Geräteverwaltung stören (einschließlich der Möglichkeit, einen Router, ein IoT oder ein NAS-Gerät zu „brocken“). Die zweite Stufe kann auch Module der dritten Stufe herunterladen, die wie Plugins für die zweite Stufe funktionieren. Die Module der dritten Stufe umfassen einen Paketsniffer für SCADA-Verkehr, ein Paketinjektionsmodul und ein Modul, mit dem die Malware der zweiten Stufe über das Tor-Netzwerk kommunizieren kann.

Hier erfahren Sie mehr über VPNFilter, woher es stammt und wie Sie es erkennen können.

Modulare Malware: Der neue Stealthy Attack Diebstahl Ihrer Daten vpnfilter Malware-Server-Infrastruktur

T9000

Die Sicherheitsforscher von Palo Alto Networks haben die T9000-Malware aufgedeckt (keine Beziehung zu Terminator oder Skynet ... oder ?!).

T9000 ist ein Tool zum Erfassen von Informationen und Daten. Sobald T9000 installiert ist, kann ein Angreifer "verschlüsselte Daten erfassen, Screenshots bestimmter Anwendungen erstellen und gezielt Skype-Benutzer ansprechen" sowie Microsoft Office-Produktdateien. Der T9000 wird mit verschiedenen Modulen geliefert, die bis zu 24 verschiedenen Sicherheitsprodukten ausweichen und den Installationsprozess so ändern, dass er unter dem Radar bleibt.

DanaBot

DanaBot ist ein mehrstufiger Banking-Trojaner mit verschiedenen Plugins, mit denen der Autor seine Funktionalität erweitert. (Wie Sie schnell und effektiv mit RAS-Trojanern umgehen können. Wie Sie einfach und effektiv mit RAS-Trojanern umgehen können. Wie Sie einfach und effektiv mit RAS-Trojanern umgehen können. Riechen Sie eine RAT? Wenn Sie glauben, mit einem RAS-Trojaner infiziert zu sein, Befolgen Sie diese einfachen Schritte, um das Problem zu beheben. Weitere Informationen) Im Mai 2018 wurde DanaBot beispielsweise bei einer Reihe von Angriffen auf australische Banken entdeckt. Zu dieser Zeit entdeckten die Forscher ein Paket-Sniffing- und Injektions-Plug-In, ein VNC-Plug-In für die Fernanzeige, ein Plug-In für die Datenerfassung und ein Tor-Plug-In, das eine sichere Kommunikation ermöglicht.

"DanaBot ist ein Banking-Trojaner, was bedeutet, dass er notwendigerweise auf bestimmte Regionen ausgerichtet ist", heißt es im Proofpoint DanaBot-Blogeintrag. „Die Übernahme durch große Akteure in der US-Kampagne deutet jedoch auf eine aktive Entwicklung, geografische Expansion und ein anhaltendes Interesse der Bedrohungsakteure an der Malware hin. Die Malware selbst enthält eine Reihe von Anti-Analyse-Funktionen sowie aktualisierte Diebstahl- und Fernsteuerungsmodule, wodurch die Attraktivität und Nützlichkeit für Bedrohungsakteure weiter erhöht wird. “

Marap, AdvisorsBot und CobInt

Ich kombiniere drei modulare Malware-Varianten in einem Abschnitt, als die beeindruckenden Sicherheitsforscher von Proofpoint alle drei entdeckten. Die modularen Malware-Varianten weisen Ähnlichkeiten auf, werden jedoch unterschiedlich eingesetzt. Darüber hinaus ist CobInt Teil einer Kampagne für die Cobalt Group, eine kriminelle Vereinigung, die mit einer langen Liste von Bank- und Finanz-Cyberkriminalität in Verbindung steht.

Marap und AdvisorsBot haben beide Zielsysteme für die Verteidigung und Netzwerkzuordnung ausfindig gemacht und festgestellt, ob die Malware die gesamte Nutzlast herunterladen soll. Wenn das Zielsystem von ausreichendem Interesse ist (z. B. Wert hat), fordert die Malware die zweite Stufe des Angriffs.

Wie andere modulare Malware-Varianten folgen Marap, AdvisorsBot und CobInt einem dreistufigen Ablauf. Die erste Phase ist in der Regel eine E-Mail mit einem infizierten Anhang, der den anfänglichen Exploit enthält. Wenn der Exploit ausgeführt wird, fordert die Malware sofort die zweite Stufe an. Die zweite Stufe enthält das Aufklärungsmodul, das die Sicherheitsmaßnahmen und die Netzwerklandschaft des Zielsystems bewertet. Wenn die Malware alles für angemessen hält, wird das dritte und letzte Modul heruntergeladen, einschließlich der Hauptnutzlast.

Proofpoint-Analyse von:

  • Marap
  • AdvisorBot (und PoshAdvisor)
  • CobIn

Chaos

Mayhem ist eine etwas ältere modulare Malware-Variante, die 2014 erstmals vorgestellt wurde. Mayhem ist jedoch nach wie vor ein hervorragendes Beispiel für modulare Malware. Die Malware, die von Sicherheitsforschern von Yandex entdeckt wurde, zielt auf Linux- und Unix-Webserver ab. Es wird über ein bösartiges PHP-Skript installiert.

Nach der Installation kann das Skript mehrere Plugins aufrufen, die die endgültige Verwendung der Malware definieren.

Die Plugins enthalten einen Brute-Force-Kennwort-Cracker für FTP-, WordPress- und Joomla-Konten, einen Webcrawler für die Suche nach anderen anfälligen Servern und ein Tool, das die Heartbleed OpenSLL-Sicherheitsanfälligkeit ausnutzt.

DiamondFox

Unsere letzte modulare Malware-Variante ist auch eine der vollständigsten. Es ist aus mehreren Gründen auch eines der besorgniserregendsten.

Grund eins: DiamondFox ist ein modulares Botnetz, das in verschiedenen Untergrundforen zum Verkauf angeboten wird. Potenzielle Cyberkriminelle können das modulare DiamondFox-Botnet-Paket erwerben, um Zugriff auf eine breite Palette erweiterter Angriffsfunktionen zu erhalten. Das Tool wird regelmäßig aktualisiert und verfügt wie alle guten Onlinedienste über eine personalisierte Kundenbetreuung. (Es hat sogar ein Änderungsprotokoll!)

Grund zwei: Das modulare DiamondFox-Botnetz verfügt über eine Reihe von Plugins. Diese werden über ein Dashboard ein- und ausgeschaltet, das als Smart-Home-App nicht unangebracht ist. Zu den Plugins gehören maßgeschneiderte Spionage-Tools, Tools zum Stehlen von Anmeldeinformationen, DDoS-Tools, Keylogger, Spam-Mailer und sogar ein RAM-Scraper.

Warnung: Das folgende Video enthält Musik, die Sie möglicherweise nicht genießen können.

So stoppen Sie einen modularen Malware-Angriff

Derzeit schützt kein bestimmtes Tool vor einer bestimmten modularen Malware-Variante. Außerdem haben einige modulare Malware-Varianten einen begrenzten geografischen Geltungsbereich. Zum Beispiel sind Marap, AdvisorsBot und CobInt hauptsächlich in Russland und den GUS-Staaten zu finden.

Die Proofpoint-Forscher wiesen jedoch darauf hin, dass trotz der derzeitigen geografischen Beschränkungen andere Kriminelle, die eine solche etablierte kriminelle Organisation mit modularer Malware sehen, mit Sicherheit dem Beispiel folgen werden.

Es ist wichtig zu wissen, wie modulare Malware auf Ihrem System ankommt. Die meisten verwenden infizierte E-Mail-Anhänge, die normalerweise ein Microsoft Office-Dokument mit einem schädlichen VBA-Skript enthalten. Angreifer verwenden diese Methode, da es einfach ist, infizierte E-Mails an Millionen potenzieller Ziele zu senden. Darüber hinaus ist der anfängliche Exploit winzig und kann leicht als Office-Datei getarnt werden.

Stellen Sie wie immer sicher, dass Sie Ihr System auf dem neuesten Stand halten, und erwägen Sie, in Malwarebytes Premium zu investieren - es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja Die kostenlose Version von Malwarebytes ist fantastisch, die Premium-Version bietet eine Reihe nützlicher und lohnender Funktionen. Weiterlesen !

Weitere Informationen zu: Jargon, Malware, Modulare Malware, Trojanisches Pferd.