Cerber umgeht Machine Learning

Originalartikel von Gilbert Sison

Die Ransomware-Familie Cerber umfasst jetzt eine neue Technik, um sich besser vor Entdeckung zu schützen. Sie verwendet einen neuen Loader, der darauf zugeschnitten scheint, die Erkennung durch Lösungen mit Maschinenlern-Fähigkeiten zu vermeiden. Dafür „höhlt“ der Loader einen normalen Prozess aus und lässt stattdessen den Cerber-Code dort laufen.

Verhalten und Analyse

Ransomware wird typischerweise über E-Mail verbreitet, und die neuen Cerber-Varianten bilden hier keine Ausnahme. Die Mails, die vorgeben, von verschiedenen Versorgungswerken zu kommen, enthalten einen Link auf ein selbstextrahierendes Archiv, das in ein von den Angreifern kontrolliertes Dropbox-Konto hochgeladen wurde. Das potenzielle Opfer lädt es herunter, öffnet es und infiziert somit ein System. Das Ablaufdiagramm zeigt, was dann passiert:

Bild 1. Ablaufdiagramm zu Cerbers Verhalten

Die herunter geladene Datei ist ein selbstextrahierendes Archiv, das drei Dateien enthält: ein Visual Basic-Skript, eine DLL-Datei und ein Binary, das wie eine Konfigurationsdatei aussieht. In einem der analysierten Samples wurden diese Dateien 38oDr5.vbs8ivq.dll bzw. x genannt. Doch könnten andere Dateien mit demselben Verhalten auch anders heißen.

Bild 2.Inhalte des selbstextrahierenden Archivs

Zuerst wird das Skript mithilfe des Windows Script Hosts ausgeführt. Weitere technische Einzelheiten zum Ablauf liefert der Originalbeitrag.

Die Datei X enthält den Loader sowie verschiedene Konfigurationseinstellungen. Der Loader besitzt Fähigkeiten, die prüfen, ob er in einer virtuellen Maschine (VM) oder in einer Sandbox läuft, ob bestimmte Analyse-Tools auf der Maschine im Einsatz oder bestimmte AV-Produkte vorhanden sind. Gibt eine dieser Überprüfungen positive Ergebnisse zurück, so stoppt die Schadsoftware die Ausführung. Untenstehende Liste zeigt bestimmte Tools und Produkte, nach denen die Software sucht:

Analyse-Tools

  • Msconfig
  • Sandboxes
  • Regedit
  • Task Manager
  • Virtual Machines
  • Wireshark

Sicherheitsanbieter

  • 360
  • AVG
  • Bitdefender
  • Dr. Web
  • Kaspersky
  • Norton
  • Trend Micro

Die Haupt-Payload des Loaders besteht aus dem Einfügen von Code in einen anderen Prozess. In diesem Fall ist der eingefügte Code das gesamte Cerber-Binary. Es kann in die folgenden Prozesse injiziert werden:

  • C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
  • C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe
  • C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe
  • C:\Windows\SysWow64\WerFault.exe
  • C:\Windows\System32\WerFault.exe

Trend Micro hat eine Liste der Dropbox URLs an deren Sicherheitsteam weitergeleitet. Besagte URLs sind nicht mehr funktionstüchtig, und die Konten wurden vom Dienst ausgeschlossen.

Machine Learning und Vermeidung

Cerber konnte als Bedrohung bislang von Sicherheitslösungen geblockt werden. Die Ausführung von Cerber aber in einem normalen Prozess (wie das über den Loader geschieht) hilft der Schadsoftware dabei, Verhaltensmonitoring zu vermeiden. Auch frühere Versionen von Cerber umfassten eine Code-Einfügungsroutine, die ein bestimmtes Verhalten vortäuschen konnte – warum also war ein separater Loader notwendig?

Die Antwort liegt in den neuen Fähigkeiten des Machine Learnings in den Sicherheitslösungen. Damit gibt es die Möglichkeit, proaktiv auf der Grundlage von Fähigkeiten (statt Signaturen) bösartige Dateien zu erkennen. Die neuen Packaging- und Lademechanismen von Cerber können dem statischen Machine-Learning-Ansatz (Methoden, die eine Datei analysieren, ohne dass diese emuliert oder ausgeführt wird) Probleme bereiten.

Alle selbstextrahierenden Dateien können von der Struktur her ähnlich aussehen, unabhängig vom Inhalt. Entpackte Binaries mit limitierten Fähigkeiten sehen unter Umständen auch nicht bösartig aus. Mit anderen Worten, die Art, wie Cerber paketiert ist, scheint darauf ausgerichtet zu sein, die Erkennung über Maschinenlern-Funktionalität zu vermeiden. Für jede neue Malware-Erkennungstechnik wird unweigerlich eine neue Vermeidungstechnik erstellt.

Diese neue Vermeidungstechnik überwindet jedoch keinen Anti-Malware-Ansatz, der mehrfache Schutzschichten beinhaltet. Cerber weist anderen Techniken gegenüber Schwächen auf. Wird beispielsweise eine .DLL-Datei entpackt, so ist es einfach, ein One-to-many-Muster zu erzeugen. Das Vorhandensein einer gegebenen Struktur innerhalb eines Archivs vereinfacht es auch festzustellen, ob ein Paket verdächtig ist. Lösungen, die auf einer Vielfalt von Techniken beruhen, verlassen sich nicht allein auf Maschinenlernen, um Kunden vor diesen Bedrohungen zu schützen.

Lösungen von Trend Micro

Ein proaktiver, mehrschichtiger Ansatz für die Sicherheit – vom Gateway bis zu Endpunkten, Netzwerken und Servern — ist die effizienteste Strategie.

Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht.

Trend Micro OfficeScan™ mit XGen™ Endpoint Security kombiniert erstklassiges Machine Learning mit einer Reihe Schutztechniken gegen Bedrohungen, wodurch Sicherheitslücken bei beliebigen Nutzer-Aktivitäten und Endpunkten geschlossen werden.

Indicators of Compromise

Dateien mit den folgenden SHA256 Hashes stehen in Zusammenhang mit dieser Bedrohung:

  • 09ef4c6b8a297bf4cf161d4c12260ca58cc7b05eb4de6e728d55a4acd94606d4 (Detected as VBS_CERBER.DLCYG)
  • a61eb7c8d7a6bc9e3eb2b42e7038a0850c56e68f3fec0378b2738fe3632a7e4c (Detected as Ransom_CERBER.ENC)
  • e3e5d9f1bacc4f43af3fab28a905fa4559f98e4dadede376e199360d14b39153 (Detected as Ransom_CERBER.VSAGD)
  • f4dbbb2c4d83c2bbdf4faa4cf6b78780b01c2a2c59bc399e5b746567ce6367dd (Detected as TROJ_CERBER.AL)

Zusätzliche Analysen von Brian Cayanan und Jon Oliver.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*