Dateilose Malware Purple Fox nutzt nun auch PowerShell aus

Originalartikel von Johnlery Triunfante and Earle Earnshaw, Threat Analysts

Exploit Kits nahmen in der ersten Hälfte 2019 wieder zu, ein Zeichen dafür, dass sie die Angriffe auf absehbare Zeit begleiten werden. Das Rig Exploit Kit etwa ist dafür bekannt, verschiedene Payloads abzulegen, wie Downloader Trojaner, Ransomware, Kryptowährungs-Mining Malware und Information Stealer, und deren Auslieferungstechniken werden ständig verbessert. Ein neues Beispiel dafür ist Purple Fox, eine dateilose Downloader Malware, von der im letzten Jahr laut Berichten mindestens 30.000 Nutzer betroffen waren. Sie wurde ebenfalls vom Rig Exploit Kit geliefert und nutzte vorher das Nullsoft Scriptable Install System (NSIS)-Tool, um die Payload zu extrahieren und auszuführen. Auch lud Purple Fox Kryptowährungs-Miner herunter und führte diese aus. Die neue Variante der Malware hat einige neue Tricks im Arsenal.

Sie bewahrt ihre Rootkit-Komponente durch Missbrauch von öffentlich zugänglichem Code auf. Auch hat Purple Fox den Einsatz von NSIS durch den Missbrauch von PowerShell ersetzt, so dass der Schädling dateilose Infektionen durchführen kann. Die Autoren haben zusätzliche Exploits in ihre Infektionskette eingebunden, wahrscheinlich als narrensicheren Mechanismus, um sicherzustellen, dass die Malware das System weiter infizieren kann. Purple Fox ist eine Downloader Malware, und das heißt sie kann neben dem Abrufen und Ausführen von Kryptowährungsbedrohungen auch andere Arten von Malware liefern.

Bild 1. Purple Fox-Infektionsablauf unter Ausnutzung von PowerShell

Details zum Angriffsablauf umfasst der Originalbeitrag.

Best Practices und Trend Micro-Lösungen

Purple Fox veranschaulicht einen immer häufiger anzutreffenden vielschichtigen Ansatz bei Malware. Bemerkenswert ist auch Purple Fox Bemühen, einen nur kleinen Footprint zu hinterlassen, indem die Malware legitime Tools und dateilose Techniken (z.B. DLL-Injektion) nutzt. Der Schädling verwendet auch Exploits für Schwachstellen mit verfügbaren Patches, so beispielsweise eine, die vor fünf Jahren entdeckt und gepatcht wurde. Die Tatsache, dass Purple Fox praktisch jede Art von Bedrohung ablegen kann, verdeutlicht die Wichtigkeit eines Defense-in-Depth-Ansatzes für den Schutz von Online-Infrastrukturen. Best Practices zu befolgen, ist ebenfalls sehr empfehlenswert:

  • Durchsetzen des Prinzips der Mindestprivilegien über das Einschränken und Absichern der Nutzung von Tools, die den Systemadministratoren vorbehalten sind.
  • Regelmäßiges Patchen und Updaten (oder der Einsatz von virtuellen Patches für Alt- oder Embedded Systeme oder Software).
  • Einführen von zusätzlichen Mechanismen, die weitere Sicherheitsschichten liefern, so etwa Verhaltensmonitoring. Damit lässt sich die Ausführung von Malware-bezogenen Routinen im System verhindern. Sandboxing wiederum kann bösartige Dateien in Quarantäne ausführen und verdächtiges Verhalten analysieren. Firewalls und Intrusion Prevention and Detection schließlich kann das Eindringen verhindern oder Versuche zur Datenexfiltration markieren.

Die Trend Micro Endpoint-Lösung Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.

Trend Micro Apex One™ liefert eine Vielfalt an Threat Detection-Fähigkeiten, vor allem Verhaltensanalyse, die vor bösartigen Skripts, Injection, Ransomware und dateilosen Angriffen schützen können.

Der Trend Micro™ Deep Discovery Inspector kann Kunden vor dem Rig Exploit Kit und Purple Fox über folgende DDI-Regeln schützen:

  • 3286: RIG – Exploit Kit – HTTP (Request)
  • 4220: RIG – Exploit Kit – HTTP (Request)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.