Ein neuer Hintertür-Trojaner phisht

Originalartikel von Abraham Camba, Threat Researcher

Wieder ist ein Remote Access Trojan (RAT) in einer APT-Kampagne im Umlauf. Der neue Schädling ähnelt dem bereits im letzten Jahr entdeckten PlugX, denn er beherrscht dieselben Techniken wie dieser. Dazu gehört die Fähigkeit, den bösartigen Code zu verschleiern, indem er eine Backdoor als „ausführbare Datei“ direkt in den Hauptspeicher lädt, ohne den Schädling erst als Datei abzulegen.

Der von Trend Micro als BKDR_RARSTONE.A identifizierte Schädling offenbarte in der Analyse aber auch einige eigene Tricks. Die Bedrohungsforscher kamen über eine Spearphishing-Mail an das Muster. Die Mail enthielt eine speziell „bearbeitete“ DOC-Datei (TROJ_ARTIEF.NTZ) mit dem Trojaner, der oben genannten Schädling ablegt (Einzelheiten dazu gibt es hier).

Wie jeder Hintertürschädling nimmt auch der aktuelle Verbindung zu bestimmten Sites auf und kann eine Reihe von Routinen ausführen, einschließlich Auflisten von Dateien und Verzeichnissen, Dateien herunterladen, ausführen und hochladen sowie sich selbst und die eigene Konfiguration aktualisieren. Bemerkenswert ist auch die Fähigkeit, aus Uninstall Registry Key-Einträgen Installer-Charakteristiken zu entnehmen und so an Informationen zu den installierten Anwendungen auf dem betroffenen System zu gelangen. Interessant für die Bösen sind dabei auch Informationen dazu, wie bestimmte Anwendungen zu deinstallieren sind, etwa wenn sie der Routine des Hintertürschädlings in die Quere kommen – zum Beispiel eine Anti-Malware-Software.

Für die Kommunikation verwendet die Malware SSL. Diese Methode bietet dafür zwei Vorteile. Zum einen gewährleistet die verschlüsselte Kommunikation zwischen dem infizierten System und dem C & C-Server Vertraulichkeit und zum anderen mischt sich der Verkehr unter den normalen.

Dieser neue RAT ist ein weiteres Beispiel dafür, dass bereits bekannte Tools wie PlugX weiter entwickelt und verbessert werden. Anwender und Organisationen müssen als ersten Schritt im Kampf gegen diese Angriffe begreifen, dass es sie gibt und die Kriminellen einen gewissen Vorsprung haben. Dann erst können sie eine Strategie der Verteidigung von innen nach außen aufsetzen.

Trend Micros Anwender sind über das Smart Protection Network geschützt, denn der File Reputation Service erkennt und löscht bösartige Dateien und der Web sowie E-Mail Reputation Service blockieren den Zugriff auf besagte C & C-Server und E-Mails.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*