JPEG-Dateien werden in gezielten Angriffen eingesetzt

Originalartikel von Jayronn Christian Bucu, Senior Research Engineer

Die Sicherheitsforscher von Trend Micro fanden kürzlich Schadsoftware, die zu den SOGOMOT- und MIRYAGO-Familien gehört. Das Ungewöhnliche daran ist die Art und Weise, wie die Schädlinge sich selbst aktualisieren: Sie laden JPEG-Dateien herunter, die verschlüsselte Konfigurationsdateien bzw. Binaries enthalten. Des Weiteren versteckt die Malware ihre Konfigurationsdateien. Die JPEGs befinden sich derzeit vor allem auf Sites im asiatisch-pazifischen Raum, doch könnten dergleichen Dateien überall hochgeladen werden.

Analyse der JPEG-Updates

Die Forscher konnten die verschlüsselten Inhalte der JPEG-Datei entschlüsseln und analysieren. Sie lassen sich in drei Gruppen unterteilen:

  • Konfigurationsdatei (Typ A)
  • Konfigurationsdatei (Typ B)
  • Binary-Inhalt (entweder DLL- oder EXE-Dateien)

Die Konfigurationsdatei des Typs A ähnelt jenen anderer Schadsoftware. Sie enthält Informationen, die es einer Malware möglich macht, Befehle eines Angreifers auszuführen, Einstellungen/Module zu ändern und sich selbst zu aktualisieren. Zu den Settings gehören URLs, wo weitere bösartige JPEG-Dateien gehostet werden. Außerdem enthalten diese Dateien Hinweise darauf, dass der Angreifer bereits die Opferorganisation kompromittiert haben könnte, denn sie umfassen auch die Bezeichnung bestimmter Maschinen oder Einzelpersonen innerhalb der Organisation

Die zweite Art von Konfigurationsdatei scheint Bezug zu Antivirensoftware zu haben. Sie enthält die Prozessnamen mehrerer AV-Produkte verschiedener Hersteller und auch Informationen zu Hostnamen innerhalb des Zielnetzwerks. So sieht ein Code-Abschnitt einer Datei des Typ B nach der Entschlüsselung aus:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

Diese Konfiguration ist viel kürzer als eine Typ-A-Konfiguration. Auch gibt es darin Werte, die beweisen, dass sich die Infektion bereits in der zweiten Phase des Angriffs befindet.

Zusätzlich zu den Konfigurationsdateien, können die JPEG-Dateien auch ausführbare Dateien enthalten, die entweder Updates für die Malware selbst darstellen oder neue Schadsoftware, die auf den betroffenen Systemen installiert werden könnte.

Hosting der JPEG-Dateien und deren Vorkommen

Diese JPEG-Dateien werden auf verschiedenen Websites gehostet, die sich vornehmlich im asiatisch-pazifischen Raum befinden. Zumindest einige der Sites scheinen legitime Inhalte zu umfassen, das heißt, sie wurden kompromittiert, um diese Dateien zu hosten. So können JPEG-Dateien aussehen:


Die Sicherheitsforscher haben mehrere Muster solcher JPEG-Dateien erhalten und infolge der Analyse sind sie der Meinung, dass diese Update-Methode seit Juni 2010 verwendet wird. Die Update-Häufigkeit variiert: Manchmal gibt es nahezu tägliche Updates und manchmal liegen Monate zwischen den Aktualisierungen.

Datenexfiltratrierung

Mithilfe der Informationen aus den entschlüsselten Konfigurationsdateien konnten die Sicherheitsforscher E-Mails entnehmen, die von der Malware versendet wurden. Diese umfassen einen verschlüsselten Anhang namens tplink2.bin, der folgende Informationen enthält:

  • Hostnamen und IP-Adressen aus dem Netzwerk der betroffenen Maschine,
  • Liste von JPEG-Dateien, auf die die Malware bereits zugegriffen hat,
  • Detaillierte Versionsinformationen zum Betriebssystem, einschließlich der installierten Sicherheits-Updates.

Zusätzliche Analyse von Adam Sun

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*