Locky Ransomware verbreitet sich über Flash und Windows Kernel Exploits

Originalartikel von Moony Li und Hugo Cao

Anfang April wurde ein Zero-Day Exploit (CVE-2016-1019) in Adobe Flash Player entdeckt. Das Magnitude Exploit Kit nutzte diese Lücke bald aus, und Adobe veröffentlichte einen Patch außer der Reihe. Die Lücke führte auch zu Angriffen über Drive-by Download mit der Locky-Ransomware als Payload. Kürzlich nun entdeckten die Sicherheitsforscher eine neue Variante dieses Angriffs, der ein ungewöhnlicher Dreh hinzugefügt worden war. Neben dem Flash Exploit wurde auch ein alter Exploit mit Rechteerhöhung in Windows (CVE-2015-1701) genutzt, um die Sandbox zu vermeiden.
Verstecktes bösartiges Verhalten

Bei der Analyse der Bedrohung wurde sowohl abgefangener Netzwerkverkehr als auch eine Downloader-Datei (TROJ_LOCKY.DLDRA) untersucht. Der Netzwerkverkehr entsprach der Nutzung eines CVE-2016-1019 Exploits. Unterdessen nutzt der Downloader einen ungewöhnlichen Kernel Exploit. Er kontaktierte einen Command-and-Control (C&C)-Server unter 202[.]102[.]110[.]204:80 und installierte die Locky Ransomware. Dafür nutzte er mehrere Systemmechanismen auf Kernel-Ebene: Work Items, System-Threads und asynchrone Procedure Calls (APC). Dafür müssen keine Dateien erstellt werden, und die Malware kann unbemerkt auf dem System installiert werden.

Auch versteckt der Downloader sein bösartiges Verhalten zur Laufzeit und kompromittiert svchost.exe, den Systemprozess, den Windows zum Hosten verschiedener Dienste nutzt. Er prüft auch die genutzte Windows-Version und das Datum, wann die angreifbare Datei (win32k.sys) modifiziert wurde, bevor der Angriff startet.

Der Exploit könnte zur Vermeidung der Entdeckung genutzt worden sein. Auch wird dadurch das Verhalten komplexer und erschwert die Analyse und Sandbox-Erkennung. Die Code-Untersuchung legt auch nahe, dass verschiedene Kernel Exploits für spätere Windows-Versionen eingesetzt wurden.

Der Locky Downloader

TROJ_LOCKY.DLDRA funktioniert wie jeder andere Downloader, außer dass er Kernel-Exploits einsetzt, um sein bösartiges Verhalten zu verschleiern. Einzelheiten dazu liefert der Originaleintrag.

Gegenmaßnahmen

Der Downloader nutzt komplexe Techniken die Kontaktaufnahme mit dem C&C-Server. Die Forscher gehen davon aus, dass es dabei darum geht, die bösartigen Routinen als scheinbar normales Systemverhalten zu verbergen, sodass es auch für Whitelisting geeignet scheint. Nur wenige beachten Kernel Exploits oder ein davon verursachtes Verhalten.

Es ist dringend zu empfehlen, die eigenen Systeme und Adobe Flash auf die aktuellen Versionen zu aktualisieren. Auch stets aktuelle Backups sind von höchster Wichtigkeit.

Trend Micro Deep Security und Vulnerability Protection schützen Systeme vor den Bedrohungen, die die Sicherheitslücken ausnützen könnten. Folgende DPI-Regel sollte angewendet werden:

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

TippingPoint-Kunden sind über den folgenden MainlineDV Filter geschützt:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability

Trend Micro™ Deep Discovery erkennt Zero-Day-Angriffe, und die Endpunktlösungen Trend Micro™ Security, Trend Micro™ Smart Protection Suites sowie Trend Micro Worry-Free™ Business Security schützen Nutzersysteme vor Locky.

Der zu diesem Angriff zugehörige SHA1 Hash:

FED07EC9CDE2A7B1581F192644CFA03D680A6245

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*