Mit AutoIT kompilierte Trojaner kommen über Spam

Originalartikel von Miguel Carlo Ang und Earle Maui Earnshaw

Die Sicherheitsforscher von Trend Micro entdeckten kürzlich in ihren Honeypots eine Spam-Kampagne, die mit AutoIT kompilierte Payloads beinhaltete, nämlich den Spionagetrojaner Negasteal oder Agent Tesla (TrojanSpy.Win32.NEGASTEAL.DOCGC) und einen Remote Access Trojan (RAT) Ave Maria oder Warzone (TrojanSpy.Win32.AVEMARIA.T). Der Upgrade von Payloads von einem typischen Spionagetrojaner auf einen heimtückischeren RAT könnte ein Indiz dafür sein, dass die cyberkriminellen Hintermänner dazu übergehen wollen, destruktivere (und lukrativere) Payloads wie Ransomware nach der Erkundung einzusetzen. Die Kampagne umfasst mit AutoIT kaschierte ISO Image-Dateien sowie als RAR und LZH komprimierte Archiv-Anhänge, die dazu beitragen sollen, der Entdeckung zu entgehen. Vor allem ISO Images können dazu genutzt werden, Spam-Filter zu vermeiden. Auch lässt sich das Dateiformat auf den neueren Windows-Versionen einfacher montieren. Zudem stellten die Forscher fest, dass die Spam-Kampagne über eine möglicherweise kompromittierte Webmail-Adresse verschickt wurde.

Die mit AutoIT kaschierten Schädlingsarten wurden über bösartige Spam-Mails verbreitet. Sie umfassten eine gefälschte Versandanzeige und ein finanzielles Dokument.

Bild 1. Eine Mail mit gefälschter Versandanzeige hat einen .RAR-Anhang, der Negasteal enthält.

Der heruntergeladene bösartige Anhang extrahiert dann die mithilfe von AutoIT kaschierten Schädlingsarten von Negasteal und Ave Maria. AutoIT, eine Scripting-Sprache, die ursprünglich für die Automatisierung von Basisaufgaben in Windows-Oberflächen gedacht war, ist schon öfters von Cyberkriminellen für die Verschleierung von Malware Binaries missbraucht worden.

Bild 2. Infektionsablauf mit Negasteal (oben) und Ave Maria (unten)

Technische Einzelheiten zur Kampagne und den involvierten Schädlingen liefert der Originalbeitrag.

Sicherheitsempfehlungen

Das Befolgen von Best Practices kann vor dieser Art der verschleierten Bedrohungen helfen:

  • Sicherheits-Awareness. Da Negasteal und Ave Maria über bösartige Spam-Mails verbreitet werden, ist es wichtig, sich der möglichen Social Engineering-Taktiken bewusst zu sein, um nicht darauf hereinzufallen. Zudem muss auf Sicherheit geachtet werden, sowohl am Arbeitsplatz als auch zu Hause: z.B. Red Flags Phishing Mails zu erkennen, aber auch Sicherheitslösungen einzusetzen.
  • Denken vor dem Klicken. Keine Mailanhänge aus nicht verifizierten Quellen öffnen.
  • Anwenden des Prinzips der Mindestprivilegien. Ave Maria missbraucht legitime Tools wie PowerShell in der Angriffskette. Wird deren Einsatz verboten, eingeschränkt oder gesichert, so vermindert dies die Gefahr erheblich.
  • Beobachten, Monitoring und Loggen. Unternehmen sollten umfassende Logdateien darüber, was innerhalb des Netzwerks passiert, unterhalten, damit das IT-Team verdächtige Aktivitiäten wie Traffic von bösartigen URLs nachverfolgen kann.
  • Proaktives Monitoring der Online-Infrastruktur der Organisation. Ein mehrschichtiger Ansatz unterstützt die Verteidigung gegen gut verschleierte Bedrohungen. Firewalls und Intrusion Detection and Prevention-Systeme unterstützen bei der Erkennung und dem Blockieren von verdächtigem Verkehr oder bösartigen Netzwerkaktivitäten. Applikationskontrolle und Verhaltens-Monitoring hindern verdächtige Executables und schädlingsbezogene Routinen an ihrer Ausführung, während URL-Filter bösartige URLs und Websites, die Malware hosten könnten, blockieren.

Trend Micro-Lösungen

Der mehrschichtige, proaktive und reaktive Ansatz der Lösungen von Trend unterstützt Unternehmen bei dem Schutz vor Bedrohungen:

  • Die Trend Micro™ Anti-Spam Engine (TMASE)™ und Hosted Email Security (HES)™-Lösungen blockieren Spam Emails, bevor sie die Nutzer erreichen. Beide Lösungen nutzen Machine Learning-Technik mit statistischen Analysen, fortgeschrittener Heuristik, Whitelisting und Blacklisting sowie Signatur-Filter.
  • Bösartige Dateien, Skripts und Nachrichten werden von Trend Micros Verhaltens-Monitoring erkannt. Es ist eine Schlüsseltechnologie der Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security.
  • Zwei reaktive Schutzschichten in der Smart Protection Suites und in Trend Micro Deep Discovery™ erkennen die Remote-Skripts der Trojaner, auch wenn diese nicht auf die Endpoints heruntergeladen wurden.
  • Trend Micro Deep Discovery Inspector kann Anwender schützen, weil die Lösung verdächtigen Netzverkehr erkennt und die Trojaner daran hindert, Verbindung zum C&C-Server aufzunehmen, was zu Datenexfiltrierung führen könnte.

Weitere Informationen zu DDI-

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.