Monero-Mining RETADUP-Wurm mit neuer polymorpher Variante

Originalbeitrag von Lenart Bermejo und Ronnie Giagone, Threats Analysts

Über das Feedback des managed Detection- und Response-bezogenen Monitorings fanden die Sicherheitsforscher von Trend Micro eine neue Variante eines Kryptowährungs-Mining RETADUP-Wurms (Trend Micro als WORM_RETADUP.G identifiziert). Die Variante ist in AutoHotKey codiert, einer quelloffenen Scripting-Sprache, die in Windows verwendet wird, um Hotkeys zu erstellen. AutoHotKey ist dem Skriptautomatisierungs-Took AutoIt ziemlich ähnlich. Mit diesem Tool wurden frühere Varianten von RETADUP erstellt. Die Forscher identifizierten diese Bedrohung über einen Endpunkt (in einer Organisation im öffentlichen Bereich), der damit in Beziehung stehende Malware-Artefakte aufwies. Eine weitere Analyse und Korrelation der beiden auf Basis ihres C&C-Protokolls und der Trend Micro-eigenen RETADUP-Entdeckungen zeigte, dass sie weiteren Samples sehr ähnlich sind. Und dies deutet darauf hin, dass zumindest derzeit RETADUPs Betreiber sich auf cyberkriminelles Mining konzentrieren.

Die Ähnlichkeiten zwischen RETADUPs AutoHotKey- und der Autolt-Version beziehen sich auf die Techniken, die sie zur Verbreitung und Vermeidung von Entdeckung nutzen, sowie die Installation des bösartigen Monero-Miners. Abgesehen davon, dass es sich lohnt, quelloffene Software einzusetzen, ist ein weiterer Grund für die Verwendung von AutoHotKey die Tatsache, dass die Scripting-Sprache noch neu ist. Daher gibt es noch wenige Tools, die aktiv Malware in dieser Sprache erkennen und analysieren können. Zudem hat die Version polymorphe Fähigkeiten.

Die technischen Details dazu enthält der Originalbeitrag.

Gegenmaßnahmen und Lösungen

Die Tatsache, dass RETADUPs Techniken die Aktivitäten der Schadsoftware so gut tarnen können, macht deutlich, dass Unternehmen weitgehende Einsichten in ihren Online-Perimeter benötigen – von den Endpunkten und Netzwerken bis zu den Servern. Eine solche Visibilität rüstet die Organisationen mit aktionsfähiger Bedrohungsintelligenz aus, die tiefer in die Infektionskette der Malware eindringen und ihre Auswirkungen untersuchen kann, so dass schnellere Reaktionen und die Wiederherstellung möglich sind.

Darüber hinaus gibt es weitere Vorteile eines 24×7-Monitorings und der tiefgehenden Erforschung sowie der Korrelation mit ähnlichen Vorfällen: Bedrohungsanalysten können weitere Einsichten auf Fallbasis liefern, so dass sich feststellen lässt, ob der Angriff ein Einzelfall ist, Teil eines koordinierten, gezielten Angriffs oder zu einer cyberkriminellen Kampagne gehört.

Proaktive Bedrohungsverfolgung – das menschliche Element der managed Detection and Response — gehört ebenfalls als kritischer Punkt zur Bekämpfung von Bedrohungen. RETADUPs polymorphe Verhaltensweise oder die Verwendung einer relativ neuen Scripting-Sprache kann einem normalen IT-Team mit nur wenigen Ressourcen die Arbeit erschweren.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Der Originalbeitrag enthält auch die Indicators of Compromise sowie die Hashes zu RETADUPs Mining-Komponente (SHA-256).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.