Neu bei Powload: Dateilose Techniken und Steganografie

Originalbeitrag von Augusto Remillano and Kiyoshi Obuchi, Threats Analysts


Der Anstieg von Makro-Schadsoftware in der ersten Jahreshälfte 2018 war dem Trojaner Powload geschuldet, der sich über Spam-Emails verbreitet. Powload war 2018 eine der persistentesten Bedrohungen in Nordamerika und nutzte verschiedene Techniken zum Ablegen von Payloads, etwa die Information Stealer Emotet, Bebloh und Ursnif. Neben dem Anstieg der Vorfälle im letzten Jahr zeigt auch die Weiterentwicklung der Techniken, wie gefährlich Powload sein kann. Spam als Verbreitungsmethode könnte als Konstante bestehen bleiben, und zusätzlich hat die Schadsoftware verschiedene Techniken der Auslieferung der Payloads ins Arsenal aufgenommen, vom Vermeiden von Maßnahmen wie den Vorschaumodus bei Dokumenten bis zu dateilosen Techniken und dem Kapern von Email-Konten.


Bild 1. Erkennung von Powload auf der Basis von Daten aus dem Trend Micro™ Smart Protection Network™ (links) und Anzahl von Vorfällen, bei denen einzigartige Samples analysiert wurden (rechts)

Bei der Analyse einiger kürzlich erfolgter Powload-bezogener Vorfälle stellten die Sicherheitsforscher erhebliche Änderungen in den Anhängen der Spam-Emails fest – so wird  Steganografie genutzt und jeweils spezifische Einstellungen für die Länder. Eine weitere Phase in der Ausführung von bösartigen Routinen ist hinzugekommen als Möglichkeit, die Entdeckung zu verhindern. In den Payload-Routinen gab es keine erkennbaren Unterschiede. Die Verbreitungstaktiken ähneln auch einer von Trend Micro im letzten Jahr entdeckten Spam-Kampagne, im Rahmen derer dieselben Information Stealer verteilt wurden, jedoch dort via Cutwail Botnet.

Wie Powload Steganografie einsetzt

Der Einsatz von Steganografie – das Verbergen von Code innerhalb eines Bildes – ist nicht neu. Hacker-Gruppen sind dafür bekannt, Steganografie für das Extrahieren ihrer Backdoors zu nutzen. Exploit Kits setzen sie ein, um ihren Malvertising-Verkehr zu verbergen, und andere Bedrohungen nutzen sie, um ihre C&C-Kommunikation zu verstecken.

Powload setzt auf Steganografie, um ein Bild mit bösartigem Code zu extrahieren. Dafür missbrauchen die Autoren ein öffentlich verfügbares Skript (Invoke-PSImage) und erstellen damit das verseuchte Bild. Die Anhänge in den Spam-Mails enthalten bösartigen Makro-Code, der im Dokument eingebettet ist, das ein PowerShell-Skript ausführt, das wiederum ein online gehostetes Bild herunterlädt. Dann wird dieses Bild verarbeitet, um den Code innerhalb des Bildes zu erhalten.

Bild 2. Screenshot eines Bilds, in dem bösartiger Code versteckt ist

Gezielte Kampagnen

Ein weiterer Trend bei Powland-bezogenen Spam-Emails sind ganz spezifische Ziele. Die Hintermänner richten ihren Spam speziell auf jedes Land aus, nutzen entsprechende Marken und spezifisches Vokabular, sodass die Anhänge überzeugend wirken.

Automatisierte und traditionelle Sandbox-Lösungen, deren Einstellungen nicht länderspezifisch sind, können die Malware nicht richtig analysieren. Die Methoden für die Feststellung der geografischen Region unterscheiden sich in den analysierten Samples. Einige nutzen den PowerShell-Befehl „Get-Culture“, um die regionalen Einstellungen des Computers zu finden. Andere holen sich den Wert der xlCountrySetting Property (gibt Informationen über die aktuellen regionalen Einstellungen) in Excel und stellen so den Standort der betroffenen Maschine fest. Einige der Samples bestimmen den Standort über den Zugriff auf eine URL (hxxp://ipinfo.io/country). Das ist ein frei erhältliches Tool, das das Land einer IP-Adresse zurückgibt.

Fazit und Gegenmaßnahmen

Die Beständigkeit von Powload 2018 zeigt deutlich die Effizienz ihrer neuesten Techniken, auch wenn die Schadsoftware relativ alt ist. Es ist zu erwarten, dass die Autoren noch weitere bösartige Routinen hinzufügen werden. Angesichts der Tatsache, dass die Malware auch als Auslöser für weitere Bedrohungen dient, gehen die Experten davon aus, dass der Schädling künftig auch andere Bedrohungen neben Information Stealer liefern wird.

Nutzer müssen deshalb sehr sorgfältige Cybersecurity Hygiene betreiben und vorsichtig agieren bei verdächtigen, nicht angeforderten Emails. Unternehmen sollten proaktive Gegenmaßnahmen durchsetzen, um den Online-Perimeter zu schützen.

Die folgenden Trend Micro-Lösungen können Anwender und Unternehmen schützen, indem sie bösartige Dokumente und Skripts blockieren und den Zugriff von Hackern auf bestimmte Domänen verhindern: Trend Micro™ Security, Smart Protection Suites und Worry-Free™ Business Security.

Weitere Einzelheiten und die gefundenen Indicators of Compromise (IoCs) sowie zugehörige Hashes (SHA-256) enthält der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.