Schadsoftware nutzt ZWS-Komprimierung als Umgehungstaktik

Originalartikel von Mark Joseph Manahan, Threat Response Engineer

Cyberkriminelle lassen sich alles Mögliche einfallen, um der Entdeckung zu entgehen. Sie haben ihre Schadsoftware mit verbesserten Techniken versehen, wie solchen, die die Ausführung von Analyse-Tools verhindern, die die Malware vor Debuggern verstecken, die Kommunikation mit dem normalen Netzwerkverkehr mischen aber auch mit verschiedenen JavaScript-Techniken. Jetzt haben Sicherheitsforscher Schadsoftware entdeckt, die zum Verschleiern eine legitime Komprimierungstechnik nutzt.
Die Schadsoftware ist als TROJ_SHELLCOD.A identifiziert worden und stellt einen Exploit dar, der eine Sicherheitslücke in Adobe Flash Player (CVE-2013-5331) anvisiert. Es ist eine Dokumentendatei mit einer eingebetteten Flash-Datei, die mithilfe von ZWS komprimiert wurde. ZWS gibt es seit 2011, und die Technik verwendet den Lempel-Ziv-Markove Algorithm (LZMA) für die Komprimierung ohne Datenverlust. Wie nutzt nun die Schadsoftware diese legitime Technik?


Bild 1. Komprimierte Schadsoftware

Das Bild zeigt die Malware in komprimierter Form, wodurch sie der Entdeckung entgeht. Die Sicherheitsforscher verwendeten für das Entpacken des Inhalts ein SWFCompression-Python Script:


Bild 2. Der Shellcode wurde in ASCII-Form entnommen


Bild 3. ASCII-Shellcode

Nach dessen Konvertierung in Hexcode, sieht man eine URL. Leider war es nicht mehr möglich, den Code zu erhalten, der von dort heruntergeladen werden soll, da die URL zum Zeitpunkt der Analyse nicht mehr zugänglich war.


Bild 4. Binary Shellcode

Wird der Code in eine Debugger-Software geladen, so ergibt er folgendes Ergebnis:


Bild 5. Code-Ausführung
Das Bild zeigt, dass die Schadsoftware einen anderen Ansatz als üblich für die Ausführung ihrer Payload nutzt. Malware wird meist heruntergeladen und ausgeführt. Das bedeutet, dass eine physische Kopie der Schadsoftware in der infizierten Maschine abgelegt wird – und so können Sicherheitslösungen den Schädling aufspüren.

Diese spezielle Schadsoftware agiert wie ein Backdoor, weist mit VirtualAlloc Hauptspeicher zu und führt die Payload aus. Diese Vorgehensweise erschwert die Verfolgung der Routinen der Malware, weil keine physische Datei vorhanden ist, stattdessen die Payload direkt in den Hauptspeicher kopiert wird. Deshalb kann die Malware die meisten Sicherheitslösungen täuschen, auch wenn diese die ZWS-Komprimierung unterstützen.

Es ist dringend zu empfehlen, Sicherheits-Updates gleich nach deren Veröffentlichung zu installieren. Beispielsweise gab es bereits im Dezember 2013 einen Patch für die Adobe-Sicherheitslücke, die nun ausgenützt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*