Schutz gegen PE_EXPIRO-Dateiinfektionen

Originalartikel von Cyrus Ramos, Technical Support

In letzter Zeit ist die Zahl der Infektionen mit PE_EXPIRO zurückgegangen. Der File Infector kann Windows-Dateien sowohl in der 32-Bit- (PE_EXPIRO.JX) als auch in der 64-Bit-Version (PE64_EXPIRO.JX) des Betriebssystems kompromittieren.


Die Schadsoftware nutzt eine Fülle an Routinen (File Infector mit Info-Diebstahlroutinen und Exploit-Kit-Verbindung) und bietet daher eine gute Gelegenheit darzustellen, welche Lösungen Nutzer davor schützten können.

Sind Lösungen von Trend Micro im Einsatz, so werden die URLs, die mit dem Angriff in Verbindung stehen, blockiert, um weiteren Schaden, wiederholte Infektionen oder das Abfliessen von Informationen zu verhindern. Der Screenshot zeigt ein Beispiel, wie Trend Micros OfficeScan Web Reputation Service (WRS) eine mit EXPIRO-Malware in Verbindung stehende URL blockiert.

Bild 2: WRS blockt die C&C-URLs in Verbindung mit EXPIRO-Malware.

Die verbesserte Version OfficeScan 10.6 Service Pack 2 mit dem Custom Defense Pack ermöglicht es Administratoren, Angriffe darzustellen, und nutzt die Liste der Smart Protection Network Global Intelligence, um Administratoren über die Aktivitäten jedes C&C-Servers zu informieren. Sie zeigt darüber hinaus, welche Hosts sofortiger Säuberung und „Pflege“ bedürfen.

Noch mehr Informationen stehen zur Verfügung, wenn  Deep Discovery Inspector im Einsatz ist, denn Administratoren können damit das Netzwerk auf solche Events überwachen – auch wenn keine Sicherheitssoftware am Endpunkt installiert ist.

Die Screenshots zeigen, wie Deep Discovery Inspector Daten zu den Verbindungen zu bösartigen C&C-Servern liefert, angefangen von DNS-Abfragen bis zu Informationen zu der Verbindung:


Bild 3: Ergebnis einer DNS-Query

Bild 4: Informationen zur Verbindung


Bild 5:Dateien, die auf die kompromittierte Maschine kopiert wurden


Bild 6: Informationen zur EXPIRO-Schadsoftware selbst

Verhindern künftiger ähnlicher Infektionen

Der PE_EXPIRO-Angriff nutzt einige ungewöhnliche Methoden, wie etwa Java- und auch PDF-Exploits zum Einschleusen der File Infectors in möglicherweise angreifbare Systeme.

Zweierlei kann dazu beitragen, ähnliche Angriffe künftig zu verhindern:

  • Ein effizientes Patch-Management, auch für Software wie Java und Adobe Acrobat;
  • Blockieren unbekannter oder nicht verifizierter Websites, denn diese könnten bösartige Dateien enthalten. Sinnvoll ist auch eine Webfilter-Lösung, entweder am Gateway oder am Endpunkt selbst.

Hat ein Unternehmen kein Software Patch-Management im Einsatz, so kann das so genannte Virtual Patching helfen. Deep Security oder OfficeScan Intrusion Detection Firewall Plugins können verhindern, dass Sicherheitslücken ausgenützt werden. Weitere Informationen dazu gibt es hier.

Fazit

Eine Schwachstelle im Netzwerk reicht dieser Bedrohung aus, um nochmals anzugreifen. EXPIRO ist ein herkömmlicher File Infector (mit einem zusätzlichen Hang zum Datendiebstahl). Die verschiedenen Lösungen von Trend Micro unterstützen Systemadministratoren dabei, diese Bedrohungen in der Unternehmens-IT-Umgebung effizient zu entfernen und Angriffe zu verhindern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*