Schwarze Magie: Windows PowerShell erneut bei Angriffen verwendet

Originalbeitrag von Maersk Menrige (Threat Analyst)

Die Windows-PowerShell®-Befehlszeile ist ein wertvolles Werkzeug zur Windows-Administration, das speziell für die Systemadministration entwickelt wurde. Es kombiniert die Schnelligkeit der Befehlszeile mit der Flexibilität einer Scripting-Sprache und unterstützt dadurch IT-Profis bei der Automatisierung von Aufgaben zur Administration des Windows-Betriebssystems und seiner Anwendungen.

Unglücklicherweise haben sich Cyberkriminelle vor kurzem einmal mehr dieser leistungsstarken Scripting-Sprache bedient. Wir haben einen Angriff gefunden, der mit einer E-Mail-Nachricht begann, in der ein angeblicher „Medizinischer Untersuchungsbericht“ angepriesen wurde. Der E-Mail-Versender tarnte sich als Duo Wei Times, eine chinesische Zeitung mit Sitz in den USA. Die E-Mail hatte eine Archivdatei als Anhang, die eine bösartige .LNK- oder Shortcut-Datei enthielt. Der .LNK-Anhang, in dessen Eigenschaften sich Windows PowerShell-Befehle fanden, wird von Trend Micro als LNK_PRESHIN.JTT erkannt. Dieser Code nutzte die Windows-PowerShell-Befehlszeile, um Dateien herunterzuladen sowie Ausführungsregeln zu umgehen, um die heruntergeladene Datei starten zu können.

LNK_PRESHIN.JTT lädt eine weitere Schadsoftware herunter, TROJ_PRESHIN.JTT. Dabei handelt es sich um eine weitere PowerShell-Scripting-Datei, die schließlich den Schädling BKDR_PRESHIN.JTT herunterlädt und ausführt.

Abbildung 1: Die Zip-Datei enthält eine .LNK-Datei mit dem Namen report20140408.doc.lnk

Unserer Analyse zufolge ist BKDR_PRESHIN.JTT in der Lage, gespeicherte Passwörter mit Bezug zu Microsoft Outlook und Internet Explorer zu stehlen. Bei dem Hintertürschädling handelt es sich um eine selbstextrahierende Datei, die darüber hinaus bestimmte kritische Dateien von den infizierten Systemen entwenden kann, die zu Erkennungs- und Spionagezwecken verwendet werden können. Die vollständige Infektionskette sieht wie folgt aus:

Abbildung 2: Die vollständige Infektionskette

Die erwähnten Techniken ähneln denen von PlugX und Taidoor, die beide gewöhnliche .EXE-Dateien verwenden, um ihre .DLL-Komponente zu starten. Diese ist dann für das Entschlüsseln und Ausführen des Hintertürschädlings, der Hauptangriffskomponente, verantwortlich.

PowerShell-Missbrauch nimmt verschiedene Windows-Systeme ins Visier

In der zweiten Hälfte des ersten Quartals sind wir auf die neue Schädlingsfamilie CRIGENT gestoßen, die als erste neue Malware-Techniken wie den Missbrauch von Windows PowerShell verwendete, um Microsoft-Word- und -Excel-Dateien ins Visier zu nehmen. Dabei handelte es sich aus der Sicht von Anti-Malware-Forschern um eine bedeutende Beobachtung, da Windows PowerShell standardmäßig nur für Betriebssysteme auf Basis von Windows 7 und höher installiert wird. Das bedeutet auch, dass Windows-XP-Systeme infiziert werden können, wenn sie PowerShell installiert (nachträglich) haben.

Windows 7 gehört im Zeitraum April 2013 bis April 2014 zu den am weitesten verbreiteten Betriebssystemen, gefolgt von Windows XP. Vor diesem Hintergrund ist es kein Wunder, dass Cyberkriminelle und sonstige Angreifer Windows PowerShell dazu missbrauchen, so viele Systeme wie möglich zu infizieren und von dort aus ein Netzwerk zu infiltrieren.

Angesichts der Tatsache, dass der Support für Windows XP eingestellt wurde, stellt sich der Missbrauch von PowerShell zum Angriff speziell auf Windows-XP-Systeme als Einfallstor für Cyberkriminelle dar. Da der Schadcode erkennen lässt, dass PowerShell v1.0 genutzt wird, sind, zumindest in der Theorie, auch Systeme mit Windows XP SP2, Windows Server 2003 und Windows Vista dem Risiko dieser Bedrohung ausgesetzt. Bereits in unserem früheren Blogeintrag zur CRIGENT-Malware-Familie und ihrem Missbrauch von Windows-PowerShell haben wir darauf hingewiesen, dass IT-Administratoren, die wie üblich nach bösartigem Binärcode Ausschau halten, dieses Risiko unter Umständen übersehen. Denn diese Angriffstechnik ist nicht gerade verbreitet. Sie sollten den Missbrauch von Windows PowerShell deshalb gewissermaßen als eine Form von schwarzer Magie begreifen. Als dunkle Magier konzentrieren sich die Entwickler von Schadsoftware darauf, mit Hilfe dieser leistungsfähigen Windows-Funktion immer perfidere Bedrohungen zu erstellen.

Trend Micro schützt Anwender und Unternehmen vor Bedrohungen mittels Windows PowerShell und sorgt dafür, dass die Schadsoftware entdeckt wird und die zugehörigen Webadressen geblockt werden.

Mit Beiträgen von Rhena Inocencio

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*