Verbesserungen und Weiterentwicklung der Schadsoftware 2014

Originalartikel von Trend Micro

2014 hat viele Änderungen der Bedrohungslandschaft gebracht – Weiterentwicklung von Evasion-Techniken oder neue Versionen vorhandener Schadsoftware. Auch einige alte Techniken und Angriffsmodelle tauchten wieder auf.
Evasion-Taktiken

Es gibt immer mehr Schadsoftware, die Tor als Umgehungsmethode in ihre Routinen aufnimmt. So fanden sich ZBOT-Varianten, die eine Tor-Komponente umfassten, um die Kommunikation des Schädlings mit dessen Command-and-Control (C&C)-Servern zu verbergen. Auch eine Variante der BIFROSE-Malware, die häufig in gezielten Angriffen verwendet wird, schloss Tor in die Kommunikationsroutine mit ein.

Innerhalb von nur weniger Monate verbesserte die POWELIKS-Schadsoftware ihre Anti-Erkennungstechnken. Zuerst versteckte sie ihren bösartigen Code in der Windows Registry und erschwerte damit die Entdeckung und forensischen Analysen. Dann gab es neue Varianten, die einen neuen Autostart-Mechanismus einsetzten und Nutzerprivilegien entfernten, indem sie auf Registry-Inhalte zugriffen.

Auch Spam wurde besser ausgestattet, indem er willkürlich Schnipsel aktueller News-Artikel in den Text der E-Mail einsetzte. Mit dieser Technik wollen Spammer E-Mail-Filter umgehen.

Das Aufkommen von 64-Bit Malware

 

2014 stellte Google fest, dass die Mehrheit der Windows-Nutzer das 64-Bit-Betriebssystem einsetzen. Leider folgten auch die Angreifer sofort diesem Trend mit 64-Bit Malware. Die berüchtigte Banking-Schadsoftware ZeuS/ZBOT zielte auf 64-Bit-Systeme. Diese 64-Bit-Version von ZeuS/ZBOT stellt eine Weiterentwicklung dar, und die Bedrohungsforscher fanden heraus, dass in den Versionen auch die Anti-Malware-Umgehungstechniken verbessert wurden, einschließlich der Möglichkeit, bestimmte Analysewerkzeuge an der Ausführung zu hindern.

Im 2H 2013 Targeted Attack Trends-Report, zeigte sich, dass 10 Prozent aller Schadsoftware, die in gezielten Angriffen eingesetzt wird, ausschließlich auf 64-Bit-Plattformen läuft. Die entdeckten Bedrohungsaktivitäten bestätigen diese Zahlen. So wurde ein Upgrade der KIVARS-Schadsoftware auf 64-Bit in gezielten Angriffen verwendet. Mittlerweile entdeckten die Bedrohungsforscher auch 64-Bit-Versionen der Schadsoftware MIRAS, die für Datenexfiltrierung eingesetzt wurden. Ebenso gibt es 64-Bit-Versionen von HAVEX.

Ransomware und Banking Malware auch weiterhin im Aufwind

Auch im letzten Jahr stieg das Aufkommen von Ransomware, vor allem von Crypto-Ransomware. Eine Variante namens POSHCODER tauchte auf, die Funktionalität der Windows PowerShell für ihre Verschlüsselungsroutinen einsetzt, um auf dem Zielsystem und Netzwerk nicht entdeckt zu werden. Inzwischen verwendet BAT_CRYPTOR.A die GNU Privacy Guard-Anwendung für die Dateiverschlüsselung. Auch entdeckten die Bedrohungsforscher mehrfach Crypto-Ransomware, die den Tor-Browser für die Zahlung des Lösegelds nutzt.

Das bedeutet aber nicht, dass ander Arten von Ransomware verschwunden sind. Es gab Polizei-Ransomware, die gepatched Malware als Infektionsvektor hernimmt.

Banking Malware missbraucht Tools und Funktionalitäten, um Informationen zu klauen: So missbraucht und manipuliert VAWTRAK eine Windows-Sicherheitsfunktion namens Software Restriction Policies. Damit deaktiviert sie Sicherheitsfunktionen, die in der infizierten Software laufen könnten, und erhöht das Risiko weiterer Infektionen.

Eine andere Banking Malware nutzt Netzwerk-Sniffing für den Informationsdiebstahl. EMOTET kann sogar Daten “sniffen”, die über sichere Vebindungen gesendet werden, denn der Schädling hängt sich in ein bestimmtes Netzwork-APIs ein, und überwacht den Netzwerkverkehr. Diese Methode ist ungewöhnlich, denn andere Banking Malware baute auf das Einfügen von Formularfeldern oder Phishing-Seiten für den Informationsdiebstahl.

Alte Bedrohungen kommen wieder

Makro-basierte Angriffe waren zuletzt Anfang des Jahrtausend beliebt und erreichten ihren Höhepunkt mit dem Melissa-Virus. Cyberkriminelle scheinen diese Methoden nun wieder zu entdecken. So gibt es die Banking Malware ZEUS und DRIDEX als letzliche Payload von bösartigen Makro-aktivierten Dateien. Eine andere Makro-aktivierte Datei schließlich führt zu dem Hintertürschädling NEUREVT.

Malvertisement, eine weitere „alte“ Technik, erlebt auch eine Wiederauferstehung dank einer neuen Angriffsplattform — YouTube. Die bösartige Kampagne nutzte Werbung in YouTube, um Nutzer auf bösartige Sites umzuleiten und bei Anklicken der Anzeigen den Computer der Opfer mit Malware in Zusammenhang mit Ransomware zu infizieren.

Verbesserte Mac/iOS-Bedrohungen

iOS-Nutzer wurden 2014 auch nicht verschont. In zwei der größeren Angriffe waren Wirelurker und Masque Attack involviert. Beide Bedrohungen missbrauchten die Enterprise Provisioning-Funktionalität von Apple. WireLurker installierte gefälschte oder bösartige Apps via USB. Masque Attack kann installierte Apps mit bösartigen Versionen ersetzen über denselben Signatur-Schlüssel oder Bundle ID. Die „neue Version“ kann Routinen ausführen, wie etwa einen Datendiebstahl.

Fazit

2014 hat gezeigt, dass Anwender sich nicht ruhig zurücklehnen können. Die böswilligen Akteure nutzen jeden möglichen Trick oder jedwelche Technik, um zu bekommen, was sie wollen. Dagegen helfen in erster Linie Sicherheitslösungen, aber deren Einsatz allein reicht nicht aus. Anwender müssen auch Best Practices beachten, wie keine unbekannten Links in E-Mails anklicken. Tiefergehende Informationen über die Bedrohungslandschaft 2014 liefert der Report TrendLabs zur Sicherheitslage 2014.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*