Windows WMI wird für Malware-Aktionen missbraucht

Originalartikel von Lennard Galang (Escalation Engineer bei Trend Micro)

TrendLabs untersuchte kürzlich einen Fall, wobei zwei bestimmte Schädlinge den Windows-Dienst Windows Management Instrumentation (WMI) dazu nutzten, um ihre bösartigen Routinen auszuführen. WMI erlaubt es Nutzern, auf Informationen über ihre Betriebssysteme zuzugreifen, und ist deshalb vor allem für Administratoren wichtig, die in Unternehmensumgebungen Anwendungen in unterschiedlichen Programmiersprachen auf vernetzten Systemen verwalten. Der Dienst kann als Datenbank betrachtet werden, die Informationen zu allem und jedem bezüglich eines Betriebssystems und dessen Nutzer enthält.

Da WMI eine Riesenmenge an Daten umfasst, handelt es sich um ein sehr beliebtes Ziel für Malware. Cyberkriminelle können beispielsweise spezielle „Pragmas“ (Befehlen ähnliche Konstrukte) in den Service einschleusen, um die betroffenen Systeme für ihre Zwecke auszunützen. Dazu gehören:

  • Suche nach sensitive Informationen, auf die lediglich der Service zugreifen kann;
  • Anheben der Systemprivilegien eines böswilligen Nutzers, um in der Lage zu sein, auf dem betroffenen System und weiteren in demselben Netzwerk zu spionieren;
  • Einbetten von bösartigen Skripts in bestimmte Services.

Bei besagtem Angriff kommt ein WMI-Skript TROJ_WMIGHOST.A im Bundle mit einer DLL-Malware BKDR_HTTBOT.EA auf einem System an. Das Skript öffnet zwei Browser-Fenster: Das erste erlaubt der DLL-Malware über einen ActiveX-Content ausgeführt zu werden. Das zweite erlaubt der Backdoor-Routine, Office-Dateien (etwa Word, PowerPoint oder Excel) auf einer entfernten Site einzustellen und weitere bösartige Skripts von der Ghost IP auszuführen. Diese Backdoor-Routinen bringen für die User die Gefahr eines Datenverlusts.

Es ist nicht das erste Mal, dass WMI für bösartige Zwecke missbraucht wurde. Auf der Kiwicon 2008 stellte ein Sicherheitsberater „The Moth“ vor, einen Proof-of-Concept-Trojaner, der den Dienst ausnutzt, um bösartigen Code einzuschleusen, der die folgenden Routinen ausführt:

  • Einschleusen und Ausführen weiterer potenziell bösartiger Dateien auf das Host-System oder auf Wechselmedien;
  • Relaunch eines vorhandenen Rootkits, wenn eines entdeckt und entfernt wurde.

Anwender sind über das Trend Micro Smart Protection Network vor dieser Art von Angriffen geschützt. Auch können sie mithilfe des kostenlosen Tools SysClean-TROJ_WMIGHIST.A betroffene Systeme säubern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*