Angriff mit ungewöhnlicher Installationsmethode führt zu LokiBot

Originalbeitrag von Martin Co und Gilbert Sison

Im September 2017 hatte Microsoft die Remote Code Execution-Lücke CVE-2017-11882 gepatcht. Doch das hinderte cyberkriminelle Gruppen wie Cobalt nicht daran, diese Sicherheitslücke weiter auszunutzen, um eine Vielfalt an Malware abzulegen, einschließlich FAREIT, Ursnif und eine gehackte Version des Loki Infostealers, ein Keylogger, für den damit geworben wurde, dass er Passwörter und Kryptowährungs-Wallets stehlen kann. Nun stellten die Sicherheitsforscher fest, dass CVE-2017-11882 wieder bei einem Angriff ausgenutzt wurde. Die Attacke verwendet eine ungewöhnliche Installationsmethode – nämlich über den Windows Installer Service im Windows-Betriebssystem. Frühere Schadsoftwareversionen nutzten die Lücke mithilfe des Windows Executable mshta.exe aus, um ein Powershell Script auszuführen. Darüber wurde die Payload heruntergeladen und ausgeführt. Im aktuellen Angriff wird msiexec.exe als Teil des Windows Installer Service genutzt.

Bild 1: Infektionskette beim Angriff

Die analysierten Samples scheinen Teil einer Malware Spam-Kampagne zu sein. Sie startet mit einer Mail (auf koreanisch), die den Empfänger auffordert, eine Zahlung an den Absender zu bestätigen. Als Anhang kommt eine Datei “Payment copy.Doc” (TROJ_CVE201711882.SM), die angeblich die Zahlungsbestätigung enthält. Sie wird jedoch als Exploit für CVE-2017-11882 genutzt. Der Exploit der Sicherheitslücke führt zum Download und zur Installation eines bösartigen MSI-Pakets namens zus.msi via Windows Installer. Technische Einzelheiten liefert der Originalbeitrag.

Warum eine neue Installationsmethode?

Sicherheitssoftware funktioniert mittlerweile sehr gut bei der Überwachung möglicher Downloader-Prozesse wie Wscript, Powershell, Mshta.exe, Winword.exe und anderer beliebter Methoden der Installation bösartiger Payloads. Infolge des breit gestreuten Einsatzes ist es einfacher geworden, das Ablegen von Bedrohungen über diese Art von Software zu stoppen. Doch den Einsatz von msiexec.exe für das Herunterladen eines bösartigen MSI-Pakets fanden die Forschern bislang eher nicht in gängiger Malware.

Der Unterschied zu anderen Schadsoftwarefamilien, die sich msiexec.exe bedienen (etwa das Andromeda Botnet), besteht in der Art, wie die aktuelle den Installer einsetzt. Bei Andromeda etwa wird Code in msiexec.exe eingefügt, um Updates und die Payload herunterzuladen. Des Weiteren führt Andromeda, nachdem sie die Payload und Updates herunterlädt, gleich eine PE-Datei aus. Die aktuelle Methode nutzt ein MSI-Paket, das von msiexec.exe als Installationspaket erkannt wird, wobei Windows Installer wie üblich verwendet wird.

Malware musste sich noch nie über ein MSI-Paket installieren. Doch anders als die meiste von Trend Micro analysierte Schadsoftware, die msiexec.exe nutzt, tut die aktuelle Methode dies, ohne das Binary oder die Prozesse zu verändern. Zusätzlich werden MSI-Pakete für bösartige Zwecke missbraucht, um Potentially Unwanted Applications (PUA) zu installieren, statt wie bisher dies durch die Malware selbst zu erledigen. Dies stellt eine neue Richtung für Schadsoftware-Autoren dar.

Trend Micro geht davon aus, dass es sich um einen neuen Vermeidungsmechanismus handelt, um Sicherheitslösungen zu umgehen, die sich üblicherweise auf traditionelle Installationsmethoden konzentrieren. Auch können die Sicherheitsforscher nicht mit Sicherheit sagen, ob die Samples über die beschriebene Methode abgelegt werden.

Gegenmaßnahmen

Phishing ist die Hauptverbreitungsmethode dieser Bedrohung, und daher können Unternehmen sich über die Implementierung von Best Practices gegen Mail-basierte Bedrohungen schützen. Auch sollten Anwender auf den Kontext achten und keine verdächtigen Mails öffnen, etwa solche, die die Bestätigung von Zahlungen oder ähnliches enthalten.

Eine Möglichkeit, die sich speziell auf den Schutz vor diesem Angriff bezieht, besteht darin, den Windows Installer zu deaktivieren oder einzuschränken, oder das System so einzustellen, dass es nur Programme von der Whitelist installiert.

Trend Micro-Lösungen

Trend Micro Deep Security™, Vulnerability Protection und TippingPoint liefern virtual Patching und können so Endpunkte vor Bedrohungen schützen, die nicht gepatchte Sicherheitslücken ausnutzen.

Auch können Lösungen wie Trend Micro™ XGen™ Security schützen. Dies ist eine neue Klasse Sicherheitssoftware, die die ganze Bandbreite von sich stetig ändernden Bedrohungen abdeckt – heute und auch künftig. Anstelle separater Insellösungen, die keine Informationen untereinander austauschen, bietet XGen™ Security eine generationsübergreifende Kombination von mehreren Technologien zur Abwehr von Bedrohungen und eine vernetzte Thread Defense, mit der sich Unternehmen vor allen unbekannten Bedrohungen schützen können. Zu den Fähigkeiten gehört High Fidelity Machine Learning, um Daten und Anwendungen am Gateways und Endpunkt zu sichern. Gegen gezielte Angriffe, die traditionelle Sicherheitsmaßnahmen umgehen können bietet die Lösung Web/URL-Filtering, Verhaltensanalysen sowie anpassbare Sandboxen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*