Kampagne mit hochgradig verschleiertem Exploit Kit

Originalbeitrag von William Gamazo Sanchez and Joseph C. Chen

Im November 2019 veröffentlichte Trend Micro im eigenen Blog die Analyse eines Exploit Kit namens Capesand, das Adobe Flash- und Microsoft Internet Explorer-Lücken ausnutzte. Bei der Untersuchung der Indicators of Compromise (IoCs) in den Samples fanden die Sicherheitsforscher einige interessante Merkmale: vor allem nutzten die Samples Verschleierungs-Tools, die sie quasi „unsichtbar“ machten. Mehr als 300 der gefundenen Samples waren kürzlich sehr aktiv und die entsprechende Kampagne ist immer noch am Laufen. Die Forscher benannten sie „KurdishCoder“ nach dem Property-Namen eines Assembly-Moduls in einem der Samples. Das Muster umfasste mehrere Schichten der Verschleierung über eine Kombination zweier Tools: die .NET-Protectors ConfuserEx und Cassandra (CyaX). Die technischen Einzelheiten der Untersuchung der Capessand-Samples liefert der Originalbeitrag.

Bild. Der Infektionsablauf durch Capesand zeigt die Verschleierungsmechanismen

Dieses bestimmte Sample CyaX_Sharp wird über eine angepasste Version von ConfuserEx verschleiert.

Trend Micro-Lösungen

Entscheidend für den Schutz vor einer breiten Vielfalt an Bedrohungen ist ein proaktiver, mehrschichtiger Sicherheitsansatz, der übergreifend das Gateway, Endpoints, Netzwerke und Server mit einschließt. Trend Micro OfficeScan™ mit XGen™-Endpunktesicherheit umfasst  Vulnerability Protection, über die Endpunkte vor bekannten und unbekannten Schwachstellen-Exploits geschützt sind, auch bevor Patches aufgespielt wurden. Die Endpunktelösungen Trend Micro Smart Protection Suites und Worry-Free™ Business Security können Anwender und Unternehmen vor diesen Bedrohungen schützen, weil sie bösartige Dateien sowie die zugehörigen bösartigen URLs erkennen und blockieren.

Indicators of Compromise (IoCs) finden Sie im Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.