zurück zur Übersicht

Neues „Rattenloch“ entdeckt

"Dateiloses" RAT: signaturbasierte Systeme haben kaum eine Chance.Alter Schädling in neuem Kleid

„Remote Access Toolkits“ (RAT) werden seit vielen Jahren von Cyberkriminellen verwendet um den Rechner ihres Opfers fernsteuern zu können. Normalerweise landen RATs via EMails, durch Downloads aus einem Peer-2-Peer-Network (P2P) oder durch das surfen auf unsicheren oder gehackten Webseiten per „Drive-by-Download“ auf der Platte des Opfers.

Forscher des Endpoint-Security-Unternehmens SentinelOne entdeckten kürzlich, dass ein hauptsächlich in Asien verbreitetes RAT einen bis dato kaum angewendeten Trick benutzt, um sich vor Entdeckung durch konventionelle signaturbasierte Antivirus-Systeme zu schützen. Dieses RAT stellt sicher, dass sein Binärcode niemals in unverschlüsselter Form die Festplatte des Opfers berührt.

Traditionelle signaturbasierte Virenscanner und selbst Next-Generation-Lösungen, die nur auf Dateisystemebene überwachen, tun sich mit der Entdeckung des Schädlings sehr schwer.

Wie tickt dieses RAT nun?

Das Hauptbinary beinhaltet eine gepackte und XOR-verschlüsselte .NET DLL mit dem Namen „Benchmark.“ Wird dieses Binary ausgeführt kopiert sich dieses nach %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe und entpackt ein zweites executable „PerfWatson.exe“. Danach werden beide Programme direkt im Speicher gestartet. Um sich dauerhaft im System zu verankern, wird zusätzlich noch ein Registry Key erstellt der auf „PerfWatson.exe.“ zeigt: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load.

An sich also nicht wirklich etwas neues, oder doch ?

Neu ist, dass niemals der Binärcode des eigentlichen RATs – enthalten in der verschlüsselten DLL – im Klartext auf der Festplatte liegt. Die ausführbare Datei enthält das RAT nur in gepackter Form, und die Logik um dieses direkt in den Speicher zu entpacken. Erst in der so geschützten DLL befindet sich die eigentliche Malware, die dem Angreifer Zugang verschafft: das eigentlich zur Fernwartung gedachte Tool NanoCore. Die entpackte DLL wird nie auf die Festplatte geschrieben. Traditionelle AV und IT-Security Systeme haben es dadurch sehr schwer. Desweiteren werden die Konfigurationsdateien für die .NET DLL – ebenfalls verschlüsselt – als „png“ o.ä gepackt, da die meisten Systeme annehmen, Bilder enthielten keinen Schadcode.

Dies ist mit Sicherheit nicht der letzte Vertreter von „dateiloser“ Schadsoftware. Es ist davon auszugehen, dass wir in Zukunft noch mehr und noch ausgereiftere Malware dieser Art sehen werden.


Source:
https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer