zurück zur Übersicht

Neues „Rattenloch“ entdeckt

"Dateiloses" RAT: signaturbasierte Systeme haben kaum eine Chance.Alter Schädling in neuem Kleid

„Remote Access Toolkits“ (RAT) werden seit vielen Jahren von Cyberkriminellen verwendet um den Rechner ihres Opfers fernsteuern zu können. Normalerweise landen RATs via EMails, durch Downloads aus einem Peer-2-Peer-Network (P2P) oder durch das surfen auf unsicheren oder gehackten Webseiten per „Drive-by-Download“ auf der Platte des Opfers.

Forscher des Endpoint-Security-Unternehmens SentinelOne entdeckten kürzlich, dass ein hauptsächlich in Asien verbreitetes RAT einen bis dato kaum angewendeten Trick benutzt, um sich vor Entdeckung durch konventionelle signaturbasierte Antivirus-Systeme zu schützen. Dieses RAT stellt sicher, dass sein Binärcode niemals in unverschlüsselter Form die Festplatte des Opfers berührt.

Traditionelle signaturbasierte Virenscanner und selbst Next-Generation-Lösungen, die nur auf Dateisystemebene überwachen, tun sich mit der Entdeckung des Schädlings sehr schwer.

Wie tickt dieses RAT nun?

Das Hauptbinary beinhaltet eine gepackte und XOR-verschlüsselte .NET DLL mit dem Namen „Benchmark.“ Wird dieses Binary ausgeführt kopiert sich dieses nach %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe und entpackt ein zweites executable „PerfWatson.exe“. Danach werden beide Programme direkt im Speicher gestartet. Um sich dauerhaft im System zu verankern, wird zusätzlich noch ein Registry Key erstellt der auf „PerfWatson.exe.“ zeigt: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load.

An sich also nicht wirklich etwas neues, oder doch ?

Neu ist, dass niemals der Binärcode des eigentlichen RATs – enthalten in der verschlüsselten DLL – im Klartext auf der Festplatte liegt. Die ausführbare Datei enthält das RAT nur in gepackter Form, und die Logik um dieses direkt in den Speicher zu entpacken. Erst in der so geschützten DLL befindet sich die eigentliche Malware, die dem Angreifer Zugang verschafft: das eigentlich zur Fernwartung gedachte Tool NanoCore. Die entpackte DLL wird nie auf die Festplatte geschrieben. Traditionelle AV und IT-Security Systeme haben es dadurch sehr schwer. Desweiteren werden die Konfigurationsdateien für die .NET DLL – ebenfalls verschlüsselt – als „png“ o.ä gepackt, da die meisten Systeme annehmen, Bilder enthielten keinen Schadcode.

Dies ist mit Sicherheit nicht der letzte Vertreter von „dateiloser“ Schadsoftware. Es ist davon auszugehen, dass wir in Zukunft noch mehr und noch ausgereiftere Malware dieser Art sehen werden.


Source:
https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar