Kaspersky identifiziert schädlichen Code in Windows Event Logs
Fileless Malware im Umlauf
Kaspersky-Experten haben nach eigenen Angaben eine neue zielgerichtete Malware-Kampagne aufgedeckt. Sie zeichne sich durch eine innovative Nutzung von Windows Event Logs für die Speicherung von Malware sowie eine Vielfalt an eingesetzten Techniken der Angreifer aus. Zum Einsatz kommen etwa kommerzielle Pentesting-Suiten und Anti-Detection-Wrapper – darunter auch solche, die mit Go kompiliert sind. Im Rahmen der Kampagne waren auch mehrere Trojaner der neuesten Generation im Einsatz.
Die Kaspersky-Fachleute haben eine zielgerichtete Malware-Operation entdeckt, bei der eine einzigartige Technik zum Einsatz kommt: Fileless Malware wird in Windows Event Logs versteckt. Die Erstinfektion des Systems erfolgte über das Dropper-Modul aus einem vom Opfer heruntergeladenen Archiv. Der Angreifer nutzte eine Vielzahl von Anti-Detection-Wrappern, um die Trojaner der letzten Stufe noch weiter zu verschleiern. Um eine weitere Entdeckung zu vermeiden, waren einige Module mit einem digitalen Zertifikat signiert.
In der letzten Phase setzten die Angreifer zwei Arten von Trojanern ein. Diese dienten dazu, weiteren Zugriff auf das System zu erhalten. Befehle von Kontroll-Servern wurden auf zwei Arten übermittelt: über HTTP-Netzwerkkommunikation und die sogenannten Pipes. Einigen Trojaner-Versionen gelang es, ein Befehlssystem zu nutzen, das Dutzende an Befehlen von C2 enthielt.
Die Kampagne umfasste auch kommerzielle Pentesting-Tools, darunter SilentBreak und CobaltStrike. Sie kombinierte bekannte Techniken mit angepassten Entschlüsselungsprogrammen und der erstmals beobachteten Nutzung von Windows Event Logs, um Shellcode auf dem System zu verstecken.
„Wir haben eine neue zielgerichtete Malware-Technik beobachtet, die unsere Aufmerksamkeit erregt hat. Für den Angriff hat der Akteur einen verschlüsselten Shellcode aus Windows Event Logs gespeichert und dann ausgeführt“, erklärte dazu Denis Legezo, leitender Sicherheitsforscher bei Kaspersky. „Das ist ein Ansatz, den wir noch nie zuvor gesehen haben und der zeigt, wie wichtig es ist, auf Bedrohungen zu achten, die einen sonst unvorbereitet treffen könnten. Wir sind der Meinung, dass es sich lohnt, die Technik der Event Logs in den Mitre-Matrix-Abschnitt ‚Defense Evasion‘ im Teil Hide Artefacts aufzunehmen. Auch der Einsatz verschiedener kommerzieller Pentesting-Suiten ist nicht alltäglich.“
Die Kaspersky-Tipps zum Schutz vor dateiloser Malware und ähnlicher Bedrohungen lauten:
- Verwendung einer zuverlässigen Endpunkt-Sicherheitslösung, die Anomalien im Dateiverhalten erkennen und Fileless-Malware-Aktivitäten entdecken kann.
- Installation von Anti-APT- und EDR-Lösungen, die die Entdeckung, Untersuchung und zeitnahe Behebung von Vorfällen ermöglichen.
- Darüber hinaus sollte das SOC-Team Zugang zu den neuesten Bedrohungsdaten haben und regelmäßig im Rahmen professioneller Schulungen weitergebildet werden.
Lesen Sie mehr zum Thema
