Die SophosLabs berichten von einer neuen Angriffsmethode, mit der Kriminelle versuchen, Verteidigungsmechanismen auf neue Art und Weise auszuhebeln: Sie verstecken die nur 49 kByte große Ransomware Ragnar Locker in einer virtuellen Maschine mit Windows XP auf Oracle VirtualBox.
Dabei handelt es sich laut den Sophos-Forschern um ein 122 MByte großes Installationsprogramm mit einem 282 MByte großen virtuellen Image. Mit dieser neuen Methode versuche die Ragnar-Locker-Bande, einer Entdeckung durch Schutzmechanismen zu entgehen, indem sie mit der Virtualisierungssoftware als Träger der Malware bereits innerhalb des Netzwerks eines Opfers operiert („Living off the land“).
Bei der neuen Angriffstaktik werden laut den Sophos-Experten die Schutzvorrichtungen des Hypervisors VirtualBox ausgehebelt: Normalerweise ist der Host gegenüber seinen Gastsystemen abgeschottet, um Kompromittierungen etwa durch Malware zu verhindern. Bei den Schutzvorrichtungen, die Gastsysteme von ihrem Host trennen, geht man bisher davon aus, dass sich ein feindliches oder infiziertes Gastsystem auf dem „sauberen“ Host befindet – was ich jetzt als Schwachstelle herausstellt, so Sophos.
Bei der neuen Taktik haben die Angreifer Zugriff auf den Gast wie auch auf den Host. Dies, so die Forscher, ermögliche eine paradoxe Situation: ein freundlicher Gast auf einem feindlichen Host. Damit könne der Angreifer eine Entdeckung der Malware sehr lange verhindern und sich im Netz ausbreiten. Das Ziel: Mit zusätzlichen VirtualBox-Add-ons will man direkten Zugriff vom Host auf Dateien, lokale Festplatten, Wechseldatenträger und jedes zugeordnete Netzlaufwerk erlangen und damit die Möglichkeit der Verschlüsselung schaffen. Auch die Verschlüsselung erfolge dabei mit eigenen Bordmitteln von VirtualBox: mit dem integrierten Prozess VboxHeadless.exe.
Details zur neuen Angriffsmethode finden sich unter news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/.