SophosLabs deckt Hacker-Strategie auf
Security-Mechanismen erkennen wirre Angriffsmethoden nicht
Die Spezialisten der SophosLabs haben eine neue Angriffsmethode aufgespürt. Die beiden Security-Experten Fraser Howard und Andrew O'Donnell stießen auf eine ungewöhnliche Bedrohungsvariante. Zusammengefasst beginnt die Angriffskette mit einer bösartigen E-Mail-Nachricht inklusive VB-Scripting-Code und endet mit der Platzierung eines Remote-Zugriff-Trojaners namens MoDi RAT. Nachfolgend beschreiben die Security-Experten den Ablauf des Angriffs.
Bei ihren forensischen Untersuchen entdeckten die Spezialisten einige überraschende Aktionen in der verworrenen Angriffsfolge. Dazu gehörte beispielsweise der Start einer Visual-Basic-Script-Datei (VBS), die wiederum eine PowerShell aktiviert, um den Text der Befehle via Zwischenablage in das PowerShell-Fenster einzufügen, anstatt die Befehlszeichenfolge als Parameter zu übergeben. Das Ziel dahinter: Dateilose Angriffsskripte sollen in Verbindung mit der Zwischenablage einer Erkennung durch Security-Mechanismen entgehen. Genau das ist der Stoff, nach dem alle Security-Experten suchen, um die Schutzlösungen für derartige Angriffe vorzubereiten.
Die gesamte Angriffskette klingt wirr und nicht unbedingt logisch. Aber mit genau derartigen Tricks versuchen die Kriminellen eine Erkennung durch Security-Mechanismen zu unterbinden. Die einzelnen Schritte bleiben unter dem Radar und erregen keine Aufmerksamkeit.
Der Angriff beginnt mit dem Öffnen der Spam-E-Mail. Das angehängte VBS stellt eine Verbindung zu einem entfernten Standort her, dem Einstiegspunkt in eine Reihe von HTTP-302-Umleitungen. Diese wiederum führen zu einem Zip-Archiv, das auf OneDrive-Cloud-Storage gehostet ist und eine kodierte VBS-Datei enthält.
In der nächsten Phase schreibt das erste VBS eine zweite VBS-Datei in das Dateisystem und fügt drei neue Einträge mit binären Daten in die Windows-Registry, ausgegeben als achtstellige Binärzahlen. Anschließend erfolgt der Start des Systemdienstes, um einen neuen geplanten Task zu erstellen. Dieser soll das VBS an einem zuvor definierten künftigen Zeitpunkt starten.
Bei Ausführung dieser geplanten Task, verwendet er wscript.exe, um das VBS zu starten. Der VBS-Code startet wiederum die PowerShell und führt einen Code aus, der Daten vom VBS entnimmt und in die Zwischenablage legt. Anschließend erfolgt das programmgesteuerte Einfügen dieser Daten und Befehle mit dem Befehl „VBS SendKeys“ in das PowerShell-Fenster.
In den weiteren Schritten extrahiert PowerShell eine .NET-Decoder-Ausführungsdatei aus einem der Registry-Blobs (als Entreur bezeichnet), welche die VBE zuvor erstellt hatte, und lädt diese reflektiv, indem sie diese in einen Systemprozess injiziert. Anschließend extrahiert die ausführbare Decoder-Datei den .NET-Injektor und die Nutzlast-Blobs (in der Registry mit inj oder Myfile bezeichnet) aus der Registry. Schlussendlich lädt der Injektor die Nutzlast, injiziert in die Host-Anwendung msbuild.exe.
SophosLabs rät Unternehmen, keine älteren Windows Betriebssysteme in der IT-Infrastruktur zu nutzen. Der Grund liege im AMSI-Framework von Microsoft. Dieses ist nur in neueren Versionen von Windows verfügbar (Windows 10, Windows Server 2016 und Windows Server 2019) und biete die Grundlage, derartige Angriffe zu erkennen und abzuwehren. Kriminelle wissen, dass noch älterer Systeme in Gebrauch sind, und nutzen diese Sicherheitslücke aus, so die Sicherheitsexperten.
Weitere Informationen stehen unter www.sophos.com zur Verfügung.
Lesen Sie mehr zum Thema
