Skip to main

Kaspersky-Experten haben eine neue zielgerichtete Malware-Kampagne aufgedeckt [1]. Sie zeichnet sich durch eine innovative Nutzung von Windows Event Logs für die Speicherung von Malware sowie eine Vielfalt an eingesetzten Techniken der Angreifer aus. Zum Einsatz kommen etwa kommerzielle Pentesting-Suiten und Anti-Detection-Wrapper – einschließlich solcher, die mit Go kompiliert wurden. Im Rahmen der Kampagne waren auch mehrere Trojaner der neuesten Generation im Einsatz.

Die Experten von Kaspersky haben eine zielgerichtete Malware-Operation entdeckt, bei der eine einzigartige Technik zum Einsatz kommt: fileless Malware wird in Windows Event Logs versteckt. Die Erstinfektion des Systems erfolgte über das Dropper-Modul aus einem vom Opfer heruntergeladenen Archiv. Der Angreifer nutzte eine Vielzahl von Anti-Detection-Wrapper, um die Trojaner der letzten Stufe noch weiter zu verschleiern. Um eine weitere Entdeckung zu vermeiden, wurden einige Module mit einem digitalen Zertifikat signiert.

In der letzten Phase setzten die Angreifer zwei Arten von Trojanern ein. Diese wurden genutzt, um weiteren Zugriff auf das System zu erhalten. Befehle von Kontrollservern wurden auf zwei Arten übermittelt: über HTTP-Netzwerkkommunikation und die sogenannten Pipes. Einigen Trojaner-Versionen gelang es, ein Befehlssystem zu nutzen, das Dutzende an Befehlen von C2 enthielt.

Die Kampagne umfasste auch kommerzielle Pentesting-Tools, darunter SilentBreak [2] und CobaltStrike [3]. Sie kombinierte bekannte Techniken mit angepassten Entschlüsselungsprogrammen und der erstmals beobachteten Nutzung von Windows Event Logs, um Shellcodes auf dem System zu verstecken.

„Wir haben eine neue zielgerichtete Malware-Technik beobachtet, die unsere Aufmerksamkeit erregt hat. Für den Angriff hat der Akteur einen verschlüsselten Shellcode aus Windows Event Logs gespeichert und dann ausgeführt“, erklärt sagt Denis Legezo, leitender Sicherheitsforscher bei Kaspersky. „Das ist ein Ansatz, den wir noch nie zuvor gesehen haben und der zeigt, wie wichtig es ist, auf Bedrohungen zu achten, die einen sonst unvorbereitet treffen könnten. Wir sind der Meinung, dass es sich lohnt, die Technik der Event Logs in den MITRE-Matrix-Abschnitt „Defense Evasion“ in den Teil „Hide Artefacts“ aufzunehmen. Auch der Einsatz verschiedener kommerzieller Pentesting-Suiten ist nicht alltäglich.“

Kaspersky Tipps zum Schutz vor dateiloser Malware und ähnlicher Bedrohungen

  • Verwendung einer zuverlässigen Endpunkt-Sicherheitslösung wie Kaspersky Endpoint Security for Business [4], die Anomalien im Dateiverhalten erkennen und Fileless-Malware-Aktivitäten entdecken kann.
  • Installation von Anti-APT- und EDR-Lösungen [5], die die Entdeckung, Untersuchung und zeitnahe Behebung von Vorfällen ermöglichen. Darüber hinaus sollte das SOC-Team Zugang zu den neuesten Bedrohungsdaten haben und regelmäßig im Rahmen professioneller Schulungen weitergebildet werden. All dies ist im Rahmen des Kaspersky Expert Security-Frameworks [6] möglich. 
  • Integration eines angemessenen Endpunktschutzes und spezieller Dienste, die vor komplexen Angriffen schützen können. Kaspersky Managed Detection and Response [7] hilft dabei, Angriffe im Frühstadium zu erkennen und zu stoppen, bevor Angreifer ihre Ziele erreichen können.

Weitere Informationen sind verfügbar unter https://securelist.com/?p=106393

 

[1] https://securelist.com/?p=106393

[2] https://silentbreaksecurity.com/category/penetration-testing/

[3] https://www.cobaltstrike.com/

[4] https://www.kaspersky.de/small-to-medium-business-security

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.de/enterprise-security

[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response


Nützliche Links:

Fileless Malware: Kaspersky identifiziert schädlichen Code in Windows Event Logs

Neue zielgerichtete Malware-Kampagne aufgedeckt
Kaspersky Logo