{"id":26825,"date":"2021-05-24T17:51:11","date_gmt":"2021-05-24T15:51:11","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26825"},"modified":"2021-05-25T16:58:24","modified_gmt":"2021-05-25T14:58:24","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rsa2021-windows-xp-vulnbins\/26825\/","title":{"rendered":"Altbackene Exploits f\u00fcr moderne Systeme"},"content":{"rendered":"

Living-off-the-Land (LotL)-Angriffe<\/a>, die es den Angreifern erm\u00f6glichen ihre b\u00f6sartigen Aktivit\u00e4ten hinter legitimen Programmen oder Funktionen von Betriebssystemen zu verstecken, sind nichts Neues. Da Sicherheitsexperten allerdings moderne Software, die anf\u00e4llig f\u00fcr die LotL-Taktik sind, im Auge behalten, blieb den Cyberverbrechern nichts anderes \u00fcbrig als zu innovieren. Die Forscher Jean-Ian Boutin und Zuzana Hromcova sprachen<\/a> auf der RSA Conference 2021<\/a> \u00fcber eine dieser Innovationen \u2013 die Verwendung von legitimen Windows XP-Komponenten und Programmen.<\/p>\n

Living off the Land und anf\u00e4llige Windows XP Komponente<\/h2>\n

Boutin und Hromcova beobachteten die Aktivit\u00e4ten der InvisiMole-Gruppe<\/a> und stellten fest, dass die Tools von InvisiMole Dateien f\u00fcr das l\u00e4ngst \u00fcberholte Betriebssystem verwenden und so l\u00e4nger unter dem Radar bleiben. Die Forscher bezeichneten diese Dateien mit dem allgemeinen Namen VULNBins, \u00e4hnlich wie LOLBins, mit dem die Cybersicherheit-Community Dateien nennt, die in Living Off the Land-Angriffen verwendet werden.<\/p>\n

Nat\u00fcrlich ist der Zugriff auf den Computer des Opfers erforderlich, um eine \u00fcberholte Datei darauf herunterzuladen. Aber VULNBins werden meistens nicht direkt f\u00fcr das Eindringen in das System verwendet, sondern nur, um den Fortbestand in dem Zielsystem zu sichern, ohne bemerkt zu werden.<\/p>\n

<\/strong><\/p>\n

Spezifische Beispiele in denen \u00fcberholte Komponente von Programmen und Systemen verwendet wurden<\/h2>\n

Sollten die Angreifer es nicht schaffen Administratorenrechte zu erhalten k\u00f6nnen sie eine Taktik zum Sichern des Fortbestandes verwenden, bei der ein alter Videoplayer mit einer bekannten Schwachstelle, die als Buffer Overflow bekannt ist, verwendet wird. \u00dcber den Task Scheduler (Aufgabenplaner) erstellen die Cyberverbrecher eine automatische Aufgabe, die den Videoplayer regelm\u00e4\u00dfig aufruft. Die Konfigurationsdatei des entsprechenden Videoplayers wurde ver\u00e4ndert, um die Schwachstelle auszunutzen und den Code hochzuladen, der f\u00fcr den n\u00e4chsten Schritt des Angriffs erforderlich ist.<\/p>\n

Wenn die InvisiMole-Angreifer es schaffen Administratorenrechte zu erhalten, k\u00f6nnen sie eine andere Methode verwenden, die die folgenden Komponenten von legitimen Systemen verwenden: setupSNK.exe, Windows XP library wdigest.dll und Rundll32.exe (auch von dem \u00fcberholten System), die notwendig sind, um die Bibliothek zu verwalten. Dann manipulieren sie die Daten, die die Bibliothek in den Speicher l\u00e4dt. Die Bibliothek wurde vor der ASLR-Technologie (Address Space Layout Randomization) entwickelt, also kennen die Cyberverbrecher die genaue Speicheradresse.<\/p>\n

Der gr\u00f6\u00dfte Teil der b\u00f6sartigen Payload wird verschl\u00fcsselt im Registry gespeichert und alle Bibliotheken sowie ausf\u00fchrbare Programme und Dateien die verwendet werden, sind vollkommen legitim. Dementsprechend k\u00f6nnten nur die Datei mit den Videoplayer-Einstellungen und der kleine Exploit, der an die \u00fcberholten Bibliotheken adressiert ist, die Anwesenheit des Feindes im Netzwerk verraten. Normalerweise reicht das nicht aus, um von einem Sicherheitssystem als verd\u00e4chtig eingestuft zu werden.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Um Cyberkriminelle daran zu hindern Komponente von alten Dateien und \u00fcberholten Systemen auszunutzen (besonders wenn sie von einem legitimen Herausgeber signiert sind), ist es sinnvoll eine Datenbank mit diesen Dateien zu erstellen. Mit den Daten k\u00f6nnen die vorhanden Abwehrsysteme die Dateien blockieren oder zumindest \u00fcberwachen (sollte es aus irgendeinem Grund nicht m\u00f6glich sein sie zu blockieren). Das erfordert allerdings Zeit.<\/p>\n

Bis Sie \u00fcber eine solche Liste verf\u00fcgen, empfehlen wir unsere EDR-L\u00f6sung<\/a>\u00a0(Tools f\u00fcr Endger\u00e4teerkennung und Reaktion) f\u00fcr Folgendes zu verwenden:<\/p>\n