Aktuelles, Branche - geschrieben von dp am Samstag, Mai 28, 2016 15:03 - noch keine Kommentare
Pisloader: Neue Malware-Familie entdeckt
Laut Palo Alto Networks DNS-Anfragen als Command- and Control-Mechanismus genutzt
[datensicherheit.de, 28.05.2016] Die Malware-Analysten der „Unit 42“ von Palo Alto Networks haben nach eigenen Angaben einen gezielten Angriff der APT-Gruppe (Advanced Persistent Threats) „Wekby“ auf ein US-amerikanisches Unternehmen analysiert. „Wekby“ sei eine APT-Gruppe, die seit einigen Jahren verschiedene Branchen wie Gesundheitswesen, Telekommunikation, Luft- und Raumfahrt, Verteidigung und High-Tech ins Visier nehme.
Mit ausgefeilter Malware hochkarätige Unternehmen ins Visier genommen
Diese Gruppe sei dafür bekannt, Exploits zu nutzen, sobald diese verfügbar sind, wie im Fall des „Flash-Zero-Day-Exploits“ von „HackingTeam“. Die „Wekby“-Gruppe ziele mit ausgefeilter Malware auf verschiedene hochkarätige Unternehmen. Die neue, aktuell eingesetzte Malware-Familie „pisloader“ verwende verschiedene neue Techniken, wie zum Beispiel DNS als C2-Protokoll sowie „return-oriented Programming“ und andere Anti-Analyse-Taktiken.
Über HTTP mittels verschiedener URLs von globalprint-us.com ausgeliefert
Diese Malware habe Beziehungen zur „HTTPBrowser“-Malware und verwende DNS-Anfragen (Domain Name Server) als Command-and-Controll-Mechanismus. Darüber hinaus kämen verschiedene Verschleierungstechniken zum Einsatz, um eine Analyse zu vereiteln.
Basierend auf Metadaten in den untersuchten Samples, hat Palo Alto Networks diese Malware-Familie demnach „pisloader“ genannt. Diese werde über HTTP mittels verschiedener URLs der Domain „globalprint-us.com“ ausgeliefert. Die dabei entdeckte Datei sei eine Instanz der gängigen RAT-Familie „Poison Ivy“ (Remote Administration Tool). Die verwendeten Domains seien allesamt erst sehr kurz vor dem Angriff registriert worden.
Begrenzt komplexe Verschleierung gefunden
Der in der Initialphase eingesetzte Dropper enthalte einen sehr einfachen Code, um sich über den Run-Registrierungsschlüssel im System einzunisten und eine eingebettete ausführbare „Windows“-Datei zu aktivieren.
„Unit 42“ habe eine begrenzt komplexe Verschleierung gefunden. So hätten die Autoren Zeichenketten in kleinere Teilketten aufgespalten, die sie vor dem Gebrauch wieder zusammensetzten. Sie verwendeten diese Technik auch, um „Müll-Zeichenketten“ erzeugen, die nie verwendet würden. Dies solle wahrscheinlich dazu dienen, die einfache Erkennung und Analyse des Samples zu verhindern.
Der nachgelagerte Dropper sei mit einer „return-oriented“ Programmierungstechnik (ROP) stark verschleiert sowie mit einer Reihe von „Müll-Instruktionen“ versehen worden. Der entsprechende Code diene im Wesentlichen keinem anderen Zweck, als das Reverse-Engineering am Sample zu erschweren und könne daher ignoriert werden. Während der gesamten Laufzeit des Payloads würden Techniken angewendet, um eine statische Analyse zu erschweren.
„pisloader“ umgeht Sicherheitsprodukte
Die Verwendung des DNS-Protokolls als C2 ermögliche es „pisloader“, Sicherheitsprodukte zu umgehen, die diesen Datenverkehr nicht richtig oder gar nicht untersuchten. Die Malware erwarte verschiedene DNS-Antworten, die in einer bestimmten Art und Weise erfüllt sein müssten („Response“, „Recursion Desired“ und „Recursion Available“), anderenfalls würde „pisloader“ die DNS-Antwort ignorieren.
Das „Questions“-Feld und „Answer Resource Records“-Feld müssten auf einen Wert von „0x1“ gesetzt werden. Darüber hinaus müsse die Antwort-Abfrage-Subdomain der ursprünglichen DNS-Anfrage entsprechen. Der Remote-C2-Server sei innerhalb der Malware statisch eingebettet. Der C2-Server reagiere mit einem TXT-Datensatz, der ähnlich wie die ursprüngliche Anfrage codiert werde.
Folgende Befehle werden von der Malware lat Palo Alto Networks verwendet:
- „sifo“ – Informationen auf dem Opfersystem sammeln,
- „drive“ – Laufwerke auf dem Opfercomputer auflisten,
- „list“ – Dateiinformationen für das angegebene Verzeichnis auflisten,
- „upload“ – eine Datei auf den infizierten Computer hochladen,
- „open“ – eine „Command Shell“ aufrufen.
Theiners Talk
Das europäsiche Cybersecurity-CenterKooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Malware macht mobil: Zunehmend Schadsoftware auf Smartphones
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
- TikTok: Erneut Schwachstelle entdeckt
- Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
- Digitaler Unterricht: Maja Smoltczyk fordert Behebung von Missständen
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
- Dridex: Warnung vor aktueller Malware-Welle
- Über Google auffindbar: Tausende gestohlene Passwörter
- Erneuert Kritik an geplantem Kfz-Massenabgleich
Aktuelles, Experten - Jan 25, 2021 13:44 - noch keine Kommentare
Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
weitere Beiträge in Experten
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
- Digitaler Unterricht: Maja Smoltczyk fordert Behebung von Missständen
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Erneuert Kritik an geplantem Kfz-Massenabgleich
Branche - Jan 26, 2021 12:01 - noch keine Kommentare
TikTok: Erneut Schwachstelle entdeckt
weitere Beiträge in Branche
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
- Dridex: Warnung vor aktueller Malware-Welle
- Über Google auffindbar: Tausende gestohlene Passwörter
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren