Script-basierte Malware – der neue Cyberangriffstrend

Anzeige

Illustration: Geralt Absmeier

Palo Alto Networks hat in den letzten Monaten über Browser-Exploits, die auf Internet Explorer (IE) abzielten, ausgeklügelte Script-basierte Malware entdeckt, die Benutzer des Windows-Betriebssystems infiziert. Die Sicherheitsexperten haben daraufhin diese Scripts auf ihre Hauptmerkmale hin untersucht, um zu zeigen, warum sie für Angreifer attraktiv sind und so zu einem Trend führen könnten, der Aufmerksamkeit verdient.

 

Tatsächlich verfügen Angreifer mit Scripting-Sprachen über flexible und leicht zugängliche Tools, mit denen sie auf einfache Weise ausgeklügelte Malware mit zahlreichen Funktionen und Verschleierungen erstellen können. Um dies zu demonstrieren, haben die IT-Securityexperten zwei Samples von Script-basierter Malware ausgewählt, die zur Infizierung von Benutzern von Windows-Betriebssystemen eingesetzt wird. Diese Samples stammten aus zwei verschiedenen Quellen, aber aus demselben IE-Browser-Exploit, der die Schwachstelle CVE-2019-0752 ausnutzt.

 

  • Das erste Sample ist ein JScript-RAT-Trojaner (Remote-Access-Trojaner), der Persistenz auf dem Zielsystem sicherstellt und dann eine verschlüsselte Netzwerkverbindung verwendet, um eine Verbindung zum Angreifer herzustellen. Danach kann der Angreifer beliebige Befehle auf dem Zielcomputer ausführen, um potenziell die volle Kontrolle über diesen zu erhalten.
  • Das zweite Sample ist ein AutoIT-Downloader, der Netzwerkverbindungs- und Script-Funktionen zum Herunterladen und Ausführen von Malware verwendet, mit deren Hilfe Zielsysteme mit Malware wie Ransomware, Spyware etc. infiziert werden könnten.

 

Bei CVE-2019-0752 handelt es sich um eine Speicher-Korruptionsanfälligkeit der Scripting Engine, die im April 2019 gepatcht wurde. Sie kann zur Remote-Code-Ausführung auf einem Zielcomputer führen. In dem untersuchten Fall wurde die Ausnutzung der Schwachstelle dazu verwendet, PowerShell-Befehle auszuführen, um die beiden hier vorgestellten Samples herunterzuladen. Eine detaillierte Beschreibung des Exploits der Schwachstelle CVE-2019-0752 findet sich im entsprechenden Blogpost der Zero Day Initiative [1].

 

Zunächst einmal wurden Scriptsprachen wie JScript, VBScript und sogar AutoIT ursprünglich entwickelt, um die Ausführung von Aufgaben in der Windows-Umgebung zu automatisieren und zu vereinfachen. Daher verfügen diese Sprachen über mehrere Funktionen, um die Aufrufe der Windows-API zu erleichtern. Aufgrund der Benutzerfreundlichkeit dieser Funktionen ist es für einen Angreifer ziemlich einfach, eine Netzwerkverbindung herzustellen oder mit der Windows-Umgebung zu interagieren und zum Beispiel Shell-Befehle auszuführen. Auch die Scriptsprachen sind oft auf einem höheren Niveau als C oder C++, leichter zu erlernen und für Angreifer leichter zugänglich. Mit nur wenigen Zeilen Code können Angreifer ein funktionierendes und flexibles Schadprogramm mit vielen Funktionen wie Netzwerkverbindung, Persistenz auf dem Zielsystem, Ausführung von Befehlen etc. erstellen.

 

Darüber hinaus können Angreifer viele verschiedene Techniken und Tools einsetzen, um ihre bösartigen Scripts zu verschleiern. Dabei kann es sich um sehr einfache Tools wie die Scriptverschlüsselung von Microsoft handeln, wenn der Angreifer in erster Linie schnelle Ergebnisse erzielen will, oder es kann sich um sehr starke Verschleierungen handeln, die für Sicherheitsanalysten eine Herausforderung darstellen. Dies illustriert erneut die Flexibilität von Scripts.

 

Schließlich erlauben es gefährliche Scripts Angreifern, eine starke Verschleierung zu erzeugen, um verschiedenen Arten von Erkennungen auszuweichen und so Anti-Malware-Technologien zu umgehen. Sobald die Script-basierte Malware von den Verteidigern erkannt und als Malware markiert wird, ist es für Angreifer einfacher und schneller, neue Varianten zu entwickeln, um den aktuellen Erkennungen zu entgehen.

 

Die vorgestellten Samples sind zwei Beispiele dafür, wie Angreifer Scripts verwenden können, um bösartige Aktivitäten auf Windows-Zielcomputern durchzuführen. Diese Scripts erfinden das Rad nicht neu, aber sie bieten den Angreifern Flexibilität und Zugänglichkeit. Diese Vorteile ermöglichen es, Befehle auszuführen und so potenziell die volle Kontrolle über die Zielmaschinen zu erlangen. Aus diesen Gründen haben Angreifer möglicherweise einen Anreiz, diese Option zu wählen.

[1] https://www.thezdi.com/blog/2019/5/21/rce-without-native-code-exploitation-of-a-write-what-where-in-internet-explorer

 

98 Artikel zu „Script Malware“

Mobile Malware und APT-Spionage in ungeahnten Dimensionen

Aktuelle Studie analysiert mobile Malware in plattformübergreifenden Überwachungs- und Spionagekampagnen durch organisierte APT-Angreifer, die im Interesse der Regierungen Chinas, Irans, Nordkoreas und Vietnams tätig sind . BlackBerry Limited veröffentlicht eine neue Studie mit dem Titel »Mobile Malware und APT-Spionage: erfolgreich, tiefgreifend und plattformübergreifend« [1]. Darin wird aufgezeigt, inwiefern organisierte Gruppen mittels mobiler Schadsoftware in Kombination mit…

Malware, Viren und Trojaner – (un)sicherer IT-Betrieb im Krankenhaus

Karsten Glied* äußert sich zum Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck, zu seinen Folgen und zum Aufbau einer sicheren IT:   »Die aktuelle Meldung über einen Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck reiht sich ein in die lange Liste der kritischen IT-Vorfälle dieses Jahres. Reichte es früher, Virenscanner, Firewall und das Betriebssystem upzudaten, muss heute in komplexen…

30 Jahre Verschleierung von Malware

244 neue Cyber-Bedrohungen jede Minute. Weltweite Infektionsrate mit mobiler Malware steigt in Q1 2017 auf 57 Prozent. Mac OS-Malware inzwischen bei 53 Prozent.   Der McAfee Labs Threats Report für Juni 2017 wirft einen genauen Blick auf die Cyber-Bedrohungen des ersten Quartals 2017. So analysiert der Bericht den Fareit Passwort-Dieb, blickt auf die 30-jährige Entwicklung…

Malware-Traffic steigert sich bereits zum vierten Mal in Folge

Dabei ist Ransomware der wesentliche Treiber; erstmals nutzen DDoS-Attacken IoT-Botnetze. Malware, die sich über DDoS-Angriffe verbreitet, ist auf dem Vormarsch und steigt weiter an. Das haben die Security Analysten von AppRiver im zurückliegenden dritten Quartal beobachten können. Der soeben veröffentlichte Q3 Global Security Report [1] beleuchtet die aktuellen Malware-Trends im Detail, erfasst das Spam- und Malware-Aufkommen der Monate Juli…

Banking-Malware: KRBanker nimmt Angriffsziele mittels Adware und Exploit-Kits ins Visier

Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyberkriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher, die hinter diesen Kampagnen stecken, nehmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Unit 42, das Malware-Analyseteam von Palo Alto Networks, verfolgt die Malwarekampagne »KRBanker«, auch bekannt als »Blackmoon«.…

Spam- und Malware-Traffic im 1. Quartal 2016 übertrifft Spitzenwerte von 2015

Das Spam- und Malware-Aufkommen im E-Mail-Datenverkehr betrug im 1. Quartal insgesamt 2,3 Milliarden Schadmails, davon alleine 1,7 Milliarden im März. Damit überschreiten die für das 1. Quartal 2016 verzeichneten Werte bereits die des gesamten Jahres 2015. Das sind die Ergebnisse des »Global Security Report« für das 1. Quartal 2016. Nordamerika belegt im 1. Quartal 2016…

Industrie 4.0: Grundlegende Richtlinien für eine sichere OT-Entwicklung

Gefährliche Designfehler und Schwachstellen in Legacy-Programmiersprachen für Industrieroboter. Trend Micro stellt neue Forschungsergebnisse vor, die auf Designschwächen in Legacy-Programmiersprachen hinweisen, welche in industriellen Systemen zum Einsatz kommen. Die Sicherheitsforscher veröffentlichen zudem neue Richtlinien für sicheres Programmieren, die Entwicklern von Industrie-4.0-Anlagen helfen sollen, die Angriffsfläche für Softwareangriffe deutlich zu verringern. Dadurch können Betriebsunterbrechungen in OT-Umgebungen (Operational…

70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen.   Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…

Ransomware: Gestern, heute und morgen

Gezielte Ransomware-Angriffe nehmen weiter zu und sie werden noch schlimmer. Ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen. Bei Ransomware ist nach wie vor der menschliche Faktor das größte Problem.   Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten…

Der Cloud Act ist eine ganz reale Gefahr

US-Anbieter lassen verlauten, der US Cloud Act sei nur eine »hypothetische Möglichkeit«. Wer’s glaubt, wird selig. Ein Kommentar von Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud in Nürnberg   Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die…

Whitepaper: Rechtliche Risiken bei Nutzung internationaler Cloudanbieter

Das Kölner Cloud-Technologieunternehmen gridscale und die Wirtschaftskanzlei Heuking Kühn Lüer Wojtek veröffentlichen kostenfrei ein umfassendes Kompendium zu rechtlichen Fallstricken beim Cloud Computing. Der praxisnahe Ratgeber geht dabei über die gängigen Schlagworte zu Datenschutz und Datensicherheit weit hinaus und liefert Business- und IT-Entscheidern Hintergrundinformationen und konkrete Hilfestellungen bei der Auswahl des für sie passenden Cloudanbieters. Viele…

Home Office: In Quarantäne sicher von zu Hause aus arbeiten

Wie Unternehmen in der »Corona-Krise« Notfallarbeitsplätze für Mitarbeiter bereitstellen können, ohne dabei IT-Sicherheitsrisiken eingehen zu müssen. Die aktuelle Situation rund um das neuartige Coronavirus Covid-19 stellt viele Unternehmen und Behörden vor Herausforderungen. Vielerorts gilt es, sich auf mögliche Quarantäne-Maßnahmen vorzubereiten und für eine große Anzahl an Mitarbeiterinnen und Mitarbeitern Notfall- beziehungsweise Heimarbeitsplätze bereitzustellen. ECOS Technology,…

Erhöhte Gefahr durch Ransomware-Angriffe gegen Windows 7

Ab dem 14. Januar beendet Microsoft den Support für Windows 7. Aber auch nach dem Stichtag wird das Betriebssystem noch auf rund 26 Prozent der PCs weltweit laufen, wie zahlreiche Analysen zeigen. Ohne Patches und Bugfixes wächst aber das Risiko, Opfer einer Ransomware-Attacke zu werden. Ein drastischer Beleg hierfür ist der WannaCry-Virus aus dem Jahr…

2020: Daten werden sich in Bilanzen niederschlagen, KI muss ethisch und effizient werden

Technologisch hat sich in den vergangenen Jahren extrem viel getan: verschiedene Cloud-Modelle, maschinelles Lernen und KI sowie Flash-Speicher und andere neue Technologien. Nun geht es jedoch darum, ob und wie diese Technologien in den realen Unternehmensalltag Einzug halten, und welche Folgen beziehungsweise Potenziale dies für Unternehmen schafft.   Markus Grau, Principal Systems Engineering im EMEA…

Vier Cloud-ERP-Trends für das Finanzwesen 2020

Von Subscription Economy bis Business Partnering: Diese Themen werden 2020 für Finanzabteilungen, CFO und Manager wichtig. Das Jahr 2019 neigt sich dem Ende entgegen und viele Firmen- und Finanzentscheider fragen sich, worauf sie im kommenden Jahr achten sollten. Oracle möchte bei diesen Überlegungen unterstützen und teilt nun vier Cloud-ERP-Einblicke, die 2020 an Bedeutung gewinnen werden.…

Überlastung der IT-Security-Teams – Automatisierung als Antwort auf den Fachkräftemangel

Verantwortliche für die IT-Sicherheit eines Unternehmens sehen sich häufig mit einer personellen Unterbesetzung ihrer Security-Abteilungen konfrontiert – und dies nicht nur kurz-, sondern ohne Aussicht auf Besserung mittelfristig. Ein möglicher Ausweg: automatisierte Workflows zur deutlichen Entlastung der IT-Security-Teams.

Online-Shopping: Formjacking – Die neue unsichtbare Bedrohung im Cyberspace

Wenn Millionen Menschen online auf Schnäppchenjagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Der ahnungslose Kunde und das betroffene Unternehmen bekommen davon erstmal gar nichts mit – alles verläuft wie gewohnt.…

Cyber-Security: Sicherheitsprognosen für das Jahr 2020

  Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet.   Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…