Palo Alto Networks hat in den letzten Monaten über Browser-Exploits, die auf Internet Explorer (IE) abzielten, ausgeklügelte Script-basierte Malware entdeckt, die Benutzer des Windows-Betriebssystems infiziert. Die Sicherheitsexperten haben daraufhin diese Scripts auf ihre Hauptmerkmale hin untersucht, um zu zeigen, warum sie für Angreifer attraktiv sind und so zu einem Trend führen könnten, der Aufmerksamkeit verdient.
Tatsächlich verfügen Angreifer mit Scripting-Sprachen über flexible und leicht zugängliche Tools, mit denen sie auf einfache Weise ausgeklügelte Malware mit zahlreichen Funktionen und Verschleierungen erstellen können. Um dies zu demonstrieren, haben die IT-Securityexperten zwei Samples von Script-basierter Malware ausgewählt, die zur Infizierung von Benutzern von Windows-Betriebssystemen eingesetzt wird. Diese Samples stammten aus zwei verschiedenen Quellen, aber aus demselben IE-Browser-Exploit, der die Schwachstelle CVE-2019-0752 ausnutzt.
- Das erste Sample ist ein JScript-RAT-Trojaner (Remote-Access-Trojaner), der Persistenz auf dem Zielsystem sicherstellt und dann eine verschlüsselte Netzwerkverbindung verwendet, um eine Verbindung zum Angreifer herzustellen. Danach kann der Angreifer beliebige Befehle auf dem Zielcomputer ausführen, um potenziell die volle Kontrolle über diesen zu erhalten.
- Das zweite Sample ist ein AutoIT-Downloader, der Netzwerkverbindungs- und Script-Funktionen zum Herunterladen und Ausführen von Malware verwendet, mit deren Hilfe Zielsysteme mit Malware wie Ransomware, Spyware etc. infiziert werden könnten.
Bei CVE-2019-0752 handelt es sich um eine Speicher-Korruptionsanfälligkeit der Scripting Engine, die im April 2019 gepatcht wurde. Sie kann zur Remote-Code-Ausführung auf einem Zielcomputer führen. In dem untersuchten Fall wurde die Ausnutzung der Schwachstelle dazu verwendet, PowerShell-Befehle auszuführen, um die beiden hier vorgestellten Samples herunterzuladen. Eine detaillierte Beschreibung des Exploits der Schwachstelle CVE-2019-0752 findet sich im entsprechenden Blogpost der Zero Day Initiative [1].
Zunächst einmal wurden Scriptsprachen wie JScript, VBScript und sogar AutoIT ursprünglich entwickelt, um die Ausführung von Aufgaben in der Windows-Umgebung zu automatisieren und zu vereinfachen. Daher verfügen diese Sprachen über mehrere Funktionen, um die Aufrufe der Windows-API zu erleichtern. Aufgrund der Benutzerfreundlichkeit dieser Funktionen ist es für einen Angreifer ziemlich einfach, eine Netzwerkverbindung herzustellen oder mit der Windows-Umgebung zu interagieren und zum Beispiel Shell-Befehle auszuführen. Auch die Scriptsprachen sind oft auf einem höheren Niveau als C oder C++, leichter zu erlernen und für Angreifer leichter zugänglich. Mit nur wenigen Zeilen Code können Angreifer ein funktionierendes und flexibles Schadprogramm mit vielen Funktionen wie Netzwerkverbindung, Persistenz auf dem Zielsystem, Ausführung von Befehlen etc. erstellen.
Darüber hinaus können Angreifer viele verschiedene Techniken und Tools einsetzen, um ihre bösartigen Scripts zu verschleiern. Dabei kann es sich um sehr einfache Tools wie die Scriptverschlüsselung von Microsoft handeln, wenn der Angreifer in erster Linie schnelle Ergebnisse erzielen will, oder es kann sich um sehr starke Verschleierungen handeln, die für Sicherheitsanalysten eine Herausforderung darstellen. Dies illustriert erneut die Flexibilität von Scripts.
Schließlich erlauben es gefährliche Scripts Angreifern, eine starke Verschleierung zu erzeugen, um verschiedenen Arten von Erkennungen auszuweichen und so Anti-Malware-Technologien zu umgehen. Sobald die Script-basierte Malware von den Verteidigern erkannt und als Malware markiert wird, ist es für Angreifer einfacher und schneller, neue Varianten zu entwickeln, um den aktuellen Erkennungen zu entgehen.
Die vorgestellten Samples sind zwei Beispiele dafür, wie Angreifer Scripts verwenden können, um bösartige Aktivitäten auf Windows-Zielcomputern durchzuführen. Diese Scripts erfinden das Rad nicht neu, aber sie bieten den Angreifern Flexibilität und Zugänglichkeit. Diese Vorteile ermöglichen es, Befehle auszuführen und so potenziell die volle Kontrolle über die Zielmaschinen zu erlangen. Aus diesen Gründen haben Angreifer möglicherweise einen Anreiz, diese Option zu wählen.
[1] https://www.thezdi.com/blog/2019/5/21/rce-without-native-code-exploitation-of-a-write-what-where-in-internet-explorer
98 Artikel zu „Script Malware“
NEWS | BUSINESS | TRENDS WIRTSCHAFT | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
Mobile Malware und APT-Spionage in ungeahnten Dimensionen
Aktuelle Studie analysiert mobile Malware in plattformübergreifenden Überwachungs- und Spionagekampagnen durch organisierte APT-Angreifer, die im Interesse der Regierungen Chinas, Irans, Nordkoreas und Vietnams tätig sind . BlackBerry Limited veröffentlicht eine neue Studie mit dem Titel »Mobile Malware und APT-Spionage: erfolgreich, tiefgreifend und plattformübergreifend« [1]. Darin wird aufgezeigt, inwiefern organisierte Gruppen mittels mobiler Schadsoftware in Kombination mit…
NEWS | IT-SECURITY | KOMMENTAR | KOMMUNIKATION
Malware, Viren und Trojaner – (un)sicherer IT-Betrieb im Krankenhaus
Karsten Glied* äußert sich zum Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck, zu seinen Folgen und zum Aufbau einer sicheren IT: »Die aktuelle Meldung über einen Malware-Befall im bayerischen Krankenhaus Fürstenfeldbruck reiht sich ein in die lange Liste der kritischen IT-Vorfälle dieses Jahres. Reichte es früher, Virenscanner, Firewall und das Betriebssystem upzudaten, muss heute in komplexen…
NEWS | TRENDS SECURITY | TRENDS 2017 | IT-SECURITY
30 Jahre Verschleierung von Malware
244 neue Cyber-Bedrohungen jede Minute. Weltweite Infektionsrate mit mobiler Malware steigt in Q1 2017 auf 57 Prozent. Mac OS-Malware inzwischen bei 53 Prozent. Der McAfee Labs Threats Report für Juni 2017 wirft einen genauen Blick auf die Cyber-Bedrohungen des ersten Quartals 2017. So analysiert der Bericht den Fareit Passwort-Dieb, blickt auf die 30-jährige Entwicklung…
NEWS | TRENDS SECURITY | TRENDS 2016 | IT-SECURITY
Malware-Traffic steigert sich bereits zum vierten Mal in Folge
Dabei ist Ransomware der wesentliche Treiber; erstmals nutzen DDoS-Attacken IoT-Botnetze. Malware, die sich über DDoS-Angriffe verbreitet, ist auf dem Vormarsch und steigt weiter an. Das haben die Security Analysten von AppRiver im zurückliegenden dritten Quartal beobachten können. Der soeben veröffentlichte Q3 Global Security Report [1] beleuchtet die aktuellen Malware-Trends im Detail, erfasst das Spam- und Malware-Aufkommen der Monate Juli…
NEWS | TRENDS SECURITY | TRENDS 2016 | IT-SECURITY
Banking-Malware: KRBanker nimmt Angriffsziele mittels Adware und Exploit-Kits ins Visier
Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyberkriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher, die hinter diesen Kampagnen stecken, nehmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Unit 42, das Malware-Analyseteam von Palo Alto Networks, verfolgt die Malwarekampagne »KRBanker«, auch bekannt als »Blackmoon«.…
NEWS | TRENDS SECURITY | TRENDS KOMMUNIKATION | TRENDS 2016 | IT-SECURITY | KOMMUNIKATION
Spam- und Malware-Traffic im 1. Quartal 2016 übertrifft Spitzenwerte von 2015
Das Spam- und Malware-Aufkommen im E-Mail-Datenverkehr betrug im 1. Quartal insgesamt 2,3 Milliarden Schadmails, davon alleine 1,7 Milliarden im März. Damit überschreiten die für das 1. Quartal 2016 verzeichneten Werte bereits die des gesamten Jahres 2015. Das sind die Ergebnisse des »Global Security Report« für das 1. Quartal 2016. Nordamerika belegt im 1. Quartal 2016…
NEWS | INDUSTRIE 4.0 | IT-SECURITY
Industrie 4.0: Grundlegende Richtlinien für eine sichere OT-Entwicklung
Gefährliche Designfehler und Schwachstellen in Legacy-Programmiersprachen für Industrieroboter. Trend Micro stellt neue Forschungsergebnisse vor, die auf Designschwächen in Legacy-Programmiersprachen hinweisen, welche in industriellen Systemen zum Einsatz kommen. Die Sicherheitsforscher veröffentlichen zudem neue Richtlinien für sicheres Programmieren, die Entwicklern von Industrie-4.0-Anlagen helfen sollen, die Angriffsfläche für Softwareangriffe deutlich zu verringern. Dadurch können Betriebsunterbrechungen in OT-Umgebungen (Operational…
NEWS | DIGITALE TRANSFORMATION | KOMMUNIKATION | AUSGABE 5-6-2020
Home Office – Sichere Kommunikation ist unser Kerngeschäft
NEWS | TRENDS 2020 | TRENDS SERVICES | SERVICES
70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen. Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…
NEWS | IT-SECURITY
Ransomware: Gestern, heute und morgen
Gezielte Ransomware-Angriffe nehmen weiter zu und sie werden noch schlimmer. Ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen. Bei Ransomware ist nach wie vor der menschliche Faktor das größte Problem. Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten…
NEWS | BUSINESS | IT-SECURITY | KOMMENTAR
Der Cloud Act ist eine ganz reale Gefahr
US-Anbieter lassen verlauten, der US Cloud Act sei nur eine »hypothetische Möglichkeit«. Wer’s glaubt, wird selig. Ein Kommentar von Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud in Nürnberg Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die…
NEWS | BUSINESS | CLOUD COMPUTING | WHITEPAPER
Whitepaper: Rechtliche Risiken bei Nutzung internationaler Cloudanbieter
Das Kölner Cloud-Technologieunternehmen gridscale und die Wirtschaftskanzlei Heuking Kühn Lüer Wojtek veröffentlichen kostenfrei ein umfassendes Kompendium zu rechtlichen Fallstricken beim Cloud Computing. Der praxisnahe Ratgeber geht dabei über die gängigen Schlagworte zu Datenschutz und Datensicherheit weit hinaus und liefert Business- und IT-Entscheidern Hintergrundinformationen und konkrete Hilfestellungen bei der Auswahl des für sie passenden Cloudanbieters. Viele…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Home Office: In Quarantäne sicher von zu Hause aus arbeiten
Wie Unternehmen in der »Corona-Krise« Notfallarbeitsplätze für Mitarbeiter bereitstellen können, ohne dabei IT-Sicherheitsrisiken eingehen zu müssen. Die aktuelle Situation rund um das neuartige Coronavirus Covid-19 stellt viele Unternehmen und Behörden vor Herausforderungen. Vielerorts gilt es, sich auf mögliche Quarantäne-Maßnahmen vorzubereiten und für eine große Anzahl an Mitarbeiterinnen und Mitarbeitern Notfall- beziehungsweise Heimarbeitsplätze bereitzustellen. ECOS Technology,…
NEWS | IT-SECURITY | TIPPS
Erhöhte Gefahr durch Ransomware-Angriffe gegen Windows 7
Ab dem 14. Januar beendet Microsoft den Support für Windows 7. Aber auch nach dem Stichtag wird das Betriebssystem noch auf rund 26 Prozent der PCs weltweit laufen, wie zahlreiche Analysen zeigen. Ohne Patches und Bugfixes wächst aber das Risiko, Opfer einer Ransomware-Attacke zu werden. Ein drastischer Beleg hierfür ist der WannaCry-Virus aus dem Jahr…
NEWS | TRENDS 2020 | KÜNSTLICHE INTELLIGENZ | STRATEGIEN
2020: Daten werden sich in Bilanzen niederschlagen, KI muss ethisch und effizient werden
Technologisch hat sich in den vergangenen Jahren extrem viel getan: verschiedene Cloud-Modelle, maschinelles Lernen und KI sowie Flash-Speicher und andere neue Technologien. Nun geht es jedoch darum, ob und wie diese Technologien in den realen Unternehmensalltag Einzug halten, und welche Folgen beziehungsweise Potenziale dies für Unternehmen schafft. Markus Grau, Principal Systems Engineering im EMEA…
NEWS | TRENDS 2020 | BUSINESS | TRENDS WIRTSCHAFT
Vier Cloud-ERP-Trends für das Finanzwesen 2020
Von Subscription Economy bis Business Partnering: Diese Themen werden 2020 für Finanzabteilungen, CFO und Manager wichtig. Das Jahr 2019 neigt sich dem Ende entgegen und viele Firmen- und Finanzentscheider fragen sich, worauf sie im kommenden Jahr achten sollten. Oracle möchte bei diesen Überlegungen unterstützen und teilt nun vier Cloud-ERP-Einblicke, die 2020 an Bedeutung gewinnen werden.…
NEWS | IT-SECURITY | AUSGABE 11-12-2019 | SECURITY SPEZIAL 11-12-2019
Überlastung der IT-Security-Teams – Automatisierung als Antwort auf den Fachkräftemangel
Verantwortliche für die IT-Sicherheit eines Unternehmens sehen sich häufig mit einer personellen Unterbesetzung ihrer Security-Abteilungen konfrontiert – und dies nicht nur kurz-, sondern ohne Aussicht auf Besserung mittelfristig. Ein möglicher Ausweg: automatisierte Workflows zur deutlichen Entlastung der IT-Security-Teams.
NEWS | KÜNSTLICHE INTELLIGENZ | AUSGABE 11-12-2019 | SECURITY SPEZIAL 11-12-2019
KI-gesteuerte Entwicklung – Teamwork
NEWS | E-COMMERCE | IT-SECURITY | TIPPS
Online-Shopping: Formjacking – Die neue unsichtbare Bedrohung im Cyberspace
Wenn Millionen Menschen online auf Schnäppchenjagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Der ahnungslose Kunde und das betroffene Unternehmen bekommen davon erstmal gar nichts mit – alles verläuft wie gewohnt.…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Cyber-Security: Sicherheitsprognosen für das Jahr 2020
Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet. Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…