Hacker verstecken jetzt Malware in Windows-Ereignisprotokollen

Sicherheitsforscher haben eine böswillige Kampagne bemerkt, die Windows-Ereignisprotokolle zum Speichern von Malware verwendet hat, eine Technik, die zuvor nicht öffentlich für Angriffe in freier Wildbahn dokumentiert wurde.

Die Methode ermöglichte es dem Bedrohungsakteur hinter dem Angriff, dateilose Malware in das Dateisystem einzuschleusen, und zwar in einem Angriff, der mit Techniken und Modulen gefüllt war, die darauf abzielten, die Aktivität so heimlich wie möglich zu halten.

Hinzufügen von Payloads zu Windows-Ereignisprotokollen

Forscher von Kaspersky sammelten eine Malware-Probe, nachdem ein Unternehmensprodukt, das mit einer Technologie zur verhaltensbasierten Erkennung und Kontrolle von Anomalien ausgestattet war, diese als Bedrohung auf dem Computer eines Kunden identifiziert hatte.

Die Untersuchung ergab, dass die Malware Teil einer „sehr gezielten“ Kampagne war und sich auf eine große Auswahl an Tools stützte, sowohl kundenspezifische als auch im Handel erhältliche.
Einer der interessantesten Teile des Angriffs ist das Einfügen von Shellcode-Nutzlasten in Windows-Ereignisprotokolle für die Key Management Services (KMS), eine Aktion, die von einem benutzerdefinierten Malware-Dropper ausgeführt wird.

Denis Legezo, leitender Sicherheitsforscher bei Kaspersky, sagt, dass diese Methode „zum ersten Mal ‚in freier Wildbahn‘ während der bösartigen Kampagne verwendet wurde“.

Der Dropper kopiert die legitime OS-Fehlerbehandlungsdatei WerFault.exe nach ‘C:WindowsAufgaben‘und legt dann eine verschlüsselte binäre Ressource in der’ abwer.dll‘(Windows-Fehlerberichterstattung) an derselben Stelle, damit die DLL-Suchreihenfolge entführt wird, um bösartigen Code zu laden.

DLL-Hijacking ist eine Hacking-Technik, die legitime Programme mit unzureichenden Überprüfungen ausnutzt, um eine bösartige Dynamic Link Library (DLL) von einem beliebigen Pfad in den Speicher zu laden.

Legezo sagt, dass der Zweck des Droppers darin besteht, auf die Festplatte für den Seitenladeprozess zu laden und nach bestimmten Datensätzen in den Ereignisprotokollen zu suchen (Kategorie 0x4142 – „AB“ in ASCII. Wenn kein solcher Datensatz gefunden wird, schreibt er 8-KB-Blöcke von verschlüsselter Shellcode, die später zum Code für den nächsten Stager kombiniert werden.

„Die sind gefallen wer.dll ist ein Loader und würde ohne den in Windows-Ereignisprotokollen versteckten Shellcode keinen Schaden anrichten “- Denis Legezo, leitender Sicherheitsforscher bei Kaspersky

Die von Kaspersky analysierte neue Technik ist wahrscheinlich auf dem Weg, immer beliebter zu werden, wie Soumyadeep Basu, derzeit Praktikant im roten Team von Mandiant, entwickelt und auf GitHub veröffentlicht hat Quellcode zum Einfügen von Nutzlasten in Windows-Ereignisprotokolle.

Technisch fortgeschrittener Schauspieler

Basierend auf den verschiedenen Techniken und Modulen (Pen-Testing-Suiten, benutzerdefinierte Anti-Erkennungs-Wrapper, Trojaner in der Endphase), die in der Kampagne verwendet wurden, stellt Legezo fest, dass die gesamte Kampagne „beeindruckend aussieht“.

Er sagte gegenüber BleepingComputer, dass „der Akteur hinter der Kampagne selbst ziemlich geschickt ist oder zumindest über eine gute Reihe ziemlich profunder kommerzieller Tools verfügt“, was auf einen Gegner auf APT-Ebene hindeutet.

Zu den bei dem Angriff verwendeten Tools gehören die kommerziellen Penetrationstest-Frameworks Cobalt Strike und NetSPI (das frühere SilentBreak).

Obwohl angenommen wird, dass einige Module des Angriffs benutzerdefiniert sind, stellt der Forscher fest, dass sie möglicherweise Teil der NetSPI-Plattform sind, für die keine kommerzielle Lizenz zum Testen verfügbar war.

Beispielsweise können zwei Trojaner namens ThrowbackDLL.dll und SlingshotDLL.dll Tools mit demselben Namen sein, die bekanntermaßen Teil des Penetrationstest-Frameworks von SilentBreak sind.

„Wir haben die Forschung vom In-Memory Last Stager aus gestartet und konnten dann mithilfe unserer Telemetrie mehrere Infektionsketten rekonstruieren“ – Denis Legezo

Die Untersuchung verfolgte die Anfangsphase des Angriffs bis September 2021, als das Opfer dazu verleitet wurde, ein RAR-Archiv vom File-Sharing-Dienst file.io herunterzuladen.

Der Bedrohungsakteur verbreitete dann das Modul Cobalt Strike, das mit einem Zertifikat einer Firma namens Fast Invest ApS signiert war. Das Zertifikat wurde verwendet, um 15 Dateien zu signieren, und keine davon war legitim.

In den meisten Fällen besteht der ultimative Zweck der zielgerichteten Malware mit einer solchen Last-Stager-Funktion darin, einige wertvolle Daten von den Opfern zu erhalten, sagte der Forscher gegenüber BleepingComputer.

Bei der Untersuchung des Angriffs fand Kaspersky keine Ähnlichkeiten mit früheren Kampagnen, die mit einem bekannten Bedrohungsakteur in Verbindung gebracht wurden.

Bis eine Verbindung zu einem bekannten Angreifer hergestellt wird, verfolgen die Forscher die neue Aktivität als SilentBreak, nach dem Namen des bei dem Angriff am häufigsten verwendeten Tools.

Leave a Reply

Your email address will not be published.