Zscaler-Analyse der jüngsten dateilosen Malware-Angriffe

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysierten aktuelle Kampagnen von dateilosen Malware Angriffen. Ähnlich wie Kriminelle am Tatort durch Fingerabdrücke oder DNA überführt werden können, hinterlassen auch Hacker Spuren auf infizierten Systemen. Um diese Beweise ihrer Angriffe zu reduzieren, haben Cyberkriminelle dateilose Malware als Variante von bösartiger Software entwickelt, die lediglich als Computer Memory-basiertes Artefakt existiert. Die Infektion oder Malware legt keine ausführbaren Dateien auf der Festplatte des infizierten Systems mehr ab, um die Erkennung des Angriffs so lange wie möglich zu verschleiern.

In den vergangenen Jahren wurde der dateilose Infektionsweg von unterschiedlicher Malware und Advanced Persistent Threats (APTs) ausgenutzt. Verschiedenste Techniken kamen zum Ausliefern der finalen Payload zum Einsatz, wie etwa das Verstecken des Kovter Trojaners im Windows Registry oder das Vorgehen des Hancitor Trojaners, der seinen Shellcode in ein Word Document Macro injizierte. Unlängst wurde nun eine neue Welle von dateilosen-Infektionstechniken aufgespürt, bei der legitime Applikation auf dem Gerät des Opfers missbraucht wurden.

Die ThreatLabZ-Analysten stellen drei konkrete Szenarien vor, wie Angreifer dateilose Malware verstecken, die keine Spuren auf Festplatten hinterlassen und damit Erkennung und Beseitigung schwierig gestalten. Ein Weg führt über die njRAT-Hintertür. Diese ist zwar seit längerem bekannt, wird aber gezielt für jene Angriffe als Einfallstor genutzt. Dabei wird eine Phishing-E-Mail mit einer infizierten docx–Datei verschickt, die nach dem Öffnen den mehrstufigen Infektions-Zyklus automatisch startet, wie Grafik 2 verdeutlicht:

Auch die bekannte Sodinokibi-Ransomware (auch REvil genannt) ist erneut aktiv geworden und setzt diesmal auf dateilose Malware. Wiederrum wird eine Phishing-Mail verschickt, die hier jedoch eine infizierte BAT-Datei mit einem PowerShell Script enthält. Einmal angeklickt, startet sie den Infektionszyklus über den Download eines zweiten Powershell-Scripts, wie unten gezeigt.

Als dritten Weg zeigt das ThreatLabZ-Team die Hintertür des Astaroth-Trojaners als heimlichen Zugang für dateilose-Malware-Kampagnen auf. Eigentlich stiehlt der Astaroth-Trojaner bevorzugt Kontodaten, liest Tastatureingaben aus und greift System-Informationen ab. Bei der dateilosen Technik  dient eine Phishing-Mail als Vorbereitung für den Angriff. Diesmal hängt eine betrügerische LNK-Datei an, die den Zyklus startet, der über eine XSL-Datei mit einem infizierten Java-Script ausgeführt wird.Allen drei beschriebenen Techniken ist gemein, dass sie auf bekannte Applikationen, wie PowerShell und Windows Management Instrumentation (WMI) setzen.

Da diese Art der Malware-Kampagnen nur schwer zu erkennen sind, beobachten die ThreatLabZ-Analysten die Entwicklung der Auslieferungsmechanismen kontinuierlich über unterschiedliche Quellen, um die Zscaler Security Cloud auf dem aktuellsten Sicherheitsniveau zu halten.

Weitere, technische Informationen finden Sie im Zscaler-ThreatLabZ-Blog: https://www.zscaler.com/blogs/research/fileless-malware-campaign-roundup