Palo Alto Networks enthüllt neue Angriffstaktik

Thorsten Henning Palo Alto Networks qdr

Cyberangreifer, die den PlugX-Trojaner einsetzen, nutzen oft legitime ausführbare Dateien, um ihre bösartigen DLLs (Dynamic Link Library) mittels einer Technik namens DLL-Side-Loading ins System zu schleusen. Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat nun beobachtet, dass zu diesem Zweck eine neue ausführbare Datei zum Einsatz kommt. Die Malware-Akteure nutzen eine Applikation, die ursprünglich von Samsung stammt, um Varianten des PlugX-Trojaners ins System zu laden.

Mithilfe von Palo Alto Networks´ Bedrohungsanalyse-Dienst AutoFocus in dem diese Varianten gekennzeichnet sind, können Kunden entsprechende Angriffsmuster einfacher erkennen.

Unit 42 hat kürzlich zwei Plugx-Samples beobachtet, die die RunHelp-Anwendung von Samsung  nutzen, um ihren Funktionscode in der Registry zu speichern. Die gleiche Technik richtete sich 2015 gegen Angriffsziele in Indien. Die Akteure greifen dabei wie bei früheren Angriffen auf eine C2-Domain zurück. Die Aufdeckung dieser Angriffstaktik geht zurück auf die Analyse eines schädlichen Word-Dokuments, das mit dem berüchtigten Exploit-Kit „Tran Duy Linh“ erstellt wurde. Dieses Dokument nutzt die Schwachstelle CVE-2012-0158, um einen benutzerdefinierten Dropper-Trojaner namens Word.exe auszuführen. Bei erfolgreicher Ausnutzung der Schwachstelle speichert der Dropper einige Dateien auf dem System, um dann einzelne Varianten des PlugX-Trojaners zu installieren und auszuführen.

Die ausführbare Datei RunHelp.exe ist mit einem digitalen Zertifikat signiert. Die Bedrohungsakteure nutzen diese Applikation, um Schadcode via DLL-Side-Loading auszuführen. RunHelp.exe versucht, eine Bibliothek mit dem Namen „ssMUIDLL.dll“ und eine exportierte Funktion mit dem Namen „GetFullLangFileNameW2“ zu laden. Die Datei „ssMUIDLL.dll“ dient zum Entschlüsseln und Ausführen des in einer weiteren Datei namens „ssMUIDLL.dll.conf“ gespeicherten PlugX-Funktionscodes.

Unit 42 weist darauf hin, dass diese Technik keine Fehler im Samsung-Programm ausnutzt, sondern nur die Binärdatei nutzt, um eigene Informationen zu verstecken. Während der Analyse hat Unit 42 eine zweite ähnliche schädliche Excel-Tabelle mit dem Namen „1.xls“ identifiziert, die die gleiche Schwachstelle nutzt, um einen benutzerdefinierte Dropper-Trojaner namens „7.tmp“ zu speichern und auszuführen. Dieser Dropper-Trojaner entschlüsselt eingebettete Dateien.

Die Loader-DLL hat zudem einige Tricks auf Lager, um die manuelle Analyse zu erschweren und die Analyse in einer automatisierten Umgebung zu verhindern. Dies geschieht mittels Junk-Code in der Form nutzloser API-Funktionsaufrufe und anderer unnützer Rechenanweisungen.

“Ich empfehle Unternehmen ihre aktuellen Sicherheitslösungen zu überprüfen, diese gegebenenfalls zu ergänzen und das Netzwerk proaktiv nach möglichen Kompromittierungen zu untersuchen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Die ideale Sicherheitslösung nutzt einen plattformbasierten Ansatz, der in jeder Phase der Angriffskette Schutz bietet. Neue Schutzmaßnahmen werden automatisch hinzugefügt, sobald bisher unbekannte Bedrohungen wie diese erkannt werden.“