Anish Bogati, Global Services & Security Researcher bei Logpoint
Die zunehmende Anzahl von Cyberangriffen stellen Unternehmen und Einzelpersonen gleichermaßen vor enorme Herausforderungen. Angesichts dessen, ist der Austausch von Bedrohungsdaten in Form von Erkenntnissen, Trends und Mustern von entscheidender Bedeutung. Der Austausch von Informationen ist unerlässlich, um neue und alte Bedrohungen wirksam zu bekämpfen. Unabhängige Sicherheitsforscher auf der ganzen Welt tragen zu verschiedenen Repositories bei, die eine Schlüsselrolle dabei spielen, anderen Sicherheitsforschern und -analysten die Entwicklung von Erkennungsregeln und Reaktionstaktiken zu erleichtern, um neuen Bedrohungen immer einen Schritt voraus zu sein. Eine dieser gefährlichen Bedrohungen ist die Malware Loki, die zu den Informationsdiebstahl-Trojanern zählt und gezielt auf Windows-Systeme abzielt.
Beim Durchsuchen der jüngsten Uploads in MalwareBazaar – einer umfassenden Datenbank mit bekannten Malware-Samples – wurde ein Loki-Malware-Sample entdeckt, das zu einer bisher nicht untersuchten Malware-Familie gehört. Lokiist darauf spezialisiert, sensible Daten wie Anmeldeinformationen, Zugangsdaten zu Kryptowährungs-Wallets und andere persönliche Informationen zu exfiltrieren. Die Gefahr, die von Loki ausgeht, beruht nicht nur auf ihrem Datenzugriffsvermögen, sondern auch auf den ausgeklügelten Verschleierungstechniken, die eine Erkennung durch herkömmliche Sicherheitslösungen erschweren.
Dabei verwendet Loki verschiedene Techniken, um ihre bösartige Aktivität zu verbergen. Ein bedeutender Mechanismus, den Loki einsetzt, ist die Nutzung von sogenannten Command-and-Control-Servern (C2), die es der Malware ermöglichen, kontinuierlich Anweisungen zu empfangen und mit dem Angreifer zu kommunizieren. Dies macht die Malware besonders widerstandsfähig, da sie so in Echtzeit auf Sicherheitsmaßnahmen reagieren und neue Anweisungen umsetzen kann. Indem Loki mehrere Ebenen der Verschlüsselung und Kommunikationswege nutzt, bleibt sie oft unbemerkt auf infizierten Systemen aktiv und kann dort Daten über einen längeren Zeitraum sammeln, bevor ein Alarm ausgelöst wird.
Bei der Analyse des Samples sind den Forschern einige Dinge aufgefallen. Die ursprüngliche HTA-Datei enthielt mehrere Ebenen der URL-Kodierung. Nach der Dekodierung wurde festgestellt, dass die Nutzdaten mit Base64-Kodierung und einer Zeichenersetzungstechnik weiter verschleiert wurden.
Um sich gegen Bedrohungen wie Loki zu schützen, sind gezielte Sicherheitsmaßnahmen erforderlich.
- Die Implementierung einer umfassenden Überwachungsstrategie, sowie restriktive Richtlinien, die die Ausführung unbekannter Skripte und verdächtiger Dateitypen einschränken sind grundlegend für den Schutz vor Malware-Typen wie Loki.
- Auch regelmäßige Updates von Betriebssystemen und Anwendungen schließen bekannte Sicherheitslücken und minimieren das Risiko von Angriffen.
- Der Einsatz von fortschrittlichen EDR-Tools sowie eine sorgfältige Protokollierung und Überwachung unterstützen eine schnelle Reaktion im Fall eines Angriffs und helfen dabei, das Ausmaß eines Vorfalls zu begrenzen.
Fazit
Cyberbedrohungen wie Loki sind ein erhebliches Risiko in der aktuellen Cybersicherheitslandschaft. Sie agieren teilweise nicht nur versteckt, sondern nutzen auch fortlaufend neue Angriffspfade, um Sicherheitsvorkehrungen gezielt zu umgehen. Aus diesem Grund sind umfassende Vorkehrungen zur Erkennung dieser Bedrohungen, sowie Sicherheitsvorgaben zur Bekämpfung dieser, unerlässlich. Eine gut durchdachte Sicherheitsstrategie stärkt die Verteidigungsfähigkeit moderner IT-Systeme und hilft dabei, der ständigen Weiterentwicklung von Cyberbedrohungen einen Schritt voraus zu sein. Mehr lesen Sie hier: https://www.logpoint.com/en/blog/hiding-in-plain-sight-the-subtle-art-of-loki-malwares-obfuscation/