Ein Team von Sicherheitsforschern hat eine neue Technik entdeckt, die Malware ermöglicht, die meisten modernen Antivirenlösungen und forensischen Tools zu überlisten. Damit könnte dateilose Malware auf allen Windows-Versionen unter dem Radar von Virenscannern hindurch schlüpfen.
Anzeige
Die Methode wurde gerade von den Sicherheitsspezialisten Tal Liberman und Eugene Kogan von eSilo auf der Blackhat-Konferenz in London vorgestellt. Die Process Doppelgänging getaufte Technik der dateilosen Code-Injektion nutzt die Vorteile einer Windows-Funktion und einer undokumentierten Implementierung des Windows Process Loaders.
Die alte Process Hollowing neu gedacht
In der Blackhat-Ankündigung wird erwähnt, dass der Angriff ähnlich wie die seit Jahren bekannte Process Hollowing-Technik arbeitet. Diese versucht mit bestimmten Ansätzen die Erkennung der Malware durch Sicherheitsprodukte zu unterlaufen.
Bei einer Process Hollowing-Attacke ersetzen Hacker Teile des Speicher eines legitimen Prozesses durch den bösartigen Code. So kann dieser bösartige Code anstelle der ursprünglichen Codes ausgeführt werden. Prozessüberwachungswerkzeuge und Antivirenprogramme glauben, dass noch der ursprüngliche Prozess ausgeführt wird.
Da alle modernen Antiviren- und Sicherheitsprodukte aktualisiert wurden, um Process Hollowing-Angriffe zu erkennen, ist die Verwendung dieser Technik für Malware-Autoren stumpf geworden.
Process Doppelgänging versucht zwar das Gleiche zu erreichen, verwendet jedoch einen völlig anderen Ansatz. Dazu werden Windows NTFS-Transaktionen und eine veraltete Implementierung des Windows Process Loader, missbraucht. NTFS-Transaktionen wurden ursprünglich für Windows XP entwickelt, sind aber in allen späteren Versionen von Windows aus Kompatibilitätsgründen noch dabei.
Wie der Angriff funktioniert
NTFS-Transaktion ist eine Funktion von Windows, die das Konzept der atomaren Transaktionen in das NTFS-Dateisystem bringt und es ermöglicht, Dateien und Verzeichnisse atomar zu erstellen, zu modifizieren, umzubenennen und zu löschen.
NTFS-Transaktion ermöglichen es, Windows-Anwendungsentwicklern Dateiausgaberoutinen zu schreiben, die garantiert entweder vollständig erfolgreich sind oder vollständig fehlschlagen.
Wie könnte ein Angreifer Windows NTFS-Transaktion nutzen, um Schadcode auszuführen? Die Sicherheitsforscher skizzieren einen dateilosen Angriff mit Process Doppelgänging, der in vier großen Schritten arbeitet:
Anzeige
- Transact: versucht eine legitime ausführbare Datei in einer NTFS-Transaktion zu verarbeiten und sie dann mit einer bösartigen Datei zu überschreiben.
- Load: Erstellen eines Speicherausschnitts aus der modifizierten (bösartigen) Datei.
- Rollback der Transaktion (bewusstes Scheitern der Transaktion), was zur Folge hat, dass alle Änderungen an der legitimen ausführbaren Datei entfernt werden, so, als ob sie nie existiert hätte.
- Animate: Den Doppelgänger zum Leben erwecken. Dazu wird die ältere Implementierung des Windows Process Loader verwendet, um einen Prozess mit dem zuvor erstellten Speicherabschnitt (in Schritt 2) zu erstellen.
Durch den letzten Schritt wird der Schadcode, der nie auf der Festplatte gespeichert wurde, ausgeführt, ist aber für moderne Virenscanner unsichtbar.
Alle Windows-Versionen anfällig
Offensichtlich funktioniert eine Process Doppelgänging-Attacke auf allen modernen Versionen des Microsoft Windows Betriebssystems, angefangen von Windows Vista bis hin zur neuesten Version von Windows 10. Die Sicherheitsforscher haben folgende Übersicht veröffentlicht.
Diese zeigt, dass praktisch alle aktuellen Sicherheitslösungen für eine Process Doppelgänging-Attacke blind sind. Allerdings hat Microsoft damit begonnen, soweit ich die Vortragsfolien verstanden habe, diese Angriffsmethode in Windows 10 Redstone zu blocken. Die Folien des Vortrags mit den technischen Details sind hier als PDF-Datei abrufbar. Englischsprachige Artikel mit finden sich bei The Hacker News und Bleeping Computer.
2015
Je komplexer ein System, desto mehr Schlupflöcher. Wie bei den Steuergesetzen: Ein Schlupfloch wird zugemacht und gewievte Steuerkanzleien finden das nächste. Alles nur eine Frage der Zeit. Die IT-Technik wird nie zu 100% Sicherheit herstellen können. Es wird immer angreifbar sein. Und deswegen ist und bleibt es DAS Problem für 4.0 der industriellen, aber auch privaten Nutzung.
Sehe ich zwar auch so, aber wir sind da einfach Spassbremsen und old school ;-).
Damit die Malware diese ausführbare Datei schreiben kann, muss sie selbst erstmal ausgeführt werden (Javascript im Browser?).
Um die Datei zu schreiben, benötigt sie Schreibrechte (also für Standardbenutzer nur innerhalb des Benutzerprofils bzw. in einem neuen Ordner in C:\, Ersteller-Besitzer und so, ggf. ext. HDD oder Netzlaufwerke).
Um die Datei auszuführen, darf an dem Ort die Ausführung nicht verhindert werden (z. B. durch Gruppenrichtlinien, z. B. für %appdata% und %localappdata% oder gleich %userprofile% und alle Remote-Speicherorte).
Auf einem Netzlaufwerk dürfte solches NTFS-Zeug nicht greifen (wenn nicht könnte da die Dateierstellung überwacht/verhindert werden).
Falls das so zutrifft, gibt es in verwalteten Umgebungen durchaus Möglichkeiten, solche Angriffe zu unterbinden, bei Einzelplätzen dürften solche Maßnahmen viel Arbeit bedeuten bzw. ist auf Home-Editionen nicht möglich.
95% von diesem Dreck bekommt man echt mit den Standard Software Restriction Policies (SRP) was ein Feature von Windows Pro ist. Pimpt man die noch etwas bekommt man vllt. 97%.
Es gibt auch einfach keinen Grund, dass User eine Software von woanders als Programme, Program Files oder Windows ausführen kann, wo der User natürlich nur Leserechte hat.
Schon gar nicht von Desktop, Documents oder noch besser Temp (loool).
Nb
Und schon gar nix, was er selbst runtergeladen hat…
Nun ja, ich erinnere einfach an den Artikel Kritische Sicherheitslücke(n) in Microsoft Malware Protection Engine (CVE-2017-11937 und CVE-2017-11940).
Ich mache mir deswegen keine großen Gedanken. Denn im Moment stellt die vorgestellte Bedrohung noch keine Gefahr dar. Wenn Microsoft ein Gegenmittel für Windows 10 veröffentlichen will, zeigt das doch, dass Microsoft der Sicherheit eine immer größere Priorität einräumt.
An der Stelle noch mal der Hinweis, dass Nutzer ab Windows 7 noch bis zum 31.12.2017 kostenlos auf Windows 10 umsteigen können. Wer noch Windows Vista einsetzt, sollte sich einen Key für Windows 7 besorgen. Bisher lässt sich Windows 10 mit einer gültigen Seriennummer für Windows 7 oder Windows 8.1 aktivieren. Windows 7 und Vista sind nicht mehr auf der Höhe der Zeit. Windows 10 bringt von Haus aus einen Exploit-Schutz und Ordner-Schutz mit. Nicht zu vergessen der SmartScreen-Filter. Der wurde weiterentwickelt und überprüft nicht nur die URL in Edge und IE. Bei einer aus dem Internet stammenden Anwendung überprüft der SmartScreen-Filter den Ruf der Anwendung mit Hilfe von digitalen Signaturen und anderen Faktoren anhand eines von Microsoft verwalteten Diensts. Bei den Unternehmens-Editonen gibt es noch zusätzlichen Schutz, wie z.B. Device Guard oder Application Guard.