Kurze Meldung zum Wochenstart in Sachen Sicherheit und LokiBot-Trojaner. Sicherheitsforscher sind in einer SPAM-Kampagne auf PNG-Grafiken gestoßen, in denen der LokiBot-Trojaner enthalten war. Es scheint aber nur ein Testlauf zu sein, bei dem Verschleierungsmethoden ausprobiert werden.
Anzeige
LokiBot ist ein Trojaner, der darauf ausgelegt ist, Informationen von kompromittierten Endpunkten verdeckt abzugreifen. Die Malware ist dafür bekannt, dass sie einfach und effektiv ist und verschiedene Arten von Anhängen verwendet. Nun haben die Entwickler eine neue Masche implementiert, um die Erkennung auf Nutzersystemen (Endpunkten) auszutricksen.
Neue Spam-Kampagne
Die Info findet sich in diesem ThreadPost-Artikel. Eine Spam-Kampagne, die den LokiBot-Trojaner verbreitet, nutzt eine neuartige Technik, um die Erkennung zu umgehen. Laut Forschern beinhalten die Spam-Nachrichten bösartige .zipx-Anhänge, die in einer .PNG-Datei versteckt sind. Diese Kombination könnte in einigen E-Mail-Sicherheitsgateways unerkannt bleiben, so dass die Malware in den E-Mail-Eingang des Benutzers gelangt.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Laut Trustwave SpiderLabs, das zuerst die .PNG/LokiBot-Nachrichten entdeckte, waren die Spam-Kampagnen, die den Trojaner in dieser Form auslieferten, bisher in ihrem Umfang begrenzt. "Dies stellt eine Erweiterung der bestehenden Möglichkeiten dar, wie LokiBot per E-Mail zugestellt wird", sagt Phil Hay, Senior Research Manager bei Trustwave.
Verschleierungsversuche mit Archiven
Die Trustwave-Forscher schreiben, dass die Spam-Nachricht, die die Nutzlast LokiBot ausliefert, drei verschiedene Merkmale zur Verschleierung aufweist. Erstens hat der in der Spam-Kampagne verwendete Anhang eine Erweiterung .zipx, d.h. er ist ein komprimiertes Archiv. Diese Art von komprimierten Dateien ist für die Verteilung von Malware bekannt und wird von E-Mail-Sicherheitsgateways als gefährlich eingestuft.
Um eine Erkennung zu vermeiden, versuchen Hacker die E-Mail-Sicherheitslösungen (Gateway-Scanner) auszutricksen. Dazu verschleiern sie das Archiv und verwenden die Dateisignatur eines .PNG-Formats (Portable Network Graphics). Die Angreifer verwenden die komplett .PNG-Dateistruktur, mitsamt einem .PNG "Header" und "IEND". Auf diese Weise wird die bösartige Datei (RFQ -560000005870.zipx) beim Scannen als .PNG-Bild identifiziert, obwohl sie eine .zipx-Datei ist. Der eigentliche Archivcode – mit dem LokiBot-Code – wird an das Ende der .PNG-Dateisignatur angehängt.
"In einer PNG-Datei soll IEND das Ende des Bildes markieren und als letztes erscheinen. Aber in dieser Datei gibt es einen Haufen Daten nach dem IEND", so ein Dokument, das von Rodel Mendrez, Senior Security Researcher bei Trustwave und Hay, mitverfasst wurde. "Die PNG-Formatspezifikation scheint solche Fremddaten zu erlauben, es liegt an der Anwendung zu entscheiden, ob sie versucht, diese Daten zu interpretieren oder zu ignorieren", schrieben Forscher.
Die Forscher fügten hinzu, dass der bösartige Anhang (RFQ -560000005870.zipx) in einem Bildbetrachter als .PNG-Bild mit einem .JPG-Symbol angezeigt werden kann. Vielleicht ein weiterer Versuch, die Erkennung auszutricksen.
Anzeige
Aufwändige Infektion beim Benutzer
Die aufwändige Verschleierung des Trojaners macht einen Angriff auf ein Anwendersystem schwierig. Um infiziert zu werden, muss ein Opfer zunächst auf den Nachrichtenanhang (RFQ -56000000005870.zipx) klicken. Dann kann es sein, dass die richtige Archivdekompressor-Anwendung gestartet wird – oder auch nicht. Das ist abhängig von den auf den Zielcomputern installierten Client-Anwendungen. Laut den Sicherheitsforschern ist das WinRAR-Dienstprogramm eines der wenigen Datei-Dekomprimierungsprogramme, das dieses .zipx-Archiv zuverlässig öffnet und dekomprimiert. Andere Dienstprogramme, wie 7-Zip und WinZip, öffnen die jeweilige Datei nicht – wahrscheinlich wegen der in der Dateisignatur enthaltenen Fremddaten.
Nachdem das 500 KB große .zipx-Archiv von WinRAR in eine 13,5 MB große Nutzlast entpackt wurde, muss der Benutzer nun auf die entpackte Datei RFQ -56000000005870.exe doppelklicken. Die Funktion der ersten Stufe [der.exe] ist es, die Hauptnutzlast in den Speicher zu entschlüsseln und sie mit einer Technik namens Process Hollowing auszuführen. Bei dieser Technik wird ein neuer Prozess in einem bestehenden Prozess erstellt. Der bösartige Code nistet sich also quasi in einem anderen Prozess ein.
Da die Lokibot-Bot Command-and-Control Tools in PHP (Hypertext Preprocessor) geschrieben sind und meist den Dateinamen "fre.php" verwenden, lässt sich das leicht in einem Gateway blocken. Die Trustwave-Experten schreiben, dass die entdeckten Malspam-Beispiele von ihrem E-Mail-Gateway blockiert wurden. "Zwei der Verwschleierungsebenen wurden entweder als Spam oder potenziell bösartig erkannt. Aber ich kann nicht für andere Gateways sprechen", sagte Sicherheitsforscher Hay. Möglicherweise erklärt das, warum die Spam-Kampagne nicht breiter angelegt wurde. Die Entwickler testen, wie groß die Erfolgsaussichten sind, den Trojaner an Sicherheitslösungen vorbei zu schleusen.
2015
