Analyse: Nodersok-Malware – vom Defender nicht immer erkennbar

[English]Microsoft hat gerade eine Analyse der Nodersok-Infektionskette veröffentlicht. Die Malware wird komplett im Speicher ausgeführt und ist für Virenschutzprogramme wie den Defender nur schwierig zu erkennen (aber Microsoft Defender ATP kann  den Schädling anhand des Verhaltens erkennen). Es gibt Tausende Infektionen von Windows-Systemen, auch in Europa.


Anzeige

Blog-Leser Leon hatte mich bereits Ende letzter Woche auf das Thema aufmerksam gemacht (danke dafür).

Die Nodersok-Malware

Es gibt eine Malware mit dem von Microsoft gewählten Namen Nodersok (Talos nennt sie Divergent), die keine Dateien verwendet, sondern per Node.js in Form verschlüsselter Scripte ausgerollt wird. Der komplette Schadcode wird im Arbeitsspeicher entpackt und dann ausgeführt. Daher kann ein Virenscanner wie der Microsoft Defender diesen Schädling nicht – oder nur sehr schwer – erkennen. Nachfolgender Tweet thematisiert das Ganze.

Laut diesem Microsoft-Artikel benutzt die neue Malware-Kampagne, Nodersok genannt, ein eigenes LOLBins-Image  – und es verwendet zwei sehr ungewöhnliche, legitime Tools für infizierte Computer:

  • Node.exe, die Windows Implementierung des beliebten Node.js Frameworks, das von unzähligen Webanwendungen verwendet wird.
  • WinDivert, ein leistungsstarkes Programm zur Erfassung und Bearbeitung von Netzwerkpaketen.

Ein LOLBins steht für Living off the land Binary und ist eine Bezeichnung für eine Binärdatei, die ein Angreifer verwendet, um um Aktionen durchzuführen, die über den ursprünglichen Zweck hinausgehen (siehe die Ausführungen hier).

Wie bei jedem LOLBin sind diese oben genannten Tools selbst nicht bösartig oder anfällig; sie bieten wichtige Funktionen für den legitimen Gebrauch unter Windows. Aber die Nodersok verwendet die Tools für ihre Zwecke. Es ist nicht ungewöhnlich, dass Angreifer legitime Tools von Drittanbietern auf infizierte Computer herunterladen (z.B. wird PsExec oft missbraucht, um andere Tools oder Befehle auszuführen).

Schwierig zu erkennen

Nodersok nutzt aber eine lange Kette von file-less Techniken, um einige sehr spezielle, aber legitime Tools zu installieren. Das Endziel: infizierte Computer in Zombie-Proxies zu verwandeln. Durch den dateilosen Ansatz ist der Angriffs sehr schwierig zu erkennen (der Microsoft Defender erkennt die Malware wegen der fehlenden Dateien nicht bzw. nur sehr schwer – aktuell hat mal wohl die Erkennung für die aktuelle Nodersok-Variante hinbekommen) – aber der Angriff erzeugt durch sein Verhalten einen sichtbaren 'Fußabdruck', der für jeden, der weiß, wo er suchen muss, deutlich auffällt. Mit seiner Reihe von fortschrittlichen Verteidigungstechnologien ist Microsoft Defender ATP in der Lage, die Bedrohung innerhalb der ganzen Infektionskette zu erkennen.

Ergänzung: Da es Diskussionen in den Kommentaren gab – Microsoft Defender ATP ist eine Cloud-Funktionalität, die in Unternehmen kostenpflichtig zugebucht werden kann, aber nichts mit dem Microsoft Defender von Windows zu tun hat. Der in Windows integrierte Microsoft Defender hat die Schwierigkeit, dass er die verschlüsselten Dateien mit der Payload nur schwer erkennen kann. Aktuell scheint Microsoft aber die Abwehr der aktuellen Version von Nodersok im Defender hin zu bekommen. Wie das mit möglichen Varianten ausschaut, kann ich nicht beurteilen.

Tausende Maschinen infiziert

Die Nodersok-Kampagne hat in den letzten Wochen Tausende von Maschinen angegriffen, wobei sich die meisten Ziele in den Vereinigten Staaten und Europa befinden. Die Mehrheit der angegriffenen Systeme sind in der Hand von Verbrauchern. Aber etwa 3% der angegriffenen Windows-Maschinen werden in Organisationen in Bereichen wie Bildung, professionelle Dienstleistungen, Gesundheitswesen, Finanzen und Einzelhandel betrieben.

(Quelle: Microsoft)


Anzeige

Das obige Diagramm von Microsoft zeigt, dass etwa 8% der festgestellten Angriffe auf Windows-Systeme in Deutschland entfällt. Microsoft hat diese Malware-Kampagne bereit Mitte Juli 2019 entdeckt, als verdächtige Muster in der anormalen Verwendung von MSHTA.exe aus der Microsoft Defender ATP-Telemetrie auftauchten. In den folgenden Tagen zeichneten sich weitere Anomalien ab, die zu einer Verzehnfachung der Aktivität führten. Die Kampagne hatte vor allem Ende August und Anfang September 2019 ihre Höhepunkte, um dann abzuklingen. Weitere Details sind dem Microsoft Artikel hier oder diesem Beitrag auf The Hacker News zu entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Analyse: Nodersok-Malware – vom Defender nicht immer erkennbar

  1. Thomas sagt:

    Nach dem Artikel fühle ich mich ein wenig hilflos. Laut MS sollte der Defender angeblich schon gegen die Nodersok-Malware schützen. Allerdings muss man darauf achten das der Defender aktiv ist und gegen Manipulationen geschützt ist. Sie aber sagen der Defender hilft nicht. Ich benutze ausschließlich den Defender und fühle mich jetzt etwas verunsichert und ratlos. Was stimmt denn nun?

    • JohnRipper sagt:

      Defender ungleich Defender ATP

    • Günter Born sagt:

      Wie JohnRipper schon ausführte: Der Microsoft Defender, der unter Windows läuft, erkennt die Malware nicht (oder mit Mühen) – es gibt ja keine Dateien zum Scannen. Aber die – für Unternehmensumgebungen buchbare – Microsoft Defender ATP kann über die verhaltensbasierende Überwachung die Spuren der nodersok-Malware deuten.

      • "… – es gibt ja keine Dateien zum Scannen."
        Stimmt doch gar nicht!
        Der Schädling lädt 3 "portable executables" zwecks späterem Ausführen herunter: node.exe, windivert.dll und windivert.sys.
        Ausführen kann jeder nicht völlig ahnungslose Windows-Missbraucher seit 18 Jahren per SAFER unterbinden, oder seit 25 Jahren per NTFS-ACL
        Ausserdem: den Treiber windivert.sys kann nur ein Administrator laden, sprich nur Trottel^WTröpfe, die noch immer kein Standardbenutzerkonto nutzen, sind davon betroffen.

    • Anonymous sagt:

      Danke und Amen!
      toll überall bekomme ich Meldungen über Nodersok etc., kein Artikel verrät wie man sich als mittelmäßiger Endanwender effektiv davor schützt.
      Könnte man irgendwie das ausführen von bestimmten Dateitypen komplett verhindern? wie zb mit dem tool Restri'ctor von der 'ct? (Die Bedienung ist maximal beschissen…)
      Wenn ich nach solchen programmen suche finde Ich nunmal nix aktuelles.
      Und dann werden die selbsternannten IT fuzzis noch höllisch Arrogant aka. wenn man keine Ahnung hat soll man die Finger davon lassen…
      Könnten dann bitte sämtlich IT Menschen eine Bannmeile um jegliche Baumärkte akzeptieren? Ich möchte ja nicht, dass diese sich vor lauter unkentniss verletzen und ins Krankenhaus müssen dies geht ja schließlich auh zu meinen lasten….

  2. max sagt:

    Microsoft rät Benutzern, das Ausführen von HTA-Dateien auf ihren Systemen zu vermeiden, denen Sie den Ursprung nicht identifizieren können?

  3. Anonymous sagt:

    Geniale Technik, auch wenn man sich nicht auf eigenem Rechner wünscht.

  4. Bediener 1 sagt:

    Das ganze sieht nach einer Malvertising Sache aus, und offenbart das Grundproblem von komerziellen Webseiten die auf Werbung und JS setzen. In den AGB `s fast aller großen deutschen Betreiber SPON, FAZ etc. gibt es eine Haftungsbeschränkungen (3000 EUR max.). Bild online ohne JS zeigt nur die AGB und Datenschutz. Die eigendliche Seite kann man nur mit JS aktiviert ansehen. Alle größern deutschen Anbieter hatten schon Malvertising Probleme einschließlich des Handelsblatt.
    Es scheint zu reichen eine schädliche Webseite anzusurfen ohne Interaktion!
    Interessant an der Geschichte ist, dass die Schadsoftware in der Lage ist den normalen Windows Defender zu deaktivieren und Updates zu blocken.
    Am besten E-mail separat und mal im Internet gucken getrennt von allen üblichen Netzen.
    Das heißt, dass der User noch nicht mal klicken muss…
    Nach der Verteilung der Malware lässt sich wahrscheinlich schließen aus welcher Richtung das ganze kommt…

  5. Gerold sagt:

    In den Kommentaren weiter oben schreibt Günter
    ".. es gibt ja keine Dateien zum Scannen".
    Stefan Kanthak antwortet darauf
    "Stimmt doch gar nicht!
    Der Schädling lädt 3 "portable executables" zwecks späterem Ausführen herunter: node.exe, windivert.dll und windivert.sys."

    Ja was denn jetzt? Wenn ausführbare Dateien aus dem Internet nachgeladen werden sollten Antivirenprogramme diese doch erkennen und blockieren.

    • Ralf Lindemann sagt:

      „… sollten Antivirenprogramme diese doch erkennen und blockieren." – … nicht, wenn die Malware über https ausgeliefert wird und die AV-Software entweder technisch nicht in der Lage ist, https-Verbindungen auf Malware zu scannen, oder die entsprechende Funktion (aus Datenschutzgründen) deaktiviert ist, oder?!

      • AUTSCH!
        Der Transportweg und dessen eventuelle Verschlüsselung sind VÖLLIG wurscht: die (im Benutzerprofil) gespeicherten ausführbaren Dateien sind nicht verschlüsselt.
        Ausserdem, zum MITMEISSELN: zur Abwehr neuer/unbekannter Schädlinge ist jegliches Schlangenöl UNGEEIGNET und UNWIRKSAM.
        Wer sich darauf (statt auf wirksame Abwehrmassnahmen) verlässt ist ein Trottel!

    • Trillian sagt:

      Moin Gerold!

      Das "Lustige" an diesem Typ Malware ist ja, daß er bei der Infektion eines Systems sich Tools bedient, die seitens Windows als vertrauenswürdig eingestuft werde. Sowohl node.exe als auch windivert.dll/.sys verfügen über gültige digitale Signaturen und werden von Windows als "trusted" eingestuft. Daher wird beim download dieser Dateien Windows Defender auch nicht aktiv….

    • Gerold sagt:

      Gemäss diesem Beitrag bietet Windows Defender unter Windows 10 Schutz vor dem Schädling (sofern der Defender nicht von Nodersok abgeschaltet wurde), dann sollten das andere Antivirenprogramme doch auch können.

      https://t3n.de/news/nodersok-malware-installiert-1203247/

  6. Sebastian sagt:

    Ich fand die Information, dass der Defender (das Endkundenprodukt, ohne ATP) diese Malware durchaus entdecken und beseitigen kann.

    "For those concerned about their systems being infected by Nodersok, Microsoft has updated its free antivirus software Microsoft Defender to detect the malware."
    –> https://www.techradar.com/news/windows-malware-turns-pcs-into-zombies

    "However, Microsoft stated that even though Windows Defender is able to identify and block Nodersok, detecting this malware could be a little bit difficult because it leverages legitimate infrastructure."
    –> https://www.ibtimes.sg/new-malware-infects-thousands-pcs-confirms-microsoft-cisco-talos-32615

    "Trojan:Win32/Nodersok.B / Windows Defender Antivirus detects and removes this threat."
    –> https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Nodersok.B&ThreatID=2147743058

    Ist also mal wieder eine Frage des persönlichen Zutrauens in Microsofts Fähigkeiten (ach herrje!), ob man sich sicher fühlt…

  7. Steffen sagt:

    So, Hardware-FW ist hoffentlich wirksam gewappnet. AV (Eset) hoffentlich auch. Das Traurige an der ganzen Sache ist: Wer sich nicht von Berufswegen mit dem ganzen Themenfeld auseinandersetzt ist gekniffen.

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.