[English]Sicherheitsforscher von Microsoft haben festgestellt, dass mehr als 80.000 Rechner durch einen Malware mit dem Namen Dexphot infiziert worden sind. Die Schadsoftware wird aktuell für Crypto-Mining eingesetzt.
Anzeige
Das Ganze läuft bereits seit 2018, wobei der Peak der Infektionen im Juni mit 80.000 Infektionen erreicht wurde. Ich bin über folgenden Tweet auf die Information gestoßen.
Microsoft says new Dexphot malware infected more than 80,000 computers
> delivered via ICLoader
> used for cryptomining
> peaked in June at 80k infections
> used fileless execution, LOLbins, polymorphism, and redundant boot persistence mechanismshttps://t.co/vzsplOiW3g pic.twitter.com/GKgVqsodYu— Catalin Cimpanu (@campuscodi) November 26, 2019
Erstmals im Oktober 2018 bemerkt
Microsoft hat die Details in diesem Blog-Beitrag veröffentlicht. Die Malware wurde im Oktober 2018 bemerkt, als Microsofts polymorphes Ausbruchüberwachungssystem einen großen Anstieg an Meldungen verzeichnete. Das deutet darauf hin, dass sich eine groß angelegte Malware-Kampagne entwickelte.
Anzeige
Microsofts Sicherheitsteam konnte dann beobachten, wie die neue Malware versuchte, Dateien, die sich alle 20-30 Minuten änderten, auf Tausenden von Geräten einzuschleusen. Die Malware wurden dann von Microsoft mit dem Namen "Dexphot" benannt.
Trickreiche Methoden zur Infektion
Der Dexphot-Angriff verwendete eine Vielzahl von ausgeklügelten Methoden, um Sicherheitslösungen zu umgehen. Es gibt verschiedene Ebenen der Verschleierung des Codes (Obfuscation), der Verschlüsselung, und der Verwendung von zufälligen Dateinamen, um den Installationsprozess zu verbergen.
Dexphot verwendete dateilose Techniken, um Schadcode im Speicher auszuführen, wobei nur wenige Spuren hinterlassen wurden, die für die Forensik verwendet werden können. Der Schadcode hat legitime Systemprozesse gekapert, um böswillige Aktivitäten zu tarnen. Wenn Dexphot während der Infektionsphase nicht gestoppt wird, läuft letztendlich ein Crypto-Miner auf dem Gerät. Vom Schädling aufgesetzte Überwachungsdienste und geplante Aufgaben lösen eine erneute Infektion aus, sobald versucht wird, die Malware zu entfernen.
Microsoft Defender ATP block Dexphot
Die Erkennungsmodule von Microsoft Defender Advanced Threat Protection blockierten in den meisten Fällen Dexphot bereits vor der Ausführung. Falls das einmal nicht gelang, boten verhaltensbasierte maschinelle Lernmodelle Schutz. Angesichts der Persistenzmechanismen der Bedrohung, des Polymorphismus und der Verwendung von dateilosen Techniken war die verhaltensbasierte Erkennung, laut Microsoft, ein wichtiger Bestandteil des umfassenden Schutzes vor dieser Malware und anderen Bedrohungen, die ein ähnliches bösartiges Verhalten aufweisen.
Laut dieser Microsoft-Seite erkennt auch der Windows Defender unter Windows 8.1 und Windows 10 diesen Schädling als Trojan:Win32/Dexphot. Auf Grund der Erkennungsmöglichkeiten geht die Infektionsrate inzwischen war stark zurück. Details sind in diesem Microsoft-Artikel nachlesbar.
Anzeige
MOSTLY HARMLESS: siehe "The Hitchhiker's Guide to the Galaxy".
1. "Der Dexphot-Angriff verwendete eine Vielzahl von ausgeklügelten Methoden, …"
FALSCH bzw. "Im Westen nix Neues": keine einzige dieser Methoden ist ausgeklügelt, sondern alle sind seit Jahren wohlbekannt und wohldokumentiert.
2. "Der Schadcode hat legitime Systemprozesse gekapert, …"
FALSCH! Dexphot "kapert" keine (bereits laufenden) Systemprozesse, sondern lädt vorhandene (System-)Programme und ersetzt deren Code bevor dieser losläuft.
3. "Dexphot verwendete dateilose Techniken, …"
Korrekt … aber nur für den unter 2. beschriebenen Teil, der am Ende der Infektion stattfindet. ALLE Schritte davor verwenden Dateien.
Die Abwehr solcher von Anfängern verbrochener Schädlinge ist TRIVIAL: die seit Windows XP verfügbaren Softwarebeschränkungsrichtlinien alias SAFER verhindern zuverlässig das Ausführen solchen Zeux … OHNE Schlangenöl!
"Die Abwehr solcher von Anfängern verbrochener Schädlinge ist TRIVIAL"
Und nachts ist es kälter als draussen.
.
Wenn es so trivial ist: Warum keinen Zweizeiler posten, in dem steht, wie man so eine Infektion problemlos verhindert?
Mit einem Zweizeiler ist es nicht getan.
Stefan Kanthak gibt uns folgenden Einblick:
https://skanthak.homepage.t-online.de/SAFER.html