Suchen

Malware 101

Einfache Schadcode-Analyse mit simplen Tools

Seite: 3/5

Firmen zum Thema

Wer steckt hinter dem digitalen Zertifikat?

Eine Google-Suche nach ‚Bargaining Active’ führt nicht zu einem entsprechenden Unternehmen, sondern zu vielen Berichten über POS-Malware. Blättert man durch entsprechende Links, erscheinen sie als ein möglicherweise gutes Match für Sample09.

Malware-Name und Speicherdateien passen nämlich zu eben jenen, die im Binärprogramm eingebettet sind. Daraus lässt sich die Schlussfolgerung ableiten, dass es sich eine Version des ‚getmypass’-Tools handelt, das den RAM-Speicher durchsucht und Kreditkartendaten stielt. Eine Suche nach der Email-Adresse ‚pashulke67@gmail.com’ führt bei genauerer Webrecherche zu einem Teenager namens „Paul Pilyaki“ aus Engels, Russland.

Das bisher über die Samples erworbene Wissen sowie eine Übersicht darüber, welche der Ziele durch die Ausführung der grundlegenden statischen Analyse erreicht wurden, liefern folgenden Zwischenstand:

Sample01: Möglicherweise eine Version des Apache Benchmark Tools (alias ab)
Sample02: Mimikatz – Dienstprogramm zum Stehlen von Windows-Passwörtern
Sample03: Möglicherweise eine Version des Apache Benchmark Tools (alias ab)
Sample04: SoftPerfect Netzwerk-Scanner
Sample05: Unbekannt
Sample06: Unbekannt
Sample07: Unbekannt
Sample08: Unbekannt
Sample09: GetMyPass RAM-Scraping Tool

Nehmen wir uns jetzt wieder die Ziele vor:

1. Das Wesen der Dateien verstehen.

Die Dateien, die bisher identifiziert wurden, scheinen manuell betriebene Hacking-Tools zu sein. Es wurde keine wirkliche Malware entdeckt. Eine der Dateien wurde als ein Memory-Scraping-Tool für den Diebstahl von Kreditkartendaten von POS-Systemen identifiziert.

2. Die Malware-Funktionen verstehen und ihr Schadenspotential einschätzen.

Ein Angreifer mit Zugriff auf den infizierten Host kann: mithilfe des Mimikatz-Tools Betriebssystem- und Domain-Passwörter sammeln, mithilfe des Netzwerkscanners SoftPerfect Netzwerkcomputer scannen und mit dem Getmypass POS Memory Scraper den Speicher nach Kreditkarten durchsuchen.

3. Erklären, wie die Malware eingeschleust wurde.

Derzeit unbekannt.

4. Erklären, wie die Malware Daten extrahiert.

Derzeit unbekannt.

5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

„Paul Pilyaki” kann an diesem Ereignis direkt oder indirekt beteiligt sein.

(ID:43325254)