Suchen

Malware 101

Einfache Schadcode-Analyse mit simplen Tools

Seite: 4/5

Firmen zum Thema

Vorgehen bei der dynamischen Analyse

Aktivitäten beim Ausführen der Dateien in einer Sandbox.
Aktivitäten beim Ausführen der Dateien in einer Sandbox.
(Bild: Check Point Software)
Der nächste Schritt besteht in der tatsächlichen Ausführung der Dateien. Der einfachste Weg zum Durchführen einer dynamischen Analyse ist es, die Dateien in einer Sandbox auszuführen. Dies erspart die Mühe, die Umgebung einzurichten und alle erforderlichen Tools zu installieren

Auffälligkeiten bei den Stichproben sieben und acht.
Auffälligkeiten bei den Stichproben sieben und acht.
(Bild: Check Point Software)
Alle Samples wurden auf der Cuckoo Sandbox ausgeführt, der infizierte Host wurde in Form einer Windows-XP-Maschine virtualisiert. Die Samples 07 und 08 weisen beide eine sehr hohe API-Aufrufrate beim ‚ReadProcessMemory’ auf. Die Parameter der API-Aufrufe scheinen einfach den Speicherplatz des laufenden Prozesses zu lesen.

Anzeichen für einen RAM-Scraper.
Anzeichen für einen RAM-Scraper.
(Bild: Check Point Software)
Dies ist genau das Verhalten, das von einem Memory-Scraper zu erwarten ist: Den Speicherplatz des Prozesses lesen und nach Kreditkartennummern suchen. Dies ist ein Indiz dafür, dass Sample 07 und 08 sehr wahrscheinlich ebenfalls POS-Scraping-Tools sind.

Der Process Explorer von Microsoft fördert weitere Informationen zutage.
Der Process Explorer von Microsoft fördert weitere Informationen zutage.
(Bild: Check Point Software)
Um die dynamischen Zeichenketten zu untersuchen, wurden die Dateien nacheinander auf einer virtuellen Maschine ausgeführt und die erzeugten Abläufe mithilfe des SysInternals Process Explorers überprüft. Der Process Explorer zeigt hierbei die Laufzeit-Strings an, die der Prozess auf seinem Speicherplatz gespeichert hat. Der Anfangsverdacht, dass es sich bei solchen Dateien tatsächlich um eine Version des ‚Apache Benchmark’-Tools handelt, hat sich somit bewahrheitet.

Zwar ist die dynamische Analysephase abgeschlossen, Sample 5 und 6 sind jedoch noch immer unbekannt. Einen einfachen Weg, ihr wahres Wesen zu entdecken, ohne auf einen Debugger zurückzugreifen, gibt es hierbei allerdings nicht.

Bei diesen beiden Dateien handelte es sich um eine verschleierte Version von WinSCP, einem gängigen Datenübertragungstool, das meist mit Linux-Umgebungen verwendet wird. Dies deckte eine schnelle Analyse ohne detaillierte Debugging-Phase auf.

Sobald alle Samples identifiziert waren, wurden die Ziele aktualisiert und neu erlangte Informationen zusammengefasst:

Sample01: Verschleiertes Apache Benchmark-Tool (alisa ab)
Sample02: Mimikatz – Dienstprogramm zum Stehlen von Windows-Passwörtern
Sample03: Verschleiertes Apache Benchmark-Tool (alias ab)
Sample04: SoftPerfect Netzwerkscanner
Sample05: Verschleierte WinSCP-Version
Sample06: Verschleierte WinSCP-Version
Sample07: Generischer RAM-Scraper
Sample08: Generischer RAM-Scraper
Sample09: GetMyPass RAM-Scraping-Tool

1. Das Wesen der Dateien verstehen.

Bei diesen Dateien handelt es sich nicht um Malware, sondern um einen Satz Hackertools. Die Tools wurden individuell angepasst und mit den gleichen Techniken verschleiert, um so der Entdeckung zu entgehen. (Neu)

2. Die Malware-Funktionen verstehen und ihr Schadenspotential einschätzen.

Ein Angreifer mit Zugang zu dem Host, der diese Dateien enthält, kann das Netzwerk scannen, Domain-Passwörter aufrufen, Prozessspeicher durchsuchen und Dateien übertragen. (Keine Änderung)

Da der Angreifer Zugang zum Computer haben muss, um die Tools auszuführen, kann das Ausmaß des Schadens irgendwo von Durchsickern privater Daten bis zur Offenlegung eines ganzen Netzwerks liegen. (Neu)

3. Erklären, wie die Malware eingeschleust wurde.

(Keine Änderung)

4. Erklären, wie die Malware Daten extrahiert.

Da eines der Samples eine Version von WinSCP ist, kann man mit Sicherheit davon ausgehen, dass der Angreifer versucht hat, es zum Extrahieren von Dateien aus dem Netzwerk einzusetzen. Die IPs, mit denen das Tool automatisch versucht, zu verbinden, können den Ort, an dem die Datei abgelegt wurde, angeben. (Neu)

5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

„Paul Pilyaki” kann an diesem Ereignis direkt oder indirekt beteiligt sein. (Keine Änderung)

(ID:43325254)