Malware 101

Einfache Schadcode-Analyse mit simplen Tools

| Autor / Redakteur: Yaniv Balmas* / Stephan Augsten

Wer steckt hinter dem digitalen Zertifikat?

Eine Google-Suche nach ‚Bargaining Active’ führt nicht zu einem entsprechenden Unternehmen, sondern zu vielen Berichten über POS-Malware. Blättert man durch entsprechende Links, erscheinen sie als ein möglicherweise gutes Match für Sample09.

Malware-Name und Speicherdateien passen nämlich zu eben jenen, die im Binärprogramm eingebettet sind. Daraus lässt sich die Schlussfolgerung ableiten, dass es sich eine Version des ‚getmypass’-Tools handelt, das den RAM-Speicher durchsucht und Kreditkartendaten stielt. Eine Suche nach der Email-Adresse ‚pashulke67@gmail.com’ führt bei genauerer Webrecherche zu einem Teenager namens „Paul Pilyaki“ aus Engels, Russland.

Das bisher über die Samples erworbene Wissen sowie eine Übersicht darüber, welche der Ziele durch die Ausführung der grundlegenden statischen Analyse erreicht wurden, liefern folgenden Zwischenstand:

Sample01: Möglicherweise eine Version des Apache Benchmark Tools (alias ab)

Sample02: Mimikatz – Dienstprogramm zum Stehlen von Windows-Passwörtern

Sample03: Möglicherweise eine Version des Apache Benchmark Tools (alias ab)

Sample04: SoftPerfect Netzwerk-Scanner

Sample05: Unbekannt

Sample06: Unbekannt

Sample07: Unbekannt

Sample08: Unbekannt

Sample09: GetMyPass RAM-Scraping Tool

Nehmen wir uns jetzt wieder die Ziele vor:

1. Das Wesen der Dateien verstehen.

Die Dateien, die bisher identifiziert wurden, scheinen manuell betriebene Hacking-Tools zu sein. Es wurde keine wirkliche Malware entdeckt. Eine der Dateien wurde als ein Memory-Scraping-Tool für den Diebstahl von Kreditkartendaten von POS-Systemen identifiziert.

2. Die Malware-Funktionen verstehen und ihr Schadenspotential einschätzen.

Ein Angreifer mit Zugriff auf den infizierten Host kann: mithilfe des Mimikatz-Tools Betriebssystem- und Domain-Passwörter sammeln, mithilfe des Netzwerkscanners SoftPerfect Netzwerkcomputer scannen und mit dem Getmypass POS Memory Scraper den Speicher nach Kreditkarten durchsuchen.

3. Erklären, wie die Malware eingeschleust wurde.

Derzeit unbekannt.

4. Erklären, wie die Malware Daten extrahiert.

Derzeit unbekannt.

5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

„Paul Pilyaki” kann an diesem Ereignis direkt oder indirekt beteiligt sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43325254 / Malware)