Malware 101

Einfache Schadcode-Analyse mit simplen Tools

| Autor / Redakteur: Yaniv Balmas* / Stephan Augsten

Vorgehen bei der dynamischen Analyse

Aktivitäten beim Ausführen der Dateien in einer Sandbox.
Aktivitäten beim Ausführen der Dateien in einer Sandbox. (Bild: Check Point Software)

Der nächste Schritt besteht in der tatsächlichen Ausführung der Dateien. Der einfachste Weg zum Durchführen einer dynamischen Analyse ist es, die Dateien in einer Sandbox auszuführen. Dies erspart die Mühe, die Umgebung einzurichten und alle erforderlichen Tools zu installieren

Auffälligkeiten bei den Stichproben sieben und acht.
Auffälligkeiten bei den Stichproben sieben und acht. (Bild: Check Point Software)

Alle Samples wurden auf der Cuckoo Sandbox ausgeführt, der infizierte Host wurde in Form einer Windows-XP-Maschine virtualisiert. Die Samples 07 und 08 weisen beide eine sehr hohe API-Aufrufrate beim ‚ReadProcessMemory’ auf. Die Parameter der API-Aufrufe scheinen einfach den Speicherplatz des laufenden Prozesses zu lesen.

Anzeichen für einen RAM-Scraper.
Anzeichen für einen RAM-Scraper. (Bild: Check Point Software)

Dies ist genau das Verhalten, das von einem Memory-Scraper zu erwarten ist: Den Speicherplatz des Prozesses lesen und nach Kreditkartennummern suchen. Dies ist ein Indiz dafür, dass Sample 07 und 08 sehr wahrscheinlich ebenfalls POS-Scraping-Tools sind.

Der Process Explorer von Microsoft fördert weitere Informationen zutage.
Der Process Explorer von Microsoft fördert weitere Informationen zutage. (Bild: Check Point Software)

Um die dynamischen Zeichenketten zu untersuchen, wurden die Dateien nacheinander auf einer virtuellen Maschine ausgeführt und die erzeugten Abläufe mithilfe des SysInternals Process Explorers überprüft. Der Process Explorer zeigt hierbei die Laufzeit-Strings an, die der Prozess auf seinem Speicherplatz gespeichert hat. Der Anfangsverdacht, dass es sich bei solchen Dateien tatsächlich um eine Version des ‚Apache Benchmark’-Tools handelt, hat sich somit bewahrheitet.

Zwar ist die dynamische Analysephase abgeschlossen, Sample 5 und 6 sind jedoch noch immer unbekannt. Einen einfachen Weg, ihr wahres Wesen zu entdecken, ohne auf einen Debugger zurückzugreifen, gibt es hierbei allerdings nicht.

Bei diesen beiden Dateien handelte es sich um eine verschleierte Version von WinSCP, einem gängigen Datenübertragungstool, das meist mit Linux-Umgebungen verwendet wird. Dies deckte eine schnelle Analyse ohne detaillierte Debugging-Phase auf.

Sobald alle Samples identifiziert waren, wurden die Ziele aktualisiert und neu erlangte Informationen zusammengefasst:

Sample01: Verschleiertes Apache Benchmark-Tool (alisa ab)

Sample02: Mimikatz – Dienstprogramm zum Stehlen von Windows-Passwörtern

Sample03: Verschleiertes Apache Benchmark-Tool (alias ab)

Sample04: SoftPerfect Netzwerkscanner

Sample05: Verschleierte WinSCP-Version

Sample06: Verschleierte WinSCP-Version

Sample07: Generischer RAM-Scraper

Sample08: Generischer RAM-Scraper

Sample09: GetMyPass RAM-Scraping-Tool

1. Das Wesen der Dateien verstehen.

Bei diesen Dateien handelt es sich nicht um Malware, sondern um einen Satz Hackertools. Die Tools wurden individuell angepasst und mit den gleichen Techniken verschleiert, um so der Entdeckung zu entgehen. (Neu)

2. Die Malware-Funktionen verstehen und ihr Schadenspotential einschätzen.

Ein Angreifer mit Zugang zu dem Host, der diese Dateien enthält, kann das Netzwerk scannen, Domain-Passwörter aufrufen, Prozessspeicher durchsuchen und Dateien übertragen. (Keine Änderung)

Da der Angreifer Zugang zum Computer haben muss, um die Tools auszuführen, kann das Ausmaß des Schadens irgendwo von Durchsickern privater Daten bis zur Offenlegung eines ganzen Netzwerks liegen. (Neu)

3. Erklären, wie die Malware eingeschleust wurde.

(Keine Änderung)

4. Erklären, wie die Malware Daten extrahiert.

Da eines der Samples eine Version von WinSCP ist, kann man mit Sicherheit davon ausgehen, dass der Angreifer versucht hat, es zum Extrahieren von Dateien aus dem Netzwerk einzusetzen. Die IPs, mit denen das Tool automatisch versucht, zu verbinden, können den Ort, an dem die Datei abgelegt wurde, angeben. (Neu)

5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

„Paul Pilyaki” kann an diesem Ereignis direkt oder indirekt beteiligt sein. (Keine Änderung)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43325254 / Malware)