Sicherheitsforscher von Microsoft Defender ATP gaben bekannt, dass eine Malware, Dexphot, in Umlauf ist, die für Krypto-Mining genutzt wird.
Die Sicherheitsforscher von Microsoft wiesen am 26. November in einem Blogbeitrag auf eine Malware-Variante hin, die bereits seit Oktober 2018 Windows-Computer infiziert, um deren Ressourcen zu kapern. Sie benutzen die Rechenleistung ihrer Opfer, um Kryptowährung zu minen und dadurch Einnahmen für die Angreifer zu generieren. Diese Malware, namens Dexphot, erreichte Mitte Juni diesen Jahres ihren Höhepunkt, als ihr Botnetz fast 80.000 infizierte Computer erreichte.
Dexphots verwendet trickreiche Taktiken, um der Erkennung zu entgehen
Gemäß der Angaben von Microsoft sinkt die Anzahl der täglichen Infektionen gegenwärtig langsam. Deren Einleitung von Gegenmaßnahmen richteten sich auf die Analyse der Malware und dem Stoppen der Angriffe. Sie weisen darauf hin, dass zwar Doxphots Endziel banal war. Jedoch die Methoden und Techniken seiner Arbeitsweise fielen aufgrund ihrer hohen Komplexität auf. Dexphots Erfolg beruhte auf einigen ausgeklügelten Mechanismen. Um möglichst lange Zeit unerkannt zu bleiben, änderte er alle 20-30 Minuten seine Signatur und installiert sich indessen selbst neu.
Laut Microsoft missbraucht Dexphot beispielsweise regelmäßig msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe und powershell.exe. Dies sind alles legitime Apps, die auf Windows-Systemen vorinstalliert sind. Durch die Verwendung dieser Prozesse zum Starten und Ausführen von bösartigem Code konnte Dexphot nicht mehr von anderen lokalen Apps unterschieden werden, die diese Windows-Dienstprogramme zur Ausführung ihrer Aufgaben verwendeten. Auf diese Weise wird die Malware für klassische signaturbasierte Antivirenlösungen unsichtbar. Sobald man versucht, die Malware zu entfernen, werden die von Dexphot aufgesetzten Überwachungsdienste aktiv. Diese lösen durch eine festgelegte Routine eine erneute Infektion aus.
Fileless Technik ist die Trojaner-Tarnkappe für Antiviren-Programme
Teilweise hat man Dexphot auch auf Computern eingeschleust, die zuvor mit dem ICLoader infiziert waren. ICLoader ist eine Malware, die sich normalerweise ohne Wissen des Benutzers als Teil von Softwarepaketen installiert. Das ist beispielsweise dann der Fall, wenn Benutzer raubkopierte Software herunterladen und installieren. Auf einigen dieser ICLoader-infizierten Systeme hat man das Dexphot-Installationsprogramm heruntergeladen und ausgeführt. Laut Microsoft ist dieses Installationsprogramm der einzige Teil der Dexphot-Malware, das auf die Festplatte geschrieben wird, jedoch nur für einen kurzen Zeitraum. Jede andere Dexphot-Datei oder -Operation verwendet eine fileless Technik, um nur im Arbeitsspeicher des Computers ausgeführt zu werden. Dadurch bleibt sie dauerhaft unentdeckt.
Entführung legitimer Systemprozesse zur Verschleierung böswilliger Aktivitäten
Hazel Kim, Malware-Analyst des ATP-Forschungsteams von Microsoft Defender, stellt fest:
„Dexphot ist nicht die Art von Angriff, die die Aufmerksamkeit der Massenmedien erregt. Es ist eine der unzähligen Malware-Kampagnen, die zu einem bestimmten Zeitpunkt aktiv sind. Bei Cyberkriminellen ist das Ziel sehr verbreitet, einen Crypto-Miner zu installieren, der im Stillen Computerressourcen stiehlt und Einnahmen für die Angreifer generiert. Dexphot ist jedoch ein Beispiel für die Komplexität und die Entwicklungsrate alltäglicher Bedrohungen, die dem Schutz ausweichen und motiviert sind, unter dem Radar zu fliegen, um Gewinnaussichten zu haben.“
Microsoft berichtet:
„Bei dem Dexphot-Angriff hat man verschiedene ausgefeilte Methoden verwendet, um Sicherheitslösungen auszuweichen. Verschiedene Ebenen der Verschleierung des Codes (Obfuscation), der Verschlüsselung, und der Verwendung von zufälligen Dateinamen, helfen dabei, den Installationsprozess zu verbergen. Dexphot verwendete dann fileless Techniken, um schädlichen Code direkt im Speicher auszuführen, wobei nur wenige Spuren für die Forensik übrig blieben. Es entführte legitime Systemprozesse, um böswillige Aktivitäten zu verschleiern.“
Microsoft Defender ATP blockt Dexphot
Microsoft Defender ATPs Erkennungsmodule blockierten in einer Vielzahl von Fällen Dexphot schon vor der Ausführung. Ansonsten gewährten verhaltensbasierte maschinelle Lernmodelle alternativen Schutz.
Foto Antara_Nandy, thx!
Tarnkappe.info
