Bot-Store-Funktionalitäten
Wie das Sicherheitsmagazin IT SecCity.de berichtete, warnt Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehr-Lösungen, vor dem Malware-Downloader Kardon Loader. Dieser ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl.
Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader wird seit Ende April vom Nutzer "Yattaze" ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Es ist davon auszugehen, dass die Malware ein Rebranding des ZeroCool-Botnets ist, das vom gleichen Akteur entwickelt wurde.
Über folgende Funktionalitäten soll Kardon Loader bereits jetzt oder in naher Zukunft verfügen:
- Bot-Funktionalität
- Download and Execute Task
- Update Tas
- Uninstall Task
- Usermode Rootkit
- RC4-Verschlüsselung (noch nicht implementiert
- Debug und Analyseschutz
- TOR-Unterstützung
- Domain-Generierungs-Algorithmus (DGA)
Anti-Analyse-Techniken
Kardon Loader nutzt einige Anti-Analyse-Techniken, wie etwa den Versuch, das Modul-Handle für die folgenden DLLs zu erhalten:
- avghookx.dll
- avghooka.dll
- snxhk.dll
- sbiedll.dl
- dbghelp.dll
- api_log.dll
- dir_watch.dll
- pstorec.dll
- vmcheck.dll
- wpespy.dll
Wird eine der obigen DLL-Handles zurückgegeben, wird der Prozess beendet. Diese DLLs stehen im Zusammenhang mit Virenschutz, Analysetools und Virtualisierung. Kardon Loader zählt auch den Wert der CPUID-Vendor-ID auf und vergleicht ihn mit den folgenden Zeichenfolgen (Strings):
- KVMKVMKVM
- Microsoft Hv
- VMwareVMware
- XenVMMXenVMM
- prl hyperv
- VBoxVBoxVBox
Dies sind bekannte CPUID-Vendor-ID-Werte, die mit virtualisierten Maschinen verknüpft sind. Wird einer dieser Werte erkannt, wird auch die Malware beendet.
Command and Control
Der Kardon Loader verwendet eine HTTP-basierte C2-Infrastruktur mit URL-Parametern, die base64-kodiert sind. Bei der Ausführung sendet der Kardon Loader HTTP-POSTs mit den folgenden Feldern an den C2:
ID = Identifikationsnummer
OS = Betriebssystem
PV = Benutzerprivileg
IP = Initiale Nutzlast (voller Pfad)
CN = Rechnername
UN = Benutzername
CA = Prozessorarchitektur
Netscout Arbor empfiehlt
Unternehmen sollten auf die hier genannten Indikatoren achten, um bösartige Aktivitäten im Zusammenhang mit Kardon Loader zu blockieren. Außerdem kann die nachstehende Yara-Regel genutzt werden, um nach zusätzlichen Kopien von Kardon Loader zu suchen und um andere IOCs zu extrahieren, die schädliche Aktivitäten blockieren.