Malware-Autoren mit neuen Tricks
G DATA-Sicherheitsexperten ist es erstmals gelungen, einen mit neuartigen Methoden obfuskierten Malware-Downloader in freier Wildbahn zu identifizieren und zu untersuchen. Dabei werden Batch- und Powershellbefehle so versteckt, dass diese selbst für erfahrene Analysten nicht sofort erkennbar sind. Malware-Autoren verwenden Obfuskierungstechniken, um die Analyse per Reverse-Engineering zu erschweren und so ihre Spuren zu verwischen.
Dazu sagt G DATA Malwareanalyst Sascha Curylo, der den Code schließlich knacken konnte:
„Diese Art der Obfuskierung haben wir bislang noch nie bei einer Malware im realen Einsatz gesehen“
„Als wir das Sample das erste Mal angeschaut haben, dachten wir zuerst, wir hätten die Datei falsch exportiert. Erst nach eingehender Analyse konnten wir die Befehle identifizieren.“
Tatsächlich wirkt der exportierte Code zunächst wie eine zufällige Ansammlung von Buchstaben und Zahlen. Viele der Leerzeichen, Kommata und einige andere Zeichen werden allerdings von der Windows-Kommandozeile gar nicht interpretiert und können daher entfernt werden, ohne dass das Ergebnis verändert wird, sagt Curylo. Nach dieser Behandlung ist der Ausdruck dann für Analysten besser zu interpretieren. Bestimmte wiederkehrende Muster bei den langen Zahlenketten deuteten zum Beispiel darauf hin, dass es sich im Resultat um eine URL handelt, die für weitere Anweisungen kontaktiert wird.
Obfuskierung - Was ist das?
Unter Obfuskierung werden verschiedene Techniken verstanden, um den Quellcode eines Programmes so zu verändern, dass er von Analysten nur schwer analysiert werden kann. Der Aufwand für reverse-engineering einer Malware steigt damit deutlich an. Außerdem kann der Schadcode durch automatische Analysen nicht so einfach erkannt werden. Um Code zu obfuskieren können etwa einzelne Buchstaben durch andere ausgetauscht werden, außerdem können einzelne Bestandteile eines Programms oder Dateien verschlüsselt werden.
Befehle werden per „Dosfuscation“ versteckt
Nach eingehender Analyse zeigt sich, dass der Malware-Downloader eine neuartige Methode nutzt, um den eigentlichen Schadcode zu verstecken, die genaue Funktionsweise hat G DATA im Security Blog im Detail beschrieben. Dort wird auch deutlich, dass als eigentlicher Payload bei dem aktuellen Angriff eine weitere Malware mit dem Namen Trickbot zum Einsatz kommt, die vor allem für Angriffe auf Onlinebanking bekannt ist. Trickbot wird durch die Emotet-Malware heruntergeladen.
Weiterführende Links:
gdata.de/blog: Dosfuscation: G DATA-Forscher entdecken trickreich versteckte Malware
