Verschlüsselung & Datensicherheit

Palo Alto Networks untersuchte Trojaner Seaduke

Die Forschungsabteilung Unit 42 von Palo Alto konnte ein Sample identifizieren, das seitdem von einer Reihe von Anti-Virus-Unternehmen als "Trojan.Win32.Seadask" bezeichnet wird. Die Analyse von Unit 42 hat weitere technische Details hervorgebracht, die bislang nicht bekannt waren. So nutzt die Malware zwei Ebenen der Verschleierung.
Neben der Nutzung von zwei Verschleierungsebenen ergab die weitere Analyse, dass die Malware einer der folgenden Techniken nutzt, um Persistenz zu erreichen:

1. Persistenz via Powershell
2. Persistenz über den Run-Registrierungsschlüssel
3. Persistenz über eine im Autostart-Verzeichnis gespeicherte LNK-Datei

Die Malware kopiert sich in einen Dateinamen, der sich auf die JSON-Konfiguration bezieht. Nach dem sich die Malware installiert hat, startet sie mit Netzwerkanfragen. Bei diesem Sample erfolgte die gesamte Netzwerkkommunikation über HTTP. Allerdings scheint sie auch HTTPS zu unterstützen. Wenn die Malware erstmals eine ausgehende Verbindung nutzt, wird ein bestimmter Cookie-Wert verwendet, der verschlüsselte Daten enthält. Wenn die entschlüsselten Daten keine verwertbaren JSON-Daten liefern, verwirft Seaduke diese und begibt sich in einen Schlafzyklus.

Insgesamt erscheint Seaduke recht anspruchsvoll. Die Malware ist in Python geschrieben, nutzt aber eine Reihe von interessanten Techniken zur Verschlüsselung von Daten im Netzwerk und zur Persistenz auf dem infizierten Computer. Kunden von Palo Alto Networks, die WildFire nutzen, sind vor dieser Bedrohung geschützt. Zusätzlich hat Palo Alto Networks die URL von Seaduke als bösartig kategorisiert.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben