Sicherheitsforscher haben gerade einen neuen dateilosen Angriff entdeckt, der die Microsoft Windows-Fehlerberichterstattung ausnutzt (WER).
Die Hacking-Gruppe hinter dem sogenannten Kraken-Angriff muss noch identifiziert werden.
Die Sicherheitsforscher Hossein Jazi und Jérôme Segura sagen, dass der Angriff auf Malware beruht, die sich in WER-basierten ausführbaren Dateien versteckt. Auf diese Weise bleibt es unbemerkt, ohne einen Verdacht zu erregen.
Der Kraken Fileless Attack erklärt
Der Angriff wird durch ein verlockendes Phishing-Dokument in einer ZIP-Datei ausgelöst, mit dem Titel "Compensation manual.doc." Wie bei vielen Phishing-Angriffen zu sehen, Das Dokument soll Informationen über Arbeitnehmerentschädigungsansprüche enthalten. Jedoch, wenn ein Mitarbeiter einer Organisation es öffnet, Sie lösen ein bösartiges Makro aus. Das Aktivieren von Makros ist einer der ältesten Tricks in Phishing-basierten böswilligen Kampagnen.
In diesem Fall, Das Makro verwendet eine benutzerdefinierte Version des CactusTorch VBA-Moduls, die einen fileless Angriff über Shellcode initiiert. CactusTorch lädt dann eine .Net-kompilierte Binärdatei herunter, Kraken.dll genannt, welches in den Speicher geladen und über VBScript ausgeführt wird. Die Nutzdaten fügen einen eingebetteten Shellcode in die Datei WerFault.exe ein, die mit dem WER Microsoft-Dienst verbunden ist. Der Shellcode sendet auch eine HTTP-Anforderung an eine fest codierte Domäne, Vielleicht gemacht, um zusätzliche Malware herunterzuladen.
"Windows-Fehlerberichterstattung (WER) ist eine flexible ereignisbasierte Feedback-Infrastruktur, mit der Informationen zu Hardware- und Softwareproblemen gesammelt werden können, die Windows erkennen kann, Melden Sie die Informationen an Microsoft, und bieten Benutzern alle verfügbaren Lösungen," Microsoft sagt.
In der Regel, Wenn ein Windows-Benutzer sieht, dass WerFault.exe ausgeführt wird, Sie denken möglicherweise, dass ein Fehler aufgetreten ist. Jedoch, in diesem speziellen Fall, Die Ausführung dieser Datei bedeutet einen gezielten Malware-Angriff. Es ist bemerkenswert, dass NetWire RAT und Cerber Ransomware dieselbe Technik eingesetzt haben.
Andere böswillige Aktivitäten in dieser Kampagne ohne Dateien sind: Code-Verschleierung, DLL in mehreren Threads, Suche nach Sandbox- und Debugger-Umgebungen, und Scannen der Registrierung nach verfügbaren virtuellen VMWare-Maschinen oder Oracle VirtualBox. Auch, wenn sich Analyseaktivitäten befinden, Sie werden beendet.
Unbekannte Angreifer stecken hinter den dateifreien Kraken-Angriffen
Weil die fest codierte Ziel-URL der Malware während der Analyse durch die Forscher entfernt wurde, Es ist derzeit unmöglich, den Angriff einer bestimmten Bedrohungsgruppe zuzuordnen. Jedoch, Einige Elemente des Kraken-Angriffs erinnern an OceanLotus, eine vietnamesische APT-Gruppe.
Die OceanLotus-Malware Ich habe mich darauf konzentriert, bestimmte Netzwerke in gezielten Angriffskampagnen zu infizieren. Das dahinter stehende kriminelle Kollektiv führt Kampagnen gegen Unternehmen und Regierungsbehörden in Asien durch: Laos, Kambodscha, Vietnam, und die Philippinen. Was über diese speziellen Angriffe bekannt ist, dass sie von einer sehr erfahrenen Hacker-Gruppe orchestriert werden.
Warum fileless Malware??
Die Idee dahinter dateilosen Malware Ist einfach: wenn Werkzeuge existieren bereits auf einem Gerät, wie PowerShell.exe, ein Angreifers Ziele zu erfüllen,, warum dann fallen benutzerdefinierte Tools, die als Malware gekennzeichnet werden könnten? Wenn ein Cyber-Kriminellen einen Prozess übernehmen kann, laufen Code in seinem Speicherplatz, und dann diesen Code verwenden Werkzeuge aufrufen, die bereits auf einem Gerät sind, Der Angriff wird verstohlen und fast unmöglich zu erkennen.