Die Sicherheitsforscher von Check Point Software Technologies haben neue ausgeklügelte Malware-/Trojaner-Angriff beobachtet. Sie zielen auf Anmeldedaten und Kreditkarteninformationen von Zahlungssystemen, Banken und Krypto-Börsen ab, um sie zu stehlen. Bei diesem Angriff werden legitime Geschäftsanwendungen dazu gebracht, kompromittierte, aber harmlos aussehende DLL-Dateien (Dynamic-Link-Library) auszuführen, was ihre Erkennung und Abwehr erschwert.
Wie funktioniert DLL-Sideloading?
Sogenanntes „DLL-Sideloading“ ist eine Technik, mit der Cyberkriminelle bösartigen Code auf einem Zielsystem ausführen, indem sie die Art und Weise ausnutzen, wie Windows-Dynamic-Link-Libraries (DLLs) lädt. Sideloading missbraucht den üblichen Windows-Prozess, der es dem Betriebssystem ermöglicht, Anwendungen zu laden. Hacker führen diesen Angriff in drei Schritten aus:
- Identifizierung: Der Angreifer identifiziert eine anfällige Anwendung, die ausgenutzt werden kann.
- Bösartige DLL: Daraufhin platziert er eine scheinbar legitime, aber kompromittierte DLL-Datei in einem Verzeichnis. Wenn eine Anwendung ausgeführt wird, sucht sie in bestimmten Verzeichnissen nach erforderlichen DLLs. Wenn die DLL des Angreifers in einem dieser Verzeichnisse vorhanden ist, wird sie automatisch zusammen mit der legitimen Anwendung geladen.
- Ausführung von bösartigem Code: Die kompromittierte DLL enthält die Payload des Angreifers. Durch Sideloading kann der Angreifer seinen bösartigen Code im Kontext der legitimen Anwendung ausführen.
Für Cyberkriminelle besteht der Hauptvorteil des DLL-Sideloadings darin, dass eine legitime Anwendung eine bösartige DLL lädt, was ihre Identifizierung erschwert, da die DLL im Kontext der vertrauenswürdigen Anwendung ausgeführt wird.
Casbaneiro: Eine Fallstudie von DLL-Sideloading
Check Point hat einen Fall beobachtet, bei dem ein Unternehmen von einer neuen Version des Banking-Trojaners „Casbaneiro“ angegriffen wurde. Diese Malware nutzt legitime Ressourcen von Amazon und GitHub, um DLL-Sideloading-Angriffe auszuführen. In diesem Fall verwendete sie eine scheinbar harmlose ausführbare Datei, die ursprünglich „identity_helper.exe“ hieß und in „mssedge.exe“ umbenannt wurde, um eine bösartige DLL namens „msedge_elf.dll“ per Sideloading zu laden.
Der Trojaner wurde von Check Point bei drei verschiedenen Angriffen entdeckt, die jeweils durch einen eindeutigen Sample-Hash identifiziert wurden. Die Angriffskette begann mit einer bösartigen MSI-Datei von einer Amazon AWS-URL, die eine ZIP-Datei mit der anfälligen ausführbaren Datei (Microsoft Edge PWA Identity Proxy Host) und der bösartigen DLL (msedge_elf.dll) extrahierte. Die DLL wurde dann verwendet, um eine Verbindung zu einem GitHub-Projekt herzustellen (siehe Abbildung 1), das eine verschleierte Adresse eines C&C-Servers speichert.
Die Malware entschlüsselte daraufhin den Puffer in einen HTTP-Pfad, der als C2 dient (hxxp://pushline.gotdns[.]ch/onBo/). Nach der Entschlüsselung versuchte sie, mit den Cyberkriminellen zu kommunizieren, die sie erstellt hatten. Schließlich durchsuchte die Malware die Registerkarten aktiver Browser (IE, Chrome, Explorer, Firefox) und E-Mail-Dienste (Outlook und Microsoft 365), um Anmeldedaten und Kreditkarteninformationen von einer Reihe von Zahlungssystemen, Banken und Kryptowährungsbörsen zu erhalten.
Die beste Prävention ist Threat-Emulation
Um sich gegen DDL-Sideloading zu verteidigen, empfiehlt Check Point Threat-Emulation, die Statistiken und EXE-DLL-Paare analysiert, um festzustellen, ob eine legitime EXE von einem anomalen DLL-Partner begleitet wurde. Bei diesem Ansatz wird überprüft, ob die ausführbare Datei für bestimmte DLL-Namen und entsprechend für DLL-Sideloading anfällig ist, und die aktuelle DLL anhand dieser Bedingung bewertet.
Verfügt die jeweilige Threat-Emulation über einen großen Datenvorrat und ist damit in der Lage, bekannte ausführbare Dateien auszumachen, die für DLL-Sideloading anfällig sind, kann ein DLL-Partner identifiziert werden. Ist dieser gefunden, wird die DLL zusammen mit der ausführbaren Datei emuliert, um bösartige Aktivitäten auszulösen. Daraufhin werden diese DLLs mithilfe spezieller Modelle für maschinelles Lernen einer eingehenden statischen Prüfung und Analyse unterzogen. Schließlich verifiziert Threat-Emulation, dass die DLL nicht offiziell mit ihrem Begleiter verwendet wird, um Fehlalarme zu minimieren.
Unternehmen, die auf Threat-Emulation setzen, sind gegen die oben beschriebenen Angriffe gewappnet. Über die oben beschriebene Methode wurden mehrere kommerzielle Organisationen angegriffen, darunter Einzelhandelsgeschäfte und Unternehmen. Alle wurden von den Threat-Emulation-Engines von Check Point geschützt.
#CheckPoint
