Unit 42 veröffentlicht eine Aufschlüsselung der Distributionsnetze, die Banking-Trojaner wie Ursnif nutzen, um Ziele in Europa und Japan ins Visier zu nehmen. Ursnif, auch bekannt als Gozi, ist ein bekannter Banking-Trojaner, der es weiterhin auf Millionen von Nutzern auf der ganzen Welt abgesehen hat. Aufgrund seiner Malwareanalyse-Ausweichtechniken erweist sich Ursnif für herkömmliche Sicherheitsinstrumente als schwierig.
Ursnif verwendete bislang zwei primäre Übertragungsmethoden: Malspam und Exploit-Kits. Vor kurzem nutzte Ursnif Malspam, also E-Mails mit bösartigen Anhängen. Der Anhang enthielt einen Javascript-Downloader, der Ursnif von einem entfernten Standort herunterlädt und ihn auf dem Gerät des Benutzers ausführt. Bei anderen Malspam-Angriffen von Ursnif kamen passwortgeschützte angehängte Office-Dokumente zum Einsatz, eine Technik, die die Erkennung durch automatisierte Analyse-Tools minimiert. Der E-Mail-Textkörper enthielt ein Passwort für den Zugriff auf die Anlage, wodurch die Legitimität der E-Mail erhöht werden sollte. Wenn das Opfer die Anlage öffnete, wurde dessen System infiziert und die Kommunikation mit einem Befehls- und Kontrollserver wurde aufgebaut. Von diesem C2-Server (Command & Control) wurden regelmäßig Befehle, wie etwa für die Installation zusätzlicher Bedrohungen, gesendet.
Ursnif wurde auch über RIG-Exploit-Kits ausgeliefert. Wenn ein Opfer eine kompromittierte Website besuchte, erfolgte eine Weiterleitung auf die RIG-Zielseite, von der aus der Exploit das System des Opfers erfasste, um festzustellen, welcher Angriff am besten funktionieren würde. Dann wurde der Angriff ausgeführt, um den Browser des Opfers zu kompromittieren und die böswillige Nutzlast auf den Rechner des Opfers geschleust.
In beiden Fällen kann der Trojaner die Malwareanalyse-Tools erkennen und auf Virtualisierung überprüfen. Wenn sie sich in einer Analyseumgebung befindet, wird der Trojaner die Durchführung von böswilligen Aktivitäten vermeiden, so dass es schwierig ist, die Malware als solche zu erkennen.
Ursnif ist eine weit verbreitete, sich weiterentwickelnde Bedrohung, die über mehrere Angriffsvektoren verschiedene Funktionen einsetzt. Neuere Versionen der Bedrohung erlauben es Angreifern, in Daten zu stöbern und beispielsweise Bank- und Kreditkarteninformationen zu stehlen, Passwörter über Screenshots und Keylogging zu erfassen, beliebige zweite Nutzlasten auszuführen sowie zusätzliche Dateien zu infizieren, um andere Maschinen zu kapern und für die Peer-to-Peer-Kommunikation zwischen verschiedenen Ursnif-Instanzen im selben Netzwerk.
Was kann man dagegen tun? Der Bedrohungsanalyse-Dienst Traps von Palo Alto Networks nutzt einen Multi-Methoden-Ansatz für die Malware- und Exploit-Prävention, um Bedrohungen wie Ursnif zu blockieren, unabhängig davon, ob sie über Exploit-Kits oder Malspam ausgeliefert werden.
Traps untersucht Makros in Microsoft-Office-Dateien, wenn die Dateien geöffnet werden, wobei lokale Kontrollen durchgeführt werden, um festzustellen, ob die Makros böswillig sind oder nicht. Wenn ein Makro böswillig ist, wird es daran gehindert, dass es ausgeführt wird. Wenn die Datei, die das Makro enthält, nicht bekannt ist, wird sie mittels lokaler Analyse durch maschinelles Lernen untersucht. In diesem Prozess überprüft Traps verschiedene Dateieigenschaften, um festzustellen, ob das Makro bösartig oder gutartig ist. Mit der von Wildfire verfügbaren Bedrohungsintelligenz wird ein maschinelles Lernmodell trainiert, um Malware zu erkennen, auch nie zuvor gesehene Varianten. Darüber hinaus sendet Traps die Datei mit dem Makro automatisch an Wildfire für eine Reihe von Prüfungen, einschließlich statischer, dynamischer und Bare-Metal-Analyse für die vollständige Ausführung auf der Hardware, um auch Bedrohungen mit ausgeklügelter Ausweichtaktik – wie bei Ursnif – zu identifizieren.
Um präventiv gegen Exploits vorzugehen, greift Traps auf einen einzigartigen Ansatz zurück und konzentriert sich auf die Techniken, die bei allen Exploit-basierten Angriffen verwendet werden und sich selten ändern. Traps verhindert auch, dass Angreifer anfällige Endpunkte identifizieren und ins Visier nehmen. Profiling-Versuche, die von Exploit-Kits verwendet werden, werden mit dem „Exploit Kit Fingerprinting Protection Exploitation“-Präventionsmodul blockiert. Durch die Fokussierung auf die Kern-Exploit-Techniken und die Blockierung von Profiling-Versuchen, die von Exploits verwendet werden, kann Traps Exploits verhindern, sobald entsprechende Versuche gestartet werden und bevor ein Endpunkt kompromittiert werden kann.
#Netzpalaver #PaloAlto #Unit42
