Die Sicherheitsforscher des Zscaler-ThreatLabZ-Teams haben den Krypter analysiert, mit dem unter anderem die Banking-Trojaner Emotet, Qbot und Dridex verschleiert wurden. Einer der Gründe, warum die Trojaner Emotet und Dridex so lange erfolgreich überleben konnten, ist der Schutz vor Entdeckung durch einen sehr wandelbaren und polymorphen Krypter. Ein solcher Krypter wird von Hackern eingesetzt, um die Malware für Sicherheitsprogramme schwieriger erkennbar zu machen. Im Fall des analysierten Krypters konnten die Forscher nun fünf Schichten analysieren, die zur Verschleierung der Binärdatei eingesetzt wurden.
Fortwährendes Katz- und Mausspiel
Rainer Rehm, CISO Zentraleuropa bei Zscaler erklärt: „Anfangs war die Schadsoftware noch relativ leicht zu erkennen, denn die Programme wurde immer als Ganzes in andere anfällige Dateitypen eingebunden, wie Macros in Office-Dokumenten. Der Schadcode ließ sich anhand bestimmter Patterns aufspüren. Mittlerweile sind die sogenannten Payloader keine kompletten Programme mehr, sondern knifflig zusammengesetzte Programm-Algorithmen, die in mehreren Phasen vor den Suchprogrammen versteckt werden.“
Um hier auf dem Laufenden zu bleiben, ist ein umfangreiches Team an Sicherheitsforschern notwendig. Unternehmen werden nach dem Aufspüren neuer Malware aber nur effektiv geschützt, wenn neueste Erkenntnisse schnell an alle Kunden verteilt werden können. Aber die manuelle Interaktion rund um ein Sicherheits-Update öffnet gefährliche Zeitfenster ohne ausreichenden Schutz. Plattformlösungen rollen nach dem Erkennen einer neuen Malware-Variante ein Sicherheits-Update aus, das automatisch für alle Anwender bereitsteht.
Trotz vielfacher Versuche in den letzten Jahren, um die genannten Banking-Trojaner unschädlich zu machen, treiben immer wieder neue Varianten ihr Unwesen. Emotet ist bereits seit vier Jahren aktiv und war 2018 eine der am weitesten verbreiteten Varianten, die als Downloader oder Dropper von Banking-Trojanern eingesetzt wurde. Bei Dridex handelt es sich um einen Trojaner, der aus der Zeus-Familie weiterentwickelt wurde und trotz des Aushebelungsversuchs durch das FBI von 2015 weiterhin Schaden anrichtete. Qbot verschafft sich Remote-Zugriff auf die befallenen Systeme und zieht auf diesem Weg Informationen der Opfer ab. Zur Verbreitung dieser Variante wurden URLs mit der Payload über Emotet ausgeliefert, die auf den analysierten Krypter setzen.
Die aufeinanderfolgenden Stufen zur Verschleierung der Binärdatei von Emotet
Die Stufen im Überblick
Zscaler hat die verschiedenen Stufen der Verschleierung nun aufgedeckt, indem das Unternehmen sich der Analyse von der letzten Stufe aus näherte – der ausführbaren Binärdatei von Emotet – und sich bis zum Kern vorarbeitete:
- Binärdatei des Kerns.
1. Auf dieser Stufe wird der Code durch das Mischen und den Austausch von Anweisungen verschleiert.
2. Der verschleierte Binärcode wird verschlüsselt und an das Ende des spezifischen Binärladers angehängt.
3. Die Dateistruktur des spezifischen Binärladers wird verwirbelt.
4. In dieser Stufe wird der Binärlader verschlüsselt.
5. Schließlich wird die finale Binärdatei aus eingekapselten und zerstreuten Einzelteilen der spezifischen Binärdatei gebildet.
Die detaillierte Beschreibung der einzelnen Analyseschritte ist im Zscaler-Blog nachzulesen unter: https://www.zscaler.com/blogs/research/demystifying-crypter-used-emotet-qbot-and-dridex
#Netzpalaver #Zscaler
