Durch die Zusammenarbeit von internationalen Strafverfolgungsbehörden mit Partnern aus der Wirtschaft in der Operation Endgame konnten im Mai viele bekannte Malware-Loader ausgeschaltet werden. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden damals beschlagnahmt und über 50.000 Infektionen beseitigt. Diese erste großangelegte Aktion gegen eine C2-Infrastruktur seit über zehn Jahren hatte allerdings nur kurzfristige Wirksamkeit, denn die Malware „SmokeLoader“ wird weiterhin von unterschiedlichen Bedrohungsakteuren benutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten. Smokeloader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.
Die Forscher vom Zscaler-ThreatLabz-Team haben deshalb das Anti-Malware-Tool „SmokeBuster“ entwickelt, um die Smokeloader-Malware (auch unter dem Namen Dofoil bekannt) auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. Smokebuster unterstützt 32-Bit- und 64-Bit-Instanzen von Smokeloader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die Smokeloader-eigene Deinstallationsfunktion. Bei der Smokeloader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig.
Die Deinstallationsfunktionen von Smokebuster im Überblick:
- Schließen der Smokeloader Mutex-Vorgehensweise.
- Schließen der Smokeloader Vorgehensweise von offenen Dateien, was benötigt wird, um benutzte Dateien zu löschen.
- Löschen der ausführbaren Datei von Smokeloader, von Plugins und geplanten Aufgaben.
- Löschen von Installationsverzeichnissen.
- Beenden von Smokeloader Threads ( oder explorer.exe Prozessen für Version 2017).
- Zuordnung von Smokeloader explorer.exe aufheben.
- Beenden des Smokeloader Plugin-Prozesses.
Smokebuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, Smokeloaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die Smokeloader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von Smokeloader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt Smokebuster durch ein Remapping der Smokeloader-Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen.
Info: Weitere Infos über Smokebuster sowie eine detaillierte Fehleranalyse der Smokeloader-Malware ist im ThreatLabz-Blog nachzulesen: https://www.zscaler.com/blogs/security-research/smokebuster-keeping-systems-smokeloader-free.
#Zscaler