Infostealer und Loader nicht unterschätzen
Anders als beispielsweise Ransomware und Kryptominer erfahren die Malware-Klassen der Infostealer und Loader eher wenig öffentliche Aufmerksamkeit – zu Unrecht, wie unser Autor warnt.
Von Deepen Desai, San Francisco (US/CA)
Unter den täglich vielen neuen Malware-Varianten finden Infostealer und Loader im Vergleich zu Trojanern und Ransomware bisher eher geringe Beachtung. Beide Familien sind weniger auffällig als Erpressungs-Malware oder Remote-Access-Trojaner (RAT), da sie oft im Verborgenen operieren und der durch sie entstandene Schaden meist erst viel später aufgedeckt wird. Das macht diese Art von Malware jedoch nicht weniger gefährlich.
Denn Schaden richten Infostealer und Loader durch das Abgreifen vertraulicher Informationen ebenso an. Da sie häufig Bestandteil anderer Malware sind, lohnt es sich, ihnen mehr Aufmerksamkeit zu widmen. Denn werden sie rechtzeitig erkannt oder wenigstens in ihrer Verbreitung verhindert, lassen sich Systeme auch vor anderen Bedrohungen schützen – im besten Fall kann man sogar Rückschlüsse auf die Absichten und das Verhalten der Angreifer ziehen.
Im Folgenden werden diese beiden Malware-Arten und aktuelle Kampagnen näher beschrieben. Darüber hinaus liefert der Beitrag Hinweise, anhand welcher Merkmale sich die Bedrohungen erkennen lassen und welche Maßnahmen Unternehmen ergreifen sollten, um sich vor diesen Angriffen zu schützen.
Infostealer
Unter dem Motto „kopieren, ohne aufzufallen“ agiert ein Infostealer schon dem Namen nach als eine Art von Malware, die es auf Informationen von infizierten Systemen abgesehen hat. Diese Malware-Kategorie sammelt Passwörter, Tastatureingaben oder Bildschirmaufnahmen und leitet diese an ihre Command- and Control-Server (C&C) weiter. Nicht selten treten Infostealer auch in Verbindung mit anderen Schädlingen auf – etwa mit Trojanern, Botnets und Keyloggern. Aktuelle Beispiele sind die Kampagnen von Taurus, Cybergate und M00nD3V-Logger, wobei bekanntere Infostealer Zeus, Lokibot, Vidar, NjRAT, AgentTesla oder Formbook sind.
Infostealer-Malware ist eine ständige Bedrohung für Remote-Mitarbeiter. Gerade in Zeiten des „Work from Anywhere“ zielt sie auch auf Virtual Private Networks (VPN), Fernzugriff auf Dateien (FTP etc.) sowie E-Mail-Konten von Usern ab, um darauf aufbauend größer angelegte Angriffe zu starten. Stealer-Malware von der Stange ist kostengünstig im Dark Net erhältlich und Angreifer können sie so anpassen, dass sie mehrere Angriffe auf ein einzelnes Unternehmen starten. Die Anpassbarkeit und der Funktionsumfang von Infostealern ermöglicht es Angreifern außerdem, ihre infizierten Payloads gut zu verstecken.
Beispiel Taurus
Taurus wurde Anfang Juni 2020 vom Zscaler ThreatlabZ-Team analysiert. Diese Malware wird als vermeintlicher Docusign-Anhang mit schädlichen Makros über Spam-E-Mails verschickt – so wird ein vertrauenswürdiger Aufhänger kreiert, um Nutzer zum Öffnen des heiklen Anhangs zu bewegen (vgl. Abb. 1).
Abbildung 1: Beispiel des Infektionsweges des Infostealers Taurus
Beispiel QakBot
Bei QakBot handelt es sich um einen Infostealer, der ebenfalls in verseuchten Microsoft-Office-Dokumenten über Spam-E-Mails zugestellt wird. Diese infizierten Office-Dokumente dienen als Versteck für die Payload und kommen häufig für gezielte Angriffe auf Unternehmen zum Einsatz. Ist ein Rechner erst einmal infiziert, liest QakBot Informationen wie IP-Adresse, Host-Name, Nutzername, Betriebssystem-Version und Bankdaten aus. Die Malware verwendet verschiedene Techniken, um einer Erkennung zu entgehen.
Bei der Überprüfung eines aktuellen Malware-Samples stellten Sicherheitsforscher zwar fest, dass der Zeitstempel aus dem Jahr 2010 stammte – jedoch verrieten kürzlich registrierte Domains, dass dieser Infostealer offenbar wiederbelebt wurde. Die untersuchte Kampagne verwendet ein Office-Dokument mit dem Dateinamen „Operating Agreement_{integervalue}.doc“.
Während der Ausführung in einer Cloud-Sandbox wurde der Infektionsweg nachvollzogen: Das passwortgeschützte Makro löst verschiedene, mehrstufige Aktionen aus, darunter das Kopieren von kodierten, verschleierten Daten aus dem Nutzer-Formular. Die nächste Aktion legt nach der Entschlüsselung die Daten in verschiedene Kategorien ab. Erst von dort aus wurde PowerShell für den Download der eigentlichen Payload vom C&C-Server der Angreifer gestartet.
Wird das Makro vom Anwender aktiviert, erzeugt es zudem ein gefälschtes Popup-Fenster, um den Nutzer glauben zu machen, dass sein System eine Funktion ausführt (vgl. Abb. 2). Derweil laufen im Hintergrund die schädlichen Aktivitäten des Makros ab.
Bevor der Hauptcode ausgeführt wird, überprüft die Malware das System auf vorhandene Anti-Malware-Software sowie auf virtuelle Umgebungen und andere Monitoring-Tools, die laufende Prozesse auf dem Computer des Opfers untersuchen. Mithilfe von CreateToolhelp32Snapshot wird ein Snapshot der Prozesse erstellt und mit der Process32First- und Process32Next-API aufgelistet – dabei sucht die Malware nach aktiven einschlägigen Executables wie avgcsrvx.exe, MsMpEng.exe, AvastSvc.exe, isesrv.exe, cmdagent.exe, MBAMService.exe, fmon.exe oder vmnat.exe.
Außerdem kopiert sich die Malware in das System-Verzeichnis %AppData%RoamingMicrosoft{Random} und wird dort aktiviert. Sie führt einen Commandshell-Befehl aus, um sich selbst einen Ping zu senden und die ursprüngliche Windows-Binärdatei durch eine Kopie der legitimen Windows-Calculator-Anwendung zu ersetzen.
C:\Windows\System32\cmd.exe‘
/c ping.exe -n 6 127.0.0.1 & type
‘C:\Windows\System32\calc.exe‘
> ‘C:\\\
QakBot sorgt darüber hinaus für sein Verbleiben auf dem befallenen System, da es einen Run-Schlüssel im Autostart-Ordner erstellt, wodurch die Malware bei jeder Windows-Anmeldung ausführt wird. Zusätzlich trägt sie unter anderem eine tägliche Ausführung der Payload zu einer bestimmten Zeit als System-Aufgabe ein und löscht diese Aufgabe nach dem Aktivieren wieder, um eine Nachverfolgung zu erschweren:
HKEY_USERS\Software\Microsoft\
Windows\CurrentVersion\Run\{Random}
C:\Windows\SysWOW64\schtasks.exe
‘C:\Windows\system32\schtasks.exe‘
/Create /RU ‘NT AUTHORITY\SYSTEM‘
/tn {Random}/tr ‚\‘% AppData%\
Roaming\Microsoft\{Random}\
{Random.exe}‘ /I {Random}‘ /SC
ONCE /Z /ST 05:33 /ET 05:45
Weiterhin lädt ein Javascript-Programm den aktualisierten QakBot von ebook[.]w3wvg.com/datacollectionservice.php3 herunter und führt ihn aus. Die heruntergeladene Payload wird verschlüsselt, jedoch kann das Skript sie umgehend dechiffrieren, wodurch sie in das System gelangt und die folgenden Informationen vom Rechner des Opfers ausliest:
- IP-Adresse
- Host-Name
- Benutzername
- Betriebssystem
- Bankdaten
Abschließend verwendet sie WebInject, um die Kommunikation zwischen dem Computer des Opfers und Online-Banking-Portalen zu verändern und so deren Zugangsdaten abzugreifen.
Abbildung 2: Popup-Fenster bei QakBot-Infostealer nach Aktivierung eines Makros
Loader
Sicherheitsforscher von Zscaler haben in den vergangenen Monaten eine Zunahme von Loader-Aktivitäten feststellen können. Loader sind im Grunde genommen RAT-Clients (Remote-Access-Trojaner) mit eher grundlegenden Fähigkeiten, etwa DL/exec, uninstall, DL/update und so weiter. Aus diesem Grund sind sie viel einfacher zu verschlüsseln und lassen sich lange unbehelligt in befallenen Systemen verstecken.
Ein häufiges Vorgehen in vielen Malware-Kampagnen besteht darin, zuerst eine Malware-Payload des Downloaders zuzustellen, die den eigentlichen Angriff vorbereitet. Der Loader führt dazu zuerst mehrere Überprüfungen durch, bevor die eigentliche Payload auf dem angegriffenen Rechner ausgeliefert wird. Downloader kommen oft in nicht-persistenter Form vor und löschen sich selbst, nachdem sie ihre Arbeit auf dem Rechner des Opfers verrichtet haben.
Beispiel TrickBot
Der Trickbot-Loader arbeitet mit Banking-Trojanern zusammen und ist darüber hinaus für das nachgelagerte Ausliefern verschiedener Malware-Module für bestimmte Aufgaben zuständig. TrickBot-Module gibt es in 32- und 64-Bit-Varianten – je nach Architektur des infizierten Systems lädt der Loader die passenden Module herunter und führt sie aus. Die folgenden Module sind verfügbar:
- Systeminfo – zur Erfassung grundlegender Informationen über den Host
- importDll – zum Stehlen von Daten aus einem Browser
- injectDll – zum Injizieren in Bank-Websites, um Zugangsdaten zu stehlen
- Pwgrab – zum Abgreifen von Passwörtern an verschiedenen Stellen
- cookiesDll – zum Stehlen/Abgreifen von Cookies
- mailsearcher – für die Durchsuchung aller Dateien auf allen Laufwerken im System
- sharedll – für die Übertragung auf Admin-Dateien und die Schaffung von Persistenz über Dienste hinweg
- networkDll – zur Erfassung von Systeminformationen und Netzwerk-/Domänentopologie
- NewBCtestDll – SOCK5-Modul-Verbindung
- psfin – Point-of-Sale-Modul zur Aufklärung
- vncDll – Fernsteuerung/VNC-Modul
- wormDll – für „seitliche“ Bewegungen innerhalb eines infizierten Netzwerks
- tabDll – zur Verbreitung über SMB mit EternalRomance und MS17-010
- outlookDll – für den Diebstahl von Daten aus Microsoft Outlook
- domainDll – für das LDAP-Harvesting der Domänencontroller-Konfigurationen
- mwormDll – für laterale Bewegung und als Analysemodul über LDAP und SMB
- mshareDll – für laterale Bewegung und als Analysemodul über LDAP und SMB (mshare- und mworm-Module arbeiten zusammen)
- rdpScanDll – Brute-Force für das Remote-Desktop-Protokoll (RDP) für eine bestimmte Liste von Opfern
Nach dem Installationsvorgang kommuniziert TrickBot mit C&C-Servern über GET-Anfragen und verwendet IP-Nummern als C&C-Adressen – normalerweise über die Ports 443, 449 oder 499. Die Kommunikation erfolgt stets verschlüsselt über SSL/TLS, aber der tatsächliche Port kann variieren. Der TrickBot-Loader unterstützt verschiedene Befehle, die er zur Kommunikation mit den C&C-Servern verwendet.
Abbildung 3: Anzeigen, die Downloader-Dokumente verwenden, um Opfer in die Falle zu locken
Empfehlungen
Cyberkriminelle entwickeln ihre Werkzeuge beständig weiter – dazu gehören auch die zu Unrecht unbekannteren Infostealer und Loader. Da sie häufig übergangen werden, geht von ihnen eine bedeutende Gefahr aus: Denn so fliegen sie oft unter dem Radar vieler Schutzmaßnahmen.
Gegen beide Arten von Bedrohungen hilft vor allem das regelmäßige Patchen von Software, sowohl im Unternehmen selbst als auch bei den Endkunden, um Sicherheitslücken zu schließen, sowie starke Passwörter (vgl. <kes> 2020#2, S. 26) mit Multi-Faktor-Authentifizierung und einer Passwort-Policy, die alle Nutzer dazu auffordert, diese in zeitlichen Abständen zu ändern.
Darüber hinaus bedarf es eines erweiterten Schutzes vor Bedrohungen, wie beispielsweise einer Advanced-Cloud-Sandbox, leistungsstarker SSL-Inspektion, einer Advanced-Cloud-Firewall und natürlich eines kontinuierlichen Cyber-Security-Awareness-Trainings (s. a. S. 6). Im Rahmen dieser Schulungen muss immer wieder darauf hingewiesen werden, dass das Anklicken von Anhängen aus unbekannten E-Mail-Quellen generell für Mitarbeiter tabu sein sollte.
Deepen Desai ist CISO und Vice President Security Research bei Zscaler.