Springe zum Inhalt

PowerShell Verschleierung legt bei Antivirus nochmal nach

Die Entwicklung passt zu einem Trend, laut dem gefährliche Akteure zu bekannter Malware werden, welche mit besseren Verschleierungsmethoden einer einfachen Erkennung entgehen.

Ein neues Malware Beispiel, welches eine seltene Verschleierungstechnik nutzt wurde gesichtet wie Funktionen von PowerShell genutzt wurden, einem Werkzeug, das bereits in Microsoft Windows verbaut ist. Analysen von Cylance zeigen, dass die Taktik aufgeht und die meisten Antiviren Programme umgeht.

Cylance Wissenschaftler stolperten über eine Malware Datei, die PowerShell Verschleierung nutzt, während sie einige schadhafte Skripte beobachteten, die eine niedrige Antiviren Erkennung hatten. Die Datei war eine ZIP Datei, welche sowohl PDF Dokumente als auch VBS Skripte enthielt und von nur drei Antivirus Produkten geschützt war.

Es nutzt Funktionen von anderen üblichen Verschleierungstechniken, welche unter anderem auch Packer nutzen um Malware Programme zu komprimieren, Verschlüsselung um einzigartige Codierungsreihen zu verstecken oder Techniken, die Malware Kosmetik verändern, so wie die insgesamte Anzahl an Bytes im Programm. All das verändert den Hash und die Signatur der Malware, sodass normale Antivirus Werkzeuge es nicht als schadhaften Akteur erkennen.

„Diese Techniken verändern die gesamte Struktur von einem Stück Malware, ohne jedoch die Funktion zu ändern“, erklärten Wissenschaftler von Cylance in einer technischen Analyse, die am Mittwoch zu Taktik gepostet wurde. „Oft hat das als übergreifendes Ergebnis, dass Schichten kreiiert werden um die endgültige Tragkraft zu verschleiern, wie bei den gestapelten Figuren in russischen Puppen“.

PowerShell: Ein neues Spielzeug

In den Anfängen von PowerShell, nutzte das zuvor erwähnte VBS Skript eine rudimentäre Base 64 Codierung um die erste Schicht zu verschleiern. Dieses VBS Skript lud über PowerShell dann eine DAT Dateien herunter und führte sie aus. Das Team fand heraus, dass der Skript Techniken wie String-Splitting durch Konkatenation und variable Aufgaben nutze, ebenso wie Häkchen und wahllose Großschreibung einzelner Buchstaben, um die Wörter oder Signaturen aufzusplitten die Antivirus-Unternehmen normalerweise für schädliche PowerShell Identifikation nutzen.

„Bei der Datei lcr.dat wird die Sache interessant“, erklärten die Wissenschaftler. „Sie nutzt eine Methode der String-Chiffrierung in C#, genannt SecureString…, welche häufig genutzt wird, um sensible Strings innerhalb von Apps zu verschlüsseln die Microsofts eingebautes DPAPI nutzen.“

Sie fügten hinzu, dass das Skript selbst die Datei „ravigel.com/top.dat“ heruntergeladen hat, welche ein ZIP Archiv war, in dem sich eine PE Datei befand, die von der originalen Darstellung durch Leerstellen getrennter Hex Bytes kodiert wurde und mit der Überschrift „google\r\n“ versehen war.

Währenddessen sind die eigentlichen Nutzdaten „ein simples Spionage Werkzeug, welches der Sicherheitsgemeinschaft sehr bekannt ist.“

„Dieses Katz-und-Maus Spiel von Erkennung und Antwort ist nicht neu“, erzählte Kevin Livelli, Direktor des Bereichs Bedrohungsintelligenz bei Cylance, Threatpost. „Angreifer, egal ob fortgeschrittene Gruppen oder normale Kriminelle, sind scharfsinnige Beobachter der Verteidigungsmechanismen und handeln dementsprechend. Malware muss nicht besonders kompliziert oder gar neu sein um effektiv zu sein. Verschleierung gibt Angreifern einen einfachen und billigen Weg ihre Arbeit zu erledigen, solang bis die Industrie sich anpasst und and die Angreifer zur nächsten Technik übergehen.“

Malware auf dem Vormarsch

Die Entwicklung passt zu einem Trend, laut dem drohende Akteure zu normaler Malware werden, der den Fakt übersieht, dass die wohlbekannten Fingerprints einfach zu erkennen sind, indem man noch bessere Verschleierungsmethoden einführt.

Allein die Masse an 08/15-Malware da draußen, spielt den gefährlichen Akteuren ironischerweise in direkt die Karten. „Wenn die Fingerprints von einem Stück Malware bekannt sind und für alle zugänglich sind, kann sich der gefährdende Akteur hinter einer unfassbar hohen Zahl an Verdächtigen verstecken. Die Signatur der Nutzdaten wird so bedeutungslos“, erklärten die Wissenschaftler.

Sie fügten hinzu: „Dieser Trend ist gegenläufig zu einer weitverbreiteten Annahme im Raum für Informationssicherheit, welcher besagt, dass häufig genutzte Malware zusammen mit Zero-Day Exploits die höchste Aufmerksamkeit verdienen.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.