Schädliche Software – Malware – Angriffe in vielen verschiedenen Formen und Ausmaßen. Darüber hinaus hat sich die Komplexität von Malware im Laufe der Jahre erheblich weiterentwickelt. Angreifer erkennen, dass der Versuch, das gesamte Malware-Paket auf einmal in ein System einzuschleusen, nicht immer der effektivste Weg ist.
Im Laufe der Zeit ist Malware modular geworden. Einige Malware-Varianten verwenden möglicherweise unterschiedliche Module, um ihre Auswirkungen auf das Zielsystem zu ändern. Was ist also modulare Malware und wie funktioniert sie? Finden wir es im folgenden Artikel heraus!
Modulare Malware – Neue Stealth-Angriffsmethode zum Datendiebstahl
Modulare Malware ist eine gefährliche Bedrohung, die das System in verschiedenen Phasen angreift. Anstelle eines direkten Angriffs verfolgt das Malware-Modul einen sekundären Ansatz.
Dies geschieht, indem zunächst nur die wesentlichen Komponenten installiert werden. Anstatt großes Aufsehen zu erregen und Benutzer auf die Präsenz des Problems aufmerksam zu machen, zielt das erste Modul auf die System- und Cybersicherheit ab. Welche Teile sind hauptsächlich dafür verantwortlich, welche Art von Schutzmethode wird angewendet, wo kann die Malware Schwachstellen finden, welche Exploits haben die höchsten Erfolgsaussichten usw.
Nach erfolgreicher Erkennung der lokalen Umgebung kann das Malware-Modul der ersten Stufe mit seinem Command-and-Control-Server (C2) kommunizieren. C2 kann dann reagieren, indem es weitere Anweisungen zusammen mit zusätzlichen Malware-Modulen sendet, um die spezifische Umgebung, in der die Malware ausgeführt wird, auszunutzen.
Modulare Malware ist vorteilhafter als Malware, die alle Funktionen in einer einzigen Nutzlast bündelt, insbesondere:
Modulare Malware ist keine neue Bedrohung. Malware-Entwickler setzen schon seit langem effektiv modulare Malware-Programme ein. Der Unterschied besteht darin, dass Sicherheitsforscher in verschiedenen Situationen auf mehr Malware-Module stoßen. Forscher entdeckten auch das riesige Necurs- Botnetz (berüchtigt für die Verbreitung der Ransomware- Varianten Dridex und Locky ), das Malware-Module verbreitet.
Es gibt einige sehr interessante Beispiele für Malware-Module. Hier sind einige davon.
VPNFilter ist eine aktuelle Version von Malware, die Router und IoT-Geräte (Internet of Things) angreift . Diese Malware arbeitet in drei Phasen.
Die Malware der ersten Stufe kontaktiert einen Command-and-Control-Server, um das Modul der zweiten Stufe herunterzuladen. Das Modul der zweiten Stufe sammelt Daten, führt Befehle aus und kann in die Geräteverwaltung eingreifen (einschließlich der Möglichkeit, den Router, das IoT-Gerät oder das NAS „einzufrieren“). Die zweite Stufe kann auch Module der dritten Stufe herunterladen, die als Plugins für die zweite Stufe fungieren. Das dreistufige Modul umfasst ein SCADA-Verkehrserkennungspaket, ein Infektionsmodul und ein Modul, das es der Malware der Stufe 2 ermöglicht, über das Tor-Netzwerk zu kommunizieren .
Weitere Informationen zu VPNFilter finden Sie im folgenden Artikel: So erkennen Sie VPNFilter-Malware, bevor sie den Router zerstört.
Sicherheitsforscher von Palo Alto Networks entdeckten T9000-Malware (nicht im Zusammenhang mit Terminator oder Skynet).
T9000 ist ein Informations- und Datenerfassungstool. Nach der Installation ermöglicht T9000 Angreifern, „verschlüsselte Daten abzufangen, Screenshots bestimmter Anwendungen zu erstellen und gezielt Skype- Benutzer sowie Microsoft Office-Produktdateien anzugreifen“. Der T9000 ist mit verschiedenen Modulen ausgestattet, die darauf ausgelegt sind, 24 verschiedene Sicherheitsprodukte zu umgehen und seinen Installationsprozess so zu ändern, dass er unentdeckt bleibt.
DanaBot ist ein mehrstufiger Banking-Trojaner mit verschiedenen Plugins, mit denen Angreifer seine Funktionalität erweitern. Beispielsweise wurde DanaBot im Mai 2018 bei einer Reihe von Angriffen auf australische Banken entdeckt. Damals entdeckten Forscher ein Paket von Plugins zur Infektionserkennung, ein VNC-Remote-Viewing-Plugin, ein Datenerfassungs-Plugin und ein Tor-Plugin, das eine sichere Kommunikation ermöglicht.
„DanaBot ist ein Banking-Trojaner, was bedeutet, dass er zwangsläufig bis zu einem gewissen Grad geografisch ausgerichtet ist“, heißt es im Proofpoint DanaBot-Blog. „Trotz der vielen Vorsichtsmaßnahmen, die wir in der US-Kampagne gesehen haben, ist das aktive Wachstum, die geografische Ausbreitung und die Raffinesse von Malware immer noch leicht zu erkennen. Der Schaden nimmt zu.“ Die Malware selbst enthält mehrere Anti-Analysefunktionen sowie regelmäßig aktualisierte Informationsdiebstahl- und Fernsteuerungsmodule, was die Bedrohung für die Ziele erhöht.“
Der Artikel fasst drei Malware-Modulvarianten in einem Abschnitt zusammen, da die großartigen Sicherheitsforscher von Proofpoint alle drei gleichzeitig untersucht haben. Diese Malware-Modulvarianten sind ähnlich, haben jedoch unterschiedliche Verwendungszwecke. Darüber hinaus ist CobInt Teil der Kampagne der Cobalt Group, einer kriminellen Organisation mit Verbindungen zu einer langen Liste von Cyberkriminellen im Banken- und Finanzsektor.
Marap und AdvisorsBot wurden entwickelt, um das gesamte Zielsystem zur Verteidigung ins Visier zu nehmen, das Netzwerk zu kartieren und dann zu bestimmen, ob die Malware die gesamte Nutzlast herunterladen soll. Wenn das Zielsystem den Bedarf erfüllt (z. B. einen Wert hat), fährt die Malware mit der zweiten Phase des Angriffs fort.
Wie andere Malware-Modulversionen folgen Marap, AdvisorsBot und CobInt einem dreistufigen Prozess. Die erste Stufe ist normalerweise eine E-Mail mit einem mit Malware infizierten Anhang für den anfänglichen Ausnutzungszweck. Wenn der Exploit durchgeführt wird, fordert die Malware sofort die zweite Stufe an. Die zweite Stufe umfasst ein Aufklärungsmodul zur Bewertung der Sicherheitsmaßnahmen und der Netzwerklandschaft des Zielsystems. Wenn die Malware sagt, dass alles in Ordnung ist, lädt die letzte Stufe das dritte Modul herunter, einschließlich der Hauptnutzlast.
Mayhem ist eine etwas ältere Version des Malware-Moduls. Es erschien erstmals im Jahr 2014. Mayhem ist jedoch immer noch ein Beispiel für großartige modulare Malware. Die von Sicherheitsforschern bei Yandex entdeckte Malware zielt auf Linux- und Unix-Webserver ab. Die Installation erfolgt über ein bösartiges PHP-Skript.
Nach der Installation kann das Skript mehrere Plugins aufrufen, die die optimale Nutzung der Malware bestimmen.
Zu den Plugins gehören ein Brute-Force -Passwort-Cracker, der auf FTP-, WordPress- und Joomla- Konten abzielt , ein Webcrawler zur Suche nach anderen anfälligen Servern und ein Heartbleed-Exploit für OpenSLL.
Die letzte Variante des Malware-Moduls im heutigen Artikel ist auch eine der vollständigsten Versionen. Dies ist aus mehreren Gründen auch eines der besorgniserregendsten.
Erstens ist DiamondFox ein modulares Botnetz, das in verschiedenen Untergrundforen verkauft wird. Potenzielle Cyberkriminelle können das modulare Botnet-Paket DiamondFox erwerben, um auf eine Reihe erweiterter Angriffsmöglichkeiten zuzugreifen. Dieses Tool wird regelmäßig aktualisiert und verfügt wie alle anderen Online-Dienste über einen personalisierten Kundensupport. (Es gibt sogar ein Änderungsprotokoll!)
Der zweite Grund: Das modulare Botnet DiamondFox verfügt über eine Reihe von Plugins. Diese Funktionen werden über das Dashboard ein- und ausgeschaltet, wie es sich für eine Smart-Home-App gehört. Zu den Plugins gehören geeignete Spionagetools, Tools zum Diebstahl von Anmeldeinformationen, DDoS-Tools, Keylogger , Spam-Mails und sogar ein RAM-Scanner.
Wie kann ein modularer Malware-Angriff verhindert werden?
Derzeit gibt es kein spezifisches Tool, das Benutzer vor einer Malware-Modulvariante schützen kann. Darüber hinaus haben einige Malware-Modulvarianten eine begrenzte geografische Reichweite. Beispielsweise sind Marap, AdvisorsBot und CobInt hauptsächlich in Russland und den GUS-Staaten zu finden.
Proofpoint-Forscher haben gezeigt, dass andere Kriminelle trotz der aktuellen geografischen Beschränkungen sicherlich diesem Beispiel folgen werden, wenn sie sehen, dass eine etablierte kriminelle Organisation modulare Malware verwendet.
Es ist wichtig zu wissen, wie Malware-Module Ihr System erreichen. Bei den meisten erfassten Fällen handelte es sich um mit Schadsoftware infizierte E-Mail-Anhänge , die häufig Microsoft Office-Dokumente mit bösartigen VBA-Skripten enthielten. Angreifer verwenden diese Methode, weil es einfach ist, mit Malware infizierte E-Mails an Millionen potenzieller Ziele zu senden. Darüber hinaus ist der ursprüngliche Exploit sehr klein und lässt sich leicht als normale Office-Datei tarnen.
Stellen Sie wie immer sicher, dass Sie Ihr System auf dem neuesten Stand halten und überlegen Sie, in hochwertige Antivirensoftware zu investieren. Das ist es wert!
Mehr sehen:
Microsoft hat dem Windows 10 Update im April 2018 eine Funktion namens Ultimate Performance hinzugefügt. Es ist verständlich, dass es sich dabei um eine Funktion handelt, die dem System hilft, in den Hochleistungs-Arbeitsmodus zu wechseln.
Wenn Ihnen das neue Symbol für den Datei-Explorer wie Windows 10 Sun Valley gefällt, folgen Sie dem folgenden Artikel, um die völlig neue Benutzeroberfläche für den Datei-Explorer zu ändern.
Die Überprüfung, ob die Webcam auf einem Windows-Computer ordnungsgemäß funktioniert, ist schnell und einfach. Im Folgenden finden Sie die Schritte, die Ihnen bei der Überprüfung der Kamera helfen.
Möglicherweise haben Sie hochwertige Kopfhörer angeschlossen, aber aus irgendeinem Grund versucht der Windows-Laptop ständig, mit seinem schrecklichen eingebauten Mikrofon aufzunehmen. Im folgenden Artikel erfahren Sie, wie Sie das Windows 10-Mikrofon testen.
Wenn Sie es nicht mehr benötigen, können Sie die Option „Mit Malwarebytes scannen“ aus dem Kontextmenü mit der rechten Maustaste entfernen. Hier ist wie.
Das Border Gateway Protocol (BGP) dient zum Austausch von Routing-Informationen für das Internet und ist das zwischen ISPs (unterschiedliche ASs) verwendete Protokoll.
Wenn Sie Tipps lesen, sehen Sie, dass Leute häufig Registrierungs-Hackdateien verwenden, um Windows-Computer anzupassen und zu optimieren, und sich fragen, wie man sie erstellt. Dieser Artikel führt Sie durch die grundlegenden Schritte zum Erstellen Ihrer eigenen Registry-Hack-Datei.
Früher hat Microsoft die Registrierung automatisch gesichert, aber diese Funktion wurde in Windows 10 stillschweigend deaktiviert. In diesem Artikel führt Sie Quantrimang.com durch die Schritte zum automatischen Sichern der Registrierung in einem Ordner. RegBack (Windows\System32\config \RegBack) unter Windows 10.
Bei der Nutzung eines Computers ist es völlig normal, Fehler zu machen.
Ihre Ethernet-Verbindung kann Sie manchmal frustrieren, wenn sie auf Ihrem Windows 10- oder 11-PC ohne ersichtlichen Grund getrennt wird.
