Schädliche Software – Malware – Angriffe in vielen verschiedenen Formen und Ausmaßen. Darüber hinaus hat sich die Komplexität von Malware im Laufe der Jahre erheblich weiterentwickelt. Angreifer erkennen, dass der Versuch, das gesamte Malware-Paket auf einmal in ein System einzuschleusen, nicht immer der effektivste Weg ist.
Im Laufe der Zeit ist Malware modular geworden. Einige Malware-Varianten verwenden möglicherweise unterschiedliche Module, um ihre Auswirkungen auf das Zielsystem zu ändern. Was ist also modulare Malware und wie funktioniert sie? Finden wir es im folgenden Artikel heraus!
Modulare Malware – Neue Stealth-Angriffsmethode zum Datendiebstahl
Modulare Malware ist eine gefährliche Bedrohung, die das System in verschiedenen Phasen angreift. Anstelle eines direkten Angriffs verfolgt das Malware-Modul einen sekundären Ansatz.
Dies geschieht, indem zunächst nur die wesentlichen Komponenten installiert werden. Anstatt großes Aufsehen zu erregen und Benutzer auf die Präsenz des Problems aufmerksam zu machen, zielt das erste Modul auf die System- und Cybersicherheit ab. Welche Teile sind hauptsächlich dafür verantwortlich, welche Art von Schutzmethode wird angewendet, wo kann die Malware Schwachstellen finden, welche Exploits haben die höchsten Erfolgsaussichten usw.
Nach erfolgreicher Erkennung der lokalen Umgebung kann das Malware-Modul der ersten Stufe mit seinem Command-and-Control-Server (C2) kommunizieren. C2 kann dann reagieren, indem es weitere Anweisungen zusammen mit zusätzlichen Malware-Modulen sendet, um die spezifische Umgebung, in der die Malware ausgeführt wird, auszunutzen.
Modulare Malware ist vorteilhafter als Malware, die alle Funktionen in einer einzigen Nutzlast bündelt, insbesondere:
Modulare Malware ist keine neue Bedrohung. Malware-Entwickler setzen schon seit langem effektiv modulare Malware-Programme ein. Der Unterschied besteht darin, dass Sicherheitsforscher in verschiedenen Situationen auf mehr Malware-Module stoßen. Forscher entdeckten auch das riesige Necurs- Botnetz (berüchtigt für die Verbreitung der Ransomware- Varianten Dridex und Locky ), das Malware-Module verbreitet.
Es gibt einige sehr interessante Beispiele für Malware-Module. Hier sind einige davon.
VPNFilter ist eine aktuelle Version von Malware, die Router und IoT-Geräte (Internet of Things) angreift . Diese Malware arbeitet in drei Phasen.
Die Malware der ersten Stufe kontaktiert einen Command-and-Control-Server, um das Modul der zweiten Stufe herunterzuladen. Das Modul der zweiten Stufe sammelt Daten, führt Befehle aus und kann in die Geräteverwaltung eingreifen (einschließlich der Möglichkeit, den Router, das IoT-Gerät oder das NAS „einzufrieren“). Die zweite Stufe kann auch Module der dritten Stufe herunterladen, die als Plugins für die zweite Stufe fungieren. Das dreistufige Modul umfasst ein SCADA-Verkehrserkennungspaket, ein Infektionsmodul und ein Modul, das es der Malware der Stufe 2 ermöglicht, über das Tor-Netzwerk zu kommunizieren .
Weitere Informationen zu VPNFilter finden Sie im folgenden Artikel: So erkennen Sie VPNFilter-Malware, bevor sie den Router zerstört.
Sicherheitsforscher von Palo Alto Networks entdeckten T9000-Malware (nicht im Zusammenhang mit Terminator oder Skynet).
T9000 ist ein Informations- und Datenerfassungstool. Nach der Installation ermöglicht T9000 Angreifern, „verschlüsselte Daten abzufangen, Screenshots bestimmter Anwendungen zu erstellen und gezielt Skype- Benutzer sowie Microsoft Office-Produktdateien anzugreifen“. Der T9000 ist mit verschiedenen Modulen ausgestattet, die darauf ausgelegt sind, 24 verschiedene Sicherheitsprodukte zu umgehen und seinen Installationsprozess so zu ändern, dass er unentdeckt bleibt.
DanaBot ist ein mehrstufiger Banking-Trojaner mit verschiedenen Plugins, mit denen Angreifer seine Funktionalität erweitern. Beispielsweise wurde DanaBot im Mai 2018 bei einer Reihe von Angriffen auf australische Banken entdeckt. Damals entdeckten Forscher ein Paket von Plugins zur Infektionserkennung, ein VNC-Remote-Viewing-Plugin, ein Datenerfassungs-Plugin und ein Tor-Plugin, das eine sichere Kommunikation ermöglicht.
„DanaBot ist ein Banking-Trojaner, was bedeutet, dass er zwangsläufig bis zu einem gewissen Grad geografisch ausgerichtet ist“, heißt es im Proofpoint DanaBot-Blog. „Trotz der vielen Vorsichtsmaßnahmen, die wir in der US-Kampagne gesehen haben, ist das aktive Wachstum, die geografische Ausbreitung und die Raffinesse von Malware immer noch leicht zu erkennen. Der Schaden nimmt zu.“ Die Malware selbst enthält mehrere Anti-Analysefunktionen sowie regelmäßig aktualisierte Informationsdiebstahl- und Fernsteuerungsmodule, was die Bedrohung für die Ziele erhöht.“
Der Artikel fasst drei Malware-Modulvarianten in einem Abschnitt zusammen, da die großartigen Sicherheitsforscher von Proofpoint alle drei gleichzeitig untersucht haben. Diese Malware-Modulvarianten sind ähnlich, haben jedoch unterschiedliche Verwendungszwecke. Darüber hinaus ist CobInt Teil der Kampagne der Cobalt Group, einer kriminellen Organisation mit Verbindungen zu einer langen Liste von Cyberkriminellen im Banken- und Finanzsektor.
Marap und AdvisorsBot wurden entwickelt, um das gesamte Zielsystem zur Verteidigung ins Visier zu nehmen, das Netzwerk zu kartieren und dann zu bestimmen, ob die Malware die gesamte Nutzlast herunterladen soll. Wenn das Zielsystem den Bedarf erfüllt (z. B. einen Wert hat), fährt die Malware mit der zweiten Phase des Angriffs fort.
Wie andere Malware-Modulversionen folgen Marap, AdvisorsBot und CobInt einem dreistufigen Prozess. Die erste Stufe ist normalerweise eine E-Mail mit einem mit Malware infizierten Anhang für den anfänglichen Ausnutzungszweck. Wenn der Exploit durchgeführt wird, fordert die Malware sofort die zweite Stufe an. Die zweite Stufe umfasst ein Aufklärungsmodul zur Bewertung der Sicherheitsmaßnahmen und der Netzwerklandschaft des Zielsystems. Wenn die Malware sagt, dass alles in Ordnung ist, lädt die letzte Stufe das dritte Modul herunter, einschließlich der Hauptnutzlast.
Mayhem ist eine etwas ältere Version des Malware-Moduls. Es erschien erstmals im Jahr 2014. Mayhem ist jedoch immer noch ein Beispiel für großartige modulare Malware. Die von Sicherheitsforschern bei Yandex entdeckte Malware zielt auf Linux- und Unix-Webserver ab. Die Installation erfolgt über ein bösartiges PHP-Skript.
Nach der Installation kann das Skript mehrere Plugins aufrufen, die die optimale Nutzung der Malware bestimmen.
Zu den Plugins gehören ein Brute-Force -Passwort-Cracker, der auf FTP-, WordPress- und Joomla- Konten abzielt , ein Webcrawler zur Suche nach anderen anfälligen Servern und ein Heartbleed-Exploit für OpenSLL.
Die letzte Variante des Malware-Moduls im heutigen Artikel ist auch eine der vollständigsten Versionen. Dies ist aus mehreren Gründen auch eines der besorgniserregendsten.
Erstens ist DiamondFox ein modulares Botnetz, das in verschiedenen Untergrundforen verkauft wird. Potenzielle Cyberkriminelle können das modulare Botnet-Paket DiamondFox erwerben, um auf eine Reihe erweiterter Angriffsmöglichkeiten zuzugreifen. Dieses Tool wird regelmäßig aktualisiert und verfügt wie alle anderen Online-Dienste über einen personalisierten Kundensupport. (Es gibt sogar ein Änderungsprotokoll!)
Der zweite Grund: Das modulare Botnet DiamondFox verfügt über eine Reihe von Plugins. Diese Funktionen werden über das Dashboard ein- und ausgeschaltet, wie es sich für eine Smart-Home-App gehört. Zu den Plugins gehören geeignete Spionagetools, Tools zum Diebstahl von Anmeldeinformationen, DDoS-Tools, Keylogger , Spam-Mails und sogar ein RAM-Scanner.
Wie kann ein modularer Malware-Angriff verhindert werden?
Derzeit gibt es kein spezifisches Tool, das Benutzer vor einer Malware-Modulvariante schützen kann. Darüber hinaus haben einige Malware-Modulvarianten eine begrenzte geografische Reichweite. Beispielsweise sind Marap, AdvisorsBot und CobInt hauptsächlich in Russland und den GUS-Staaten zu finden.
Proofpoint-Forscher haben gezeigt, dass andere Kriminelle trotz der aktuellen geografischen Beschränkungen sicherlich diesem Beispiel folgen werden, wenn sie sehen, dass eine etablierte kriminelle Organisation modulare Malware verwendet.
Es ist wichtig zu wissen, wie Malware-Module Ihr System erreichen. Bei den meisten erfassten Fällen handelte es sich um mit Schadsoftware infizierte E-Mail-Anhänge , die häufig Microsoft Office-Dokumente mit bösartigen VBA-Skripten enthielten. Angreifer verwenden diese Methode, weil es einfach ist, mit Malware infizierte E-Mails an Millionen potenzieller Ziele zu senden. Darüber hinaus ist der ursprüngliche Exploit sehr klein und lässt sich leicht als normale Office-Datei tarnen.
Stellen Sie wie immer sicher, dass Sie Ihr System auf dem neuesten Stand halten und überlegen Sie, in hochwertige Antivirensoftware zu investieren. Das ist es wert!
Mehr sehen:
Die macOS Big Sur-Version wurde kürzlich auf der WWDC-Konferenz offiziell angekündigt. Und mit dem Rainmeter-Tool können Sie die Benutzeroberfläche von macOS Big Sur vollständig auf Windows 10 übertragen.
RDStealer ist Malware, die versucht, Anmeldeinformationen und Daten zu stehlen, indem sie einen RDP-Server infiziert und seine Remote-Verbindungen überwacht.
Vielleicht ist es an der Zeit, sich vom Datei-Explorer zu verabschieden und Dateiverwaltungssoftware von Drittanbietern zu verwenden? Hier sind die 7 besten Windows-Datei-Explorer-Alternativen.
LoRaWAN oder Long Range Wireless Area Network ist nützlich für die Kommunikation zwischen Geräten mit geringem Stromverbrauch über große Entfernungen.
Durch Navigieren zu „Erweiterte Startoptionen“ können Sie Windows 10 zurücksetzen, Windows 10 wiederherstellen, Windows 10 aus einer zuvor erstellten Image-Datei wiederherstellen, Startfehler beheben, die Eingabeaufforderung öffnen, um Optionen auszuführen, andere auswählen, UEFI-Einstellungen öffnen und Starteinstellungen ändern. ..
Jedes Mal, wenn Sie sich für einen neuen Dienst anmelden, können Sie einen Benutzernamen und ein Passwort wählen oder sich einfach mit Facebook oder Twitter anmelden. Aber solltest du es tun?
DNS Google 8.8.8.8 8.8.4.4 ist einer der DNS, den viele Benutzer verwenden, insbesondere um den Netzwerkzugriff zu beschleunigen oder den Zugriff auf blockiertes Facebook zu beschleunigen.
Wenn Sie Microsoft Edge auf einem gemeinsam genutzten Windows 10-Computer verwenden und Ihren Browserverlauf privat halten möchten, können Sie festlegen, dass Edge immer im InPrivate-Modus startet.
Heutzutage werden üblicherweise zwei Arten der Verschlüsselung eingesetzt: die symmetrische und die asymmetrische Verschlüsselung. Der grundlegende Unterschied zwischen diesen beiden Verschlüsselungsarten besteht darin, dass bei der symmetrischen Verschlüsselung ein einziger Schlüssel sowohl für Verschlüsselungs- als auch für Entschlüsselungsvorgänge verwendet wird.
Der Vollbildmodus auf Ihrem Computer entfernt unnötige Inhalte. Wie kann man den Windows-Vollbildmodus verlassen?
