Abo
  • IT-Karriere:

Viele Schutzmaßnahmen gegen Erkennung

Neben dem Schutz vor Entdeckung durch den späten Start der Applikation sowie verschlüsselte Kommunikation nach außen haben die Malware-Entwickler weitere Maßnahmen ergriffen, um eine Erkennung oder Analyse zu erschweren. So ändert das Schadprogramm sein Verhalten innerhalb von virtuellen Maschinen (sogenannter VMProtect) und komprimiert oder verschlüsselt Dateien auf den lokalen Wirtssystemen - alles Aufwand, um unentdeckt zu bleiben.

Stellenmarkt
  1. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg

Im Rahmen der Recherchen zu der Malware hat sich herausgestellt, dass die Software eine längere Versionsgeschichte hat. Ähnlich wie bei einer kommerziellen Software haben die Entwickler also immer wieder eine aktuelle Version entwickelt. Insgesamt ließen sich über zehn verschiedene Versionen der Malware finden, die ältesten Beispiele stammen von Mitte beziehungsweise Ende 2015.

Die Funktionsweise der Malware bleibt im Kern gleich: Es geht darum, den entsprechenden Miner zu platzieren, Mining zu betreiben, nach einiger Zeit die Mining-Pools zu ermitteln (teilweise werden diese auch im Quelltext hartcodiert hinterlegt), die geschürfte Kryptowährung an die ermittelten Pools zu liefern und anschließend die Malware weiterzuverbreiten - dazu scheint den Cyberkriminellen jedes Mittel recht.

Multiple Vorgehensweisen zur Verbreitung

So werden teils dreiste Vorgehensweisen zur Verbreitung genutzt, etwa das Kopieren der "photo.scr"-Datei auf alle angeschlossenen Datenträger und Netzlaufwerke. In großen Unternehmensnetzwerken mit bis zu 1.000 Clients, Abteilungslaufwerken und zentralen Servern kann das aufgrund der aggressiven Verbreitung schnell außer Kontrolle geraten.

Andere Versionen nutzen offenbar eine intelligentere Form der Verbreitung. So wird durch ein betroffenes System ein unverschlüsselter WLAN-Access-Point erstellt und die Datei mit der Schadsoftware auf einer präparierten Startseite automatisch allen sich einloggenden Clients zum Download angeboten.

Außerdem haben die Malware-Hersteller auch bedacht, dass ihre Schadsoftware auf Webserver geraten und dort ausgeführt werden könnte. Denn sie versuchen auch dort, Bibliotheken zum Mining zu installieren. Darüber hinaus wird jede XML- oder HTML-Datei geöffnet und mit einem Iframe mit der Pixelgröße 1x1 versehen, das auf die Schadsoftware verweist. Fordert ein Nutzer eine präparierte HTML-Datei in einem Browser an, wird die Schadsoftware ebenfalls zum Download angeboten.

Damit wurde ein weiterer Verbreitungsweg für die Malware geschaffen und ein neues Opfer gefunden, das zeitgleich als Ausgangsplattform für die weitere Verbreitung dienen kann. Die verwendeten Methoden zur Verbreitung sind sehr vielfältig und mitunter äußerst kreativ - neuere Verbreitungswege, etwa durch Zero-Day-Exploits, werden nach jetzigem Kenntnisstand nicht genutzt.

 Eine stabile und lukrative KryptowährungCisco-USV hilft Online-Ganoven beim Krypto-Mining 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  3. 279,90€

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
Facebook Horizon ausprobiert: Social-VR soll kommen, um zu bleiben
Facebook Horizon ausprobiert
Social-VR soll kommen, um zu bleiben

Mit Horizon entwickelt Facebook eine virtuelle Welt, um Menschen per VR-Headset zusammenzubringen. Wir haben Kevin vermöbelt, mit Big Alligator eine Palme gepflanzt und Luftkämpfe um bunte Fahnen ausgetragen.
Von Marc Sauter

  1. VR-Rundschau Mit Vader auf die dunkle Seite des Headsets
  2. Virtual Reality HTC Vive Cosmos bietet 1.440 x 1.700 Pixel pro Auge
  3. Anzeige Osrams LEDs und Sensoren machen die virtuelle Welt realer

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

    •  /