Abo
  • Services:

Viele Schutzmaßnahmen gegen Erkennung

Neben dem Schutz vor Entdeckung durch den späten Start der Applikation sowie verschlüsselte Kommunikation nach außen haben die Malware-Entwickler weitere Maßnahmen ergriffen, um eine Erkennung oder Analyse zu erschweren. So ändert das Schadprogramm sein Verhalten innerhalb von virtuellen Maschinen (sogenannter VMProtect) und komprimiert oder verschlüsselt Dateien auf den lokalen Wirtssystemen - alles Aufwand, um unentdeckt zu bleiben.

Stellenmarkt
  1. VMT GmbH, Bruchsal
  2. Fresenius Medical Care Deutschland GmbH, Sankt Wendel

Im Rahmen der Recherchen zu der Malware hat sich herausgestellt, dass die Software eine längere Versionsgeschichte hat. Ähnlich wie bei einer kommerziellen Software haben die Entwickler also immer wieder eine aktuelle Version entwickelt. Insgesamt ließen sich über zehn verschiedene Versionen der Malware finden, die ältesten Beispiele stammen von Mitte beziehungsweise Ende 2015.

Die Funktionsweise der Malware bleibt im Kern gleich: Es geht darum, den entsprechenden Miner zu platzieren, Mining zu betreiben, nach einiger Zeit die Mining-Pools zu ermitteln (teilweise werden diese auch im Quelltext hartcodiert hinterlegt), die geschürfte Kryptowährung an die ermittelten Pools zu liefern und anschließend die Malware weiterzuverbreiten - dazu scheint den Cyberkriminellen jedes Mittel recht.

Multiple Vorgehensweisen zur Verbreitung

So werden teils dreiste Vorgehensweisen zur Verbreitung genutzt, etwa das Kopieren der "photo.scr"-Datei auf alle angeschlossenen Datenträger und Netzlaufwerke. In großen Unternehmensnetzwerken mit bis zu 1.000 Clients, Abteilungslaufwerken und zentralen Servern kann das aufgrund der aggressiven Verbreitung schnell außer Kontrolle geraten.

Andere Versionen nutzen offenbar eine intelligentere Form der Verbreitung. So wird durch ein betroffenes System ein unverschlüsselter WLAN-Access-Point erstellt und die Datei mit der Schadsoftware auf einer präparierten Startseite automatisch allen sich einloggenden Clients zum Download angeboten.

Außerdem haben die Malware-Hersteller auch bedacht, dass ihre Schadsoftware auf Webserver geraten und dort ausgeführt werden könnte. Denn sie versuchen auch dort, Bibliotheken zum Mining zu installieren. Darüber hinaus wird jede XML- oder HTML-Datei geöffnet und mit einem Iframe mit der Pixelgröße 1x1 versehen, das auf die Schadsoftware verweist. Fordert ein Nutzer eine präparierte HTML-Datei in einem Browser an, wird die Schadsoftware ebenfalls zum Download angeboten.

Damit wurde ein weiterer Verbreitungsweg für die Malware geschaffen und ein neues Opfer gefunden, das zeitgleich als Ausgangsplattform für die weitere Verbreitung dienen kann. Die verwendeten Methoden zur Verbreitung sind sehr vielfältig und mitunter äußerst kreativ - neuere Verbreitungswege, etwa durch Zero-Day-Exploits, werden nach jetzigem Kenntnisstand nicht genutzt.

 Eine stabile und lukrative KryptowährungCisco-USV hilft Online-Ganoven beim Krypto-Mining 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. HyperX Gaming-Headset 111€, Asus Strix RTX 2060 449€, Asus 34-Zoll-Gaming-Monitor 829€)
  2. (-61%) 23,50€
  3. (Anime-Blu-rays, Anime-Boxen, DVDs, Limited Edition)
  4. (u. a. WD My Book 3 TB 87,99€, WD My Book Duo 16 TB 424,99€, Sandisk 128 GB microSDXC-Karte 31...

Bill Carson 05. Sep 2016

Mit einem Blockexlorer kannst du Coins nachverfolgen, aber das macht nicht unbedingt...

TrudleR 24. Aug 2016

Tim Schäfers 23. Aug 2016

"Jetzt bleibt noch die Frage, ob auf der USV von Cisco auch Windows lief, oder ob die...

Tim Schäfers 23. Aug 2016

Hallo zZz, vielen Dank für die wichtigen Nachfragen. Zur ersten Frage mit der Windows...

Tim Schäfers 23. Aug 2016

Danke für den Hinweis! Hier ist der korrekte Link (es hat nur ein "s" gefehlt): http://nj...


Folgen Sie uns
       


Mac Mini mit eGPU - Test

Der Mac Mini hat zwar sechs CPU-Kerne und viel Speicher, aber nur eine integrierte Intel-GPU. Dank Thunderbolt 3 können wir aber eine externe Grafikkarte anschließen, was für Videoschnitt interessant ist.

Mac Mini mit eGPU - Test Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


      Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
      Mac Mini mit eGPU im Test
      Externe Grafik macht den Mini zum Pro

      Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
      Ein Test von Marc Sauter

      1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
      2. Apple Mac Mini wird grau und schnell
      3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

        •  /