Sie verwenden eine veraltete Browserversion. Bitte verwenden Sie eine unterstütze Versiondamit Sie MSN optimal nutzen können.

Hacker verstecken Schadcode in gefälschten Windows-Fehlerberichten

ZDNet-LogoZDNet 22.06.2020 Stefan Beiersmann
Malware (Bild Shutterstock) © DEFAULT_CREDIT Malware (Bild Shutterstock) Der Code liegt dort als Hexadezimalwerte vor. Sie lassen sich in ASCII-Zeichen umwandeln, aus denen sich schließlich ein Skript ergibt. Die Cyberkriminellen setzen zudem Kopien von legitimen Windows-Anwendungen ein, um letztendlich Informationen über das System zu sammeln.

Hacker haben ein Verfahren entwickelt, das es ihnen erlaubt, Skript-basierte Angriffe unbemerkt auszuführen. Sie verstecken als Hexadezimalwerte getarnte ASCII-Zeichen in gefälschten Windows-Fehlerberichten. Dekodiert ergeben die Zeichen PowerShell-Skripte. Das Verfahren ist ein Teil einer längeren Angriffskette, mit dem Ziel, Informationen über ein Computersystem zu sammeln.

Malware (Bild Shutterstock) © Bereitgestellt von ZDNet Malware (Bild Shutterstock) Entdeckt wurde der Angriff vom Sicherheitsanbieter Huntress Labs, wie Bleeping Computer berichtet. Die Cyberkriminellen hatten demnach bereits einen Zugang zum System ihres Opfers. Dort schleusten sie eine „a.chk“ genannte Datei ein, die sich als Fehlerbericht einer Windows-Anwendung ausgibt.

Darin enthaltene Hexadezimalwerte ließen sich in einem Skript umwandeln, das wieder Kontakt zu einem Befehlsserver im Internet aufnahm, um den nächsten Schritt der Angriffskette vorzubereiten. „Auf den ersten Blick sieht es wie das Log einer beliebigen Anwendung aus“, wird John Ferrell, Vice President of ThreatOps bei Huntress Labs, in dem Bericht zitiert. „Es hat Zeitmarken, in enthält Referenzen auf eine OS-Version 6.2, was die interne Versionsnummer von Windows 8 und Windows Server 2012 ist.“


Video: Wie sicher sind Corona Tracing Apps`? (Euronews)

NÄCHSTES
NÄCHSTES

Darüber hinaus kamen bei dem Angriff Kopien von legitimen Windows-Anwendungen zum Einsatz. So stellte sich heraus, dass die Datei „BfeOnService.exe“ Microsofts Anwendung „mshta.exe“ entspricht, die für die Ausführung von HTML-Applikationen (HTA) zuständig ist. Im Rahmen des Angriffs wurde so ein VBScript ausgeführt, um PowerShell zu starten. Dafür wiederum wurde eine „engine.exe“ genannte Kopie der „powershell.exe“ benutzt. Sie schließlich extrahiert die ASCII-Zeichen aus dem falschen Fehlerbericht und generiert daraus den Schadcode.

Die Hintermänner des Angriffs integrierten zudem einen In-Memory-Patch für Microsofts Antimalware Scan Interface (AMSI), um dieses zu umgehen. AMSI hilft Antivirenprogrammen bei der Entdeckung skriptbasierter Angriffe.

Ein zweiter PowerShell-Befehl agiert schließlich als Downloader für noch einen PowerShell-Befehl mit derselben Funktion. Der Schadcode, der am Ende der Kette steht, soll Informationen über das kompromittierte System sammeln, darunter Details zu den installierten Browsern sowie Sicherheitsprodukten und Point-of-Sale-Software.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

| Anzeige
| Anzeige

Mehr von ZDNet

| Anzeige
image beaconimage beaconimage beacon