NanoCore – Kreative Verbreitung eines alten Bekannten

NanoCore – Kreative Verbreitung eines alten Bekannten

 

Es müssen nicht immer neu entwickelte Schadcodes sein, die Angreifer verwenden. Oftmals nutzen sie auch erprobte Malware für ihre Zwecke, wenn es für sie passend erscheint. Ungleich wichtiger in einem solchen Fall ist es dann natürlich, den Verbreitungsweg so zu wählen, dass sich die Schadsoftware unbemerkt beim Opfer platzieren lässt. Wir haben uns ein solches Vorgehen einmal etwas genauer am Beispiel NanoCore angeschaut.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

NanoCore ist ein Remote Access Trojaner, der seit 2013 in verschiedenen Versionen als  vergleichsweise günstiges Fertigprodukt zu erwerben ist. Remote Access Trojaner sind eine sehr gefährliche Malwareart, die es Angreifern erlaubt, infizierte Systeme komplett aus der Ferne zu steuern und zu überwachen. 2015 wurde die Vollversion von NanoCore mit allen Plugins gecracked und ist seitdem in Untergrundforen kostenlos erhältlich.

 

Der Entwickler von NanoCore wurde letztes Jahr festgenommen und in einem spannenden Verfahren zu 3 Jahren Haft verurteilt. Von besonderer Bedeutung ist der Fall vor allem deshalb, da erstmals ein Entwickler eines Dual-Use-Tools verurteilt wurde, der das Tool nicht “für den Eigenbedarf” zum Hacken verwendet hat. Entscheidend für die Verurteilung war, dass der Entwickler die Software in Hackerforen angeboten hatte und wusste, dass manche seiner Kunden das Tool für illegale Zwecke einsetzen würden.

NanoCore ist noch immer nicht aus der Mode gekommen und treibt weiterhin sein Unwesen. Da das Tool jedoch sehr gut analysiert ist und daher leicht von Antivirenprodukten aufgespürt werden kann, müssen die Angreifer oft kreativ werden, um den Trojaner auszuliefern. Hierfür denken sie sich ausgefeilte Verschleierungsmethoden aus.

 

In der vergangenen Woche konnten wir einen Cyberangriff mit NanoCore beobachten, in dem auf kreative Art und Weise verschiedene Techniken kombiniert wurden, um den Remote Access Trojaner auszuliefern und zu installieren. Hierfür verwendeten die Angreifer eine Kombination aus Phishing, einem selbstextrahierenden Winrar-Archiv sowie dem legitim nutzbaren Administrationswerkzeug AutoIT.

 

Auslieferung per Phishingmail

 

Die initiale Phishingmail gaukelt dem Empfänger ein besonderes Geschäftsangebot vor, das in einem mitgelieferten PDF namens “inquiry.pdf” im Anhang stehen soll. Durch die Verwendung vollständiger Kontaktinformationen soll die Mail überzeugender wirken. Da diese Informationen häufig echt sind, haben wir sie im nachfolgenden Screenshot ausgeschwärzt.

 

Beispiel Phishing Mail

Beispiel für eine Phishing Mail

 

Das anhängende Phishing-PDF sieht aus wie ein Link zu Dropbox, beinhaltet aber eine URL, über die eine Archivdatei aus einer anderen Quelle heruntergeladen wird.

 

Fake Dropbox-Seite zu Malware-Link

Fake Dropbox-Seite zu Malware-Link

 

In diesem “inquiry.zip” ZIP-Archiv befindet sich die Datei “inquiry.scr”. Die Dateiendung “scr” ist nur eine Alternative zu “exe” und wurde früher für ausführbare PE-Dateien verwendet, die Bildschirmschoner installieren. In diesem Fall handelt es sich um ein selbstextrahierendes Winrar-Archiv, das als Malwaredropper missbraucht wird.

 

Verwendung eines selbstextrahierenden Archives

 

Die in der Datei enthaltenen Strings zeigen, dass es sich bei der scr-Datei um ein selbstextrahierendes Winrar-Archiv handelt. Signifikante Strings sind beispielsweise:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

Das Archiv ließ sich manuell nicht fehlerfrei extrahieren. Erst eine Ausführung der Datei zeigt den unbeschädigten Inhalt des Archives, bestehend aus:

 

  • 42 zufällig benannten Dateien mit unterschiedlicher Endung, die nur um die 500 Byte groß sind und ASCII Daten enthalten
  • Das legitime Administrationstool AutoIT, umbenannt als “mta.exe”
  • Eine ASCII Datei “qoa.docx”, die 951K groß ist und die Konfiguration für AutoIT enthält
  • Eine ASCII Datei “stt=dsr”, die 3MB groß ist und ein obfuskiertes Script in der AutoIT-eigenen VBA-ähnlichen Scriptsprache enthält

 

Im August 2015 berichtete TALOS über einen ähnlichen Angriff , der die Kombination eines selbstextrahierenden Archives mit AutoIT verwendendete, um NanoCore auszuliefern. Der Angriff hat weitere Ähnlichkeiten zu der von uns beobachteten Attacke, was eine Verbindung zwischen den Vorfällen vermuten lassen. So stoppt beispielsweise der Angriff für 20 Sekunden, wenn ein laufender Avast Prozess detektiert wird. 2015 wurde jedoch ein Officemakro in der Phishingmail verwendet, während in dem hier untersuchten Fall ein PDF zum Einsatz kam. Auch bei den ausgelieferten Payloads gibt es Unterschiede, wie beispielsweise die Auslieferung weiterer Malware in dem 2015 von Talos untersuchten Angriff.

 

Angreifer missbrauchen Automatisierungstool AutoIT

 

AutoIT ist ein legales Werkzeug, das zur Automatisierung von Administrationsaufgaben verwendet wird. Es stellt hierfür eine eigene Scriptsprache bereit, die an VBA angelehnt ist. Das Tool ist frei erhältlich und wurde leider schon öfter von Kriminellen zur Installation von Malware verwendet, so dass es manchmal fälschlicherweise als gefährlich eingestuft wird.

 

Das AutoIT-Script in der Datei “stt=dsr” aus dem ZIP-Archiv hat eine AntiAV-Technik eingebaut, die die Ausführung schlafen legt, falls der Prozess “avastui.exe” auf dem System läuft. Es liest aus der “qoa.docx” Konfigurationsdatei verschiedene Werte aus der Sektion “Setting” aus. Danach wird eine zufällig benannte Datei erstellt, in die einer der ausgelesenen Strings geschrieben wird. Diese Datei ist ebenfalls ein obfuskiertes AutoIT-Script, 272K groß, und heißt in unserem Fall “DIENU”. In dieser Datei wird der String “Settings File Name” mit dem Namen der Konfigurationsdatei “qoa.docx” überschrieben. Anschließend setzt das Script die Attribute aller extrahierten Dateien auf “hidden” und “read only”, um sie möglichst unscheinbar werden zu lassen. AutoIT wird gestartet und das erstellte “DIENU”-Script, das “qoa.docx” als Konfigurationsdatei verwendet, wird AutoIT übergeben.

 

Intelligente Systemprüfung vor Installation von NanoCore

 

Das “DIENU”-Script nimmt einige Änderungen am System vor, so zum Beispiel das Ändern der Systemkonfiguration und von Registryeinträgen. Es versucht herauszufinden, ob es in einer VMware oder Virtualbox Sandbox läuft – falls dies der Fall ist, bricht das Script ab, um einer möglichen Analyse zu entgehen. Im weiteren Verlauf wird der Remote Access Trojaner installiert, indem Schadcode in den Prozessspeicher von “RegSvcs.exe” injiziert wird – ein .NET Tool, das zur Installation von Services gedacht ist. Diese Technik wird gerne verwendet, um Malware in legitimen Programmen zu verstecken.

 

Funktionsablauf des NanoCore-Angriffes

Funktionsablauf des NanoCore-Angriffes

 

Flexibilität von NanoCore durch modularen Aufbau

 

NanoCore ist modular aufgebaut. Die jeweiligen Plugins, die sich unabhängig voneinander ein- und ausschalten lassen, hat DigiTrust in einem Artikel ausführlich beschrieben. Bei diesem Angriff wurden zwei Plugins verwendet: Das Client Plugin in Version 1.2.0.0 und das Surveillance Plugin mit der Produktversionsnummer 1.0.1.7.

 

Die Plugins wurden als Bibliotheksdateien “ClientPlugin.dll” und “SurveillanceExClientPlugin.dll” für .NET geschrieben und mit dem Tool “Eazfuscator.NET 3.3” verschleiert. Um Analysen mit einem Debugger zu erschweren, sind die Methoden mit den Attributen “DebuggerHiddenAttribute” und “DebuggerNonUserCode” versehen. Hierdurch wird ein Debugging dieser Methoden und das Setzen von Breakpoints verboten.

 

Client-Plugin

 

Das Client-Plugin ist der Grundbaustein, der sich um die Kommunikation mit dem Command-and-Control-Server und die Verwaltung der gesammelten Informationen in einer Key/Value-Sammlung kümmert. Die Informationen lassen sich optional komprimiert per Pipe an den C2-Server senden. Der Client hat des Weiteren Optionen, um Einstellungen zu ändern, Plugins und sich selber zu deinstallieren und den Hostcomputer zu steuern, also diesen zum Beispiel herunterzufahren, neu zu starten, oder Sicherheitsmechanismen zu deaktivieren.

 

Surveillance-Plugin

 

Das Surveillance-Plugin bringt allerlei Features für die Überwachung des Opfers mit. So kann der Angreifer Passwörter, Logs und DNS Records sammeln. Der Hostcomputer ist per Remote-Desktop steuerbar, und es können Mitschnitte von Tasteneingaben, dem Mikrofon oder der Webcam aufgenommen werden.

 

Das Surveillance Plugin kann vier Kommandos empfangen:

 

  1. Password: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

Im Großen und Ganzen zeigt sich ein umfangreicher Werkzeugkasten, um den infizierten Rechner aus der Ferne komplett zu steuern und zu überwachen.

 

Kein Durchkommen dank Hornetsecurity ATP

 

So ausgefeilt die Verschleierungsmethoden dieses NanoCore-Angriffes auch sind, die wahre Absicht des Tools wird durch die Verhaltensanalysen der Hornetsecurity ATP Sandbox erkannt. Diese erkennt sowohl das Entpacken der Dateien, das Erstellen der neuen Dateien, die Prozessinjektion der NanoCore DLLs in einen legitimen Prozess, die Modifikation der Registyeinträge als auch die Netzwerkkommunikation.

 

Analysetätigkeiten von Hornetsecurity ATP

Analysetätigkeiten von Hornetsecurity ATP

 

Indicators of Compromise

 

Die folgenden Dateien mit ihren sha256-Hashwerten wurden in dem Angriff verwendet. Da AutoIT eine legitime Software ist, führen wir das Tool hier nicht mit auf.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Domain, von der das zip-Archiv heruntergeladen wurde: htXp://ibeitou.com/inquiry.zip

 

Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Seit dem Ende des letzten Jahres beobachten wir eine Welle an Phishing-Mails, die den Downloader Valyria enthalten. Valyria ist ein Office-Dokument, in dem ein VBA Makro enthalten ist, das verschiedene Arten von Spyware nachlädt.

 

Zunächst wird das Opfer durch Phishing-Attacken dazu animiert, die Makrofunktion von Microsoft Office zu aktivieren. Dabei nutzten die Angreifer die in den folgenden Screenshots abgebildeten Methoden.

 

 

Wird das Makro ausgeführt, lädt es eine Visual Basic, Delphi, oder C# Spyware nach, die im Anschluss damit beginnt, Informationen auf dem System zu sammeln und an ihren Command-and-Control-Server zu verschicken.

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Während der Valyria-Downloader sehr genau zu identifizieren ist, gestaltet sich die klare Identifikation der nachgeladenen Malware als wesentlich schwieriger. Dies liegt wahrscheinlich an einer hohen Konfigurierbarkeit der Tools, die die Cyberkriminellen verwendet haben. Signaturen schlugen auf verschiedene Varianten der Spyware Agent Tesla, LokiBot und Kryptik, sowie des Androm Backdoors an.
 
Die Verhaltensanalyse der nachgeladenen Schadprogramme zeigt, dass sie alle eines gemeinsam haben: Sie sammeln fleißig Informationen wie Passwörter, Informationen aus Browsern, Credentials und Verbindungsdaten von FTP- und E-Mail-Clients, Instant-Messenger-Nachrichten, allgemeine Tastatureingaben sowie Screenshots auf dem System des Opfers.

 

Die Verhaltensanalyse der ATP-Sandbox erkennt Valyria und das Verhalten der nachgeladenen Spyware von Beginn der Kampagne zuverlässig. Aufgrund der Menge der aufgetretenen E-Mails dieser Art haben wir weitere Filterregeln entwickelt, die unsere Kunden vor den verschiedenen Varianten der Malware schützen.

 

Hier ein Auszug aus dem ATP-Report von einer der Spyware-Samples:

 

Hornetsecurity ATP-Report zu Valyria

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Wie aus den aktuellen Zahlen des FBIs hervorgeht, konnte in den vergangenen Monaten eine Zunahme von E-Mail-Betrug beobachtet werden. So lag die Gesamtschadenssumme bei Unternehmen, die in den letzten fünf Jahren durch Cyberkriminelle verursacht worden ist, bei über 5,3 Milliarden US-Dollar. Dies entspricht einem Anstieg von mehr als 2,3 Prozent. (Quelle: Stellungnahme des FBIs vom 04.05.2017 zum Thema Business E-Mail Compromise)

 

Und auch in Deutschland warnt das BKA vor Cyberkriminellen. Offiziell spricht das BKA von Schäden in dreistelliger Millionenhöhe. Allein im Jahr 2016 wurden rund 83.000 Vorkommnisse dieser Art bekannt (Quelle: Cybercrime Bundeslagebild 2016). Dabei handelt es sich jedoch lediglich um offizielle Zahlen. Die reale Zahl dürfte wesentlich höher liegen. Zu groß ist die Befürchtung vieler Unternehmen – aufgrund eines solchen Vorfalls – eine schlechte Außenwirkung zu erzielen.

 

Ein Business E-Mail Compromise ist durch unterschiedliche Formen gekennzeichnet. Neben der Kompromittierung eines E-Mail-Kontos eines Mitarbeiters gelangen u.a. auch Methoden wie Spear-Phishing oder CEO-Fraud zum Einsatz, wobei Letztere von den Kriminellen bevorzugt wird. Über diese Masche versuchen Angreifer, an sensible Unternehmensdaten oder Geld zu gelangen. Dabei werden Unternehmen nicht selten um Geldsummen in sechs-, sieben- oder gar achtstelliger Höhe erleichtert. So geschehen im Jahr 2016 bei einem bekannten Autoteilzulieferer mit Sitz in Nürnberg. Die beträchtliche Schadenshöhe – rund 40 Millionen Euro. (Quelle: Beitrag von Heise vom 16.08.2016)

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

 

Dabei ist die Vorgehensweise der Täter fast immer gleich, mit dem Unterschied, dass nicht nur auf vertrauenswürdige E-Mails gesetzt wird, sondern zunehmend auch Malware zum Einsatz gelangt. Dabei besteht der Business E-Mail Compromise nicht selten aus einer zusätzlichen Ransomware-Attacke. Im Fokus der Täter stehen, wie bereits erwähnt, primär finanzielle Ziele. Dabei sind die erbeuteten Geldsummen – je nach Angriffsmuster – unterschiedlich hoch ausgeprägt.

 

Raffiniert gestalten die Täter ihr Vorgehen. Um herauszufinden, ob ein Unternehmen erpressbar ist bzw. wie es um die Liquidität des ins Visier genommenen Unternehmens steht, erfolgt zunächst eine Lösegelderpressung über einen Ransomware-Angriff. Stellt sich diese Attacke für die Täter als lohnenswert heraus, kann im Nachgang noch ein zusätzlicher Spearphishing-Angriff erfolgen.

 

Business E-Mail Compromise – Nicht nur eine Frage der Unternehmensgröße

 

Die Täter beschränken sich bei einem Business E-Mail Compromise nicht ausschließlich auf eine bestimmte Unternehmensgröße. Dies liegt primär darin begründet, dass häufig Mitarbeiter als Angriffsziel dienen. Insgesamt betrachtet erscheint die Vorgehensweise der Täter nachvollziehbar. Denn wie der IT-Branchenverband Bitkom erst kürzlich bekannt gab, haben 60 % der Internetnutzer keine Kenntnis darüber, was polymorphe Viren überhaupt sind. (Quelle: Presseinformation von Bitkom vom 05.12.2017)

 

Und selbst 41 % der Internetnutzer, die schon einmal mit dem Thema Ransomware in Berührung gekommen sind, wissen zwar um die Gefahren, die mit einem solchen Angriff einhergehen, möchten jedoch keine aktiven Sicherheitsmaßnahmen ergreifen. Dies zeigt, dass das Wissen in Teilen sogar vorhanden ist, die Auswirkungen jedoch verharmlost werden. Schließlich glauben die meisten, dass es immer nur andere trifft und das eigene Unternehmen höchstwahrscheinlich nicht ins Visier von Cyberkriminellen gerät.

Business E-Mail Compromise

Inwieweit diese Annahme in der Praxis Bestand hat, ist letztlich aufgrund der Dunkelziffer nicht überprüfbar. Denn von den betroffenen Unternehmen gelangen kaum Informationen an die Öffentlichkeit.

 

Generell ist jedoch zu beobachten, dass die Täter äußerst professionell agieren. Es handelt sich nicht mehr nur um den technikversierten Einzeltäter, der ein paar Euro nebenher verdienen möchten. Vielmehr zeigt sich, dass die Angreifer den Bereich der Cyberkriminalität primär aus wirtschaftlichen Gründen auswählen und diesen für äußerst lukrativ halten. Dies gilt insbesondere für Business E-Mail Compromise.

 

Was zählt? Schnelligkeit!

 

Schutzmechanismen, die Unternehmen vor einem Worst Case dieser Art bewahren, gibt es. Eine Firewall oder ein Antivirenprogramm gehören allerdings nicht dazu. Besondere Angriffsformen erfordern spezielle Verteidigungsmechanismen, die in einem solchen Fall besonders schnell greifen müssen.

 

Gerade Unternehmen, die sich mit der Implementierung von Sicherheitsmechanismen dieser Art nur wenig auskennen, sollten sich überlegen, auf Managed Security Services zu setzen. IT-Sicherheit outsourcen lautet das Zauberwort – denn nur so kann das Ungleichgewicht zwischen Cyberkriminellen und Unternehmen reduziert werden.

 

Automatisierte Prozesse auf Cloud-Basis sowie eine innovative Technologie, die Unternehmen zuverlässig vor komplexen Cyberattacken schützt – solch eine Lösung bietet Hornetsecurity an. Mit Advanced Threat Protection sind wir in der Lage, Business E-Mail Compromise nachhaltig einzudämmen. So schützen wir unsere Kunden nicht nur vor CEO-Fraud, sondern auch vor Ransomware-Angriffen und Spear-Phishing-Attacken.

 

Erfahren Sie im nachfolgenden Video mehr über die Schutzmechanismen von Hornetsecurity Advanced Threat Protection:

Weiterführende Informationen:

 

  1. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Mehr erfahren.
  2. Informationen zu Managed Security Services in Unternehmen: Zur Security Automation Studie 2017.
  3. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
Nicht auf Sand gebaut

Nicht auf Sand gebaut

Die Hornetsecurity Sandbox geht schädlichen Dateien bis auf den Grund.

 

Eines der Haupteinfallstore von Malware ist nach wie vor die E-Mail. Egal, ob direkt als Dateianhang oder über einen Downloadlink – befinden sich die Schadcodes erst einmal auf lokalen Geräten, haben die üblichen Abwehrmaßnahmen versagt. Und das Wettrüsten zwischen Angreifern und IT-Security-Anbietern dauert an. Auch Hornetsecurity entwickelt seine Verteidigungsmaßnahmen daher immer weiter.
 
Ein Teil davon ist die Sandbox von Hornetsecurity Advanced Threat Protection (ATP): Diese durchleuchtet alle potentiell gefährlichen E-Mail-Anhänge und verdächtigen Dateien, die während des URL Rewritings überprüft werden, in einer von anderen Systemen abgeschirmten Umgebung auf Herz und Nieren. Um diese Dateien genau zu analysieren, kommen unterschiedliche Techniken zur Anwendung.

 

Statische Analyse

 

Vor der Untersuchung in der Sandbox werden die Dateien in der statischen Analyse unter die Lupe genommen, ohne diese auszuführen. Hierbei schaut sich das Erkennungssystem allgemeine Metadaten der Datei wie das Erstellungsdatum, das Änderungsdatum und den Autor ganz genau an.
 
Außerdem findet eine Analyse von Makros aus Office-Dateien und JavaScript-Code aus PDF-Dateien statt. Die einzelnen Abschnitte von Portable Executables – unter Windows ausführbare Dateien – werden nach kritischen Inhalten durchsucht. Dabei trägt das System Informationen zu den genutzten Libraries zusammen, anhand denen sich beispielsweise erkennen lässt, ob die Datei mit dem Internet kommuniziert.
 
Zudem werden auslesbare Zeichen, die in der Datei ausgegeben werden, analysiert. So lassen sich zum Beispiel auffällige Webseitenaufrufe schon vor der Ausführung der Datei finden. Zur statischen Analyse zählt auch die Überprüfung der Datei anhand ihres Hash-Wertes durch eine Vielzahl von Antivirenprogrammen.

 

Während der statischen Analyse “seziert” ein Algorithmus die Datei im wahrsten Sinne des Wortes, um möglichst viele Informationen zu gewinnen und daraus eine Basis zur Entwicklung von Virensignaturen zu erhalten. Diese Signaturen werden dazu verwendet, um Viren an bestimmten Mustern eindeutig zu identifizieren.

 

Der folgende Screenshot zeigt einen Teil des Codes eines Office-Makros in der statischen Analyse.

 

 

 

Die Sandbox-Analyse

 

In der dynamischen Analyse wird die Datei in der Sandbox ausgeführt. An diesem Punkt analysiert die Sandbox-Engine alle Systemveränderungen bei der Ausführung der Datei – also zur Laufzeit. Dazu protokolliert sie das Verhalten der Systemprozesse, die Systemaufrufe und Veränderungen an der Registry und wertet sie anschließend nach Abnormitäten aus (Screenshot 2).
 
Zusätzlich wird der komplette Netzwerkverkehr des Systems mitgeschnitten, um auffällige Verbindungen zu ermitteln. Versucht die Datei mit einem Command-and-Control-Server zu kommunizieren und weiteren Schadcode nachzuladen, fängt die Sandbox diesen Vorgang auf und die Malware ab. Während die Datei ausgeführt wird, fertigt das System automatisch Screenshots aller Programmaufrufe an.

 

Nachdem die dynamische Analyse abgeschlossen ist, wird die virtuelle Sandbox-Umgebung, in der die Datei ausgeführt wurde, wieder auf einen früheren Stand zurückgesetzt. Somit lässt sich bei einer Infizierung das System von der Malware bereinigen.

 

 

Auf der Grundlage aller vorliegenden Analysen beurteilt die Sandbox die Datei nach ihrer potentiellen Gefahr. Als Ergebnis erhält sie einen Wert zwischen 0 und 10.

 

Neuer ATP-Report

 

Mit dem Update der Sandbox auf die Version 2.0 erhielt der ATP-Report eine grundsätzliche Überarbeitung. Hier finden ATP-Benutzer umfangreiche Informationen über die analysierte Datei.

 

In der Übersicht werden die wichtigsten Punkte der Analyse zusammengefasst. Neben der Gefährlichkeitsbewertung der Datei (Screenshot 3), zeigt der Report die zutreffenden Virensignaturen an und teilt sie nach ihrer Bedrohung in die drei Kategorien Achtung, Warnung und Gefahr ein (Screenshot 4). Zudem führt er auch die in der Sandbox entstandenen Screenshot auf (Screenshot 5).

 

 

 

 

Unter den weiteren Menüpunkten des ATP-Reports sind die Ergebnisse der detaillierten Analysen aufgelistet.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

ATP-Sandbox-Analyse in neuem Gewand

 

Zusätzlich zur Überarbeitung des ATP-Reports erhielt die Sandbox mit dem neusten Update viele Verbesserungen. Unter anderem werden nun alle 64-Bit-Anwendungen vollständig analysiert. Zudem überarbeiteten die Hornetsecurity-Spezialisten das Bewertungssystem und pflegten neue Signaturen zur Verhaltensweise von Viren ein.
 
Auch die statische Analyse erweiterten sie durch verbesserte Parsing-Mechanismen für JavaScript in PDF-Dateien. Außerdem wurden wesentliche Verbesserungen an der Infrastruktur durchgeführt und neue Sandbox-Systeme hinzugefügt, um die Leistung und den Durchsatz der Analysen erheblich zu steigern.
 

Kontinuierliche Weiterentwicklung

 

Das Security Lab von Hornetsecurity arbeitet kontinuierlich an der Verbesserung der Sandbox, damit die Sandbox auch die neuesten und raffiniertesten Bedrohungen findet.

Um jederzeit auf neue Angriffe reagieren zu können, werden die bestehenden Virensignaturen verbessert und neue Signaturen hinzugefügt. Zudem lassen sich die Mitschnitte des Netzwerkverkehrs und des allgemeinen Verhaltens dafür verwenden, generelle Regeln abzuleiten, mit deren Hilfe auch neuartige Malware zu erkennen sind.