15.02.2013
Sicherheit
Neuartiger Bot arbeitet im Hauptspeicher
Autor: Thorsten Eggeling
Mitarbeiter von Sophos haben einen neuartigen Bot entdeckt, der Schadcode in den Hauptspeicher einschleust und ausführt. Da der Schädling nicht auf der Festplatte gespeichert wird, ist er besonders schwierig zu entdecken.
Nach Angaben von Sophos handelt es sich bei dem Bot um einen experimentellen Prototypen, den die Malware-Autoren derzeit in einem Feldversuch testen und Debugging-Informationen sammeln. Die digitale Signatur des Bots ist nach der Analyse identisch mit einem Zero-Day-Exploit, den zuvor Experten bei Kaspersky Lab entdeckt haben.
Übertragen wird der Bot per Spam-E-Mail. Der darin enthaltene Link führt auf einen Server in die Türkei. Vor dort lädt der Schädling weiteren eine Datei namens Scode.dll mitsamt den Shellcode-Dateien Scodeexp.txt und Scode.txt nach. Er nutzt dafür eine nicht bekannte Sicherheitslücke in Adobes Flash Player und funktioniert bisher nur in Firefox. Die an Windows XP oder andere Windows-Versionen angepassten Shellcode-Dateien speichern die ausführbare Datei Taskmgr.exe, die in Scode.dll enthalten ist, in einem Temp-Ordner und laden die gültig zertifizierte Datei Explorer.exe nach. Diese wird als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Der Rechner bleibt so auch nach einem Neustart infiziert.
Der Antivirenscanner von Sophos identifiziert die Datei IAStorIcon.exe als Troj/FSBSpy-B. IAStorIcon.exe. Dabei handelt es ich um einen multifunktionalen Bot. Er kann Schadcode nachladen und ausführen, sämtliche Systeminformationen auslesen und aus der Ferne gesteuert Screenshots machen. Die Kommunikation mit einem Command-and-Control-Server in den Niederlanden erfolgt AES-verschlüsselt.
Das eigentlich Raffinierte ist, dass der Schadcode in Form einer ausführbaren Datei nicht auf der Festplatte, sondern im Arbeitsspeicher abgelegt wird. Dort wird er ohne eigenen Prozess oder Thread gestartet. Das ist laut den Experten ungewöhnlich und erschwert den Antivirenscannern, den nachgeladenen Schadcode zu erkennen.
Nutzer können dennoch beruhigt sein. Zumindest vorerst. Die Dateien, die zur Infektion führen, werden inzwischen von den meisten Virenscannern erkannt, nicht aber der nachgeladene Schadcode. Die Angreifer bessern jedoch sicher nach und werden neue Versionen ohne Debug-Code verbreiten. Dann ist es Glückssache bis der geänderte Schädling erneut entdeckt wird. Bleibt noch zu hoffen, dass bis dahin die ursächliche Sicherheitslücke im Flash Player gefunden und geschlossen ist - und Kriminelle keine neue Schwachstelle finden.
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>