27.02.2020
Bedrohungen
Neue Malware kommuniziert über DNS-Protokoll
Autor: Jens Stark
Kalhh / Pixabay
Eine neue Malware - genannt Mozart - kommuniziert über das DNS-Protokoll mit seinen Auftraggebern. Dadurch kann sie sich gut vor herkömmlicher Security-Software verstecken.
Security-Experten haben eine neue Backdoor-Malware entdeckt, die sich Mozart nennt. Noch ist wenig darüber bekannt, welche konkreten Absichten sich dahinter verbergen. Interessant ist allerdings die "Kommunikationsstrategie". Mozart spricht über das DNS-Protokoll mit den Angreifern und nicht wie üblich via HTTP/S.
Das DNS-Protokoll (Domain Name System) dient hauptsächlich der Übersetzung von Webadressen in eine Nummern-basierte IP-Adresse. Daneben können auch TXT-Einträge abgefragt werden, die dann kurze Textmitteilungen enthalten.
Die Hacker hinter Mozart haben sich nun diese Funktion, die eigentlich Verifizierungszwecken dient, zu eigen gemacht, um Befehle an die Malware zu schicken, wie Bleeping Computer basierend auf Informationen des IT-Security-Forschers Vitali Kremez von SentinelLabs berichtet. Dadurch lässt sich die Kommunikation zwischen Angreifer und Malware gut verschleiern und ist damit sicher vor der Entdeckung durch herkömmliche Security-Software.
Mehrstufige Installation
Verteilt wird Mozart durch PDF-Anhänge in Mails. In diesen befindet sich ein Zip-File, welches wiederum ein Javascript enthält. Letzteres installiert eine .exe-Datei auf dem Computer, die dann auch aktiviert wird. Das Programm installiert sodann die Datei "mozart.txt" und führt Vorbereitungen für die Einrichtung der eigentlichen Backdoor aus. Eine entsprechende ausführende Datei wird anschließend mit einem zufälligen Namen erstellt und startet künftig jedes Mal, wenn der betreffende Rechner gestartet wird.
Danach lassen sich offenbar Text-Befehle via DNS an Mozart schicken. Die Malware sendet dann korrespondierende Befehle aus. Allerdings ist es Kremez bislang offenbar nicht gelungen, einen Befehl zu schicken, auf den die Kommandozentrale der Angreifer reagiert hätte. Der Experte geht daher davon aus, dass die Hacker noch daran arbeiten, ein entsprechendes Botnet aufzubauen.
Swissbit
Speicherkarten mit Lizenzschutz-Vorbereitung
Die Swissbit-Speicherkarten der neuen Serie PS-66(u) unterstützen die Out-of-the-box-Nutzung der CodeMeter-Technologie für Softwareschutz und Lizenzverwaltung von Wibu-Systems.
>>
Couchbase
Datenbank-Skills für KI-Apps
Daten sind gleichzeitig Motor und Treibstoff bei der Entwicklung und dem Betrieb von KI-Anwendungen. Entsprechend zentral ist die Rolle der Datenbank. Datenbank-Anbieter Couchbase erklärt, welche Skills eine KI-taugliche Datenbank mitbringen muss.
>>
Infragistics
Angular Apps - Daten binden und anzeigen
Infragistics Professional 23.2 enthält ein leistungsstarkes Angular-Datenraster, mit dem Ihre Anwendung Datensätze jeder Größe verarbeiten kann.
>>
WWDC 24
Apple Worldwide Developers Conference ab 10. Juni 2024
Apple informiert, dass die Worldwide Developers Conference (WWDC) vom 10. bis 14. Juni 2024 online stattfindet. Für Entwickler und Studierende wird es am Eröffnungstag die Möglichkeit geben, persönlich bei einer speziellen Veranstaltung im Apple Park mit dabei zu sein.
>>