Hacker haben ein Verfahren entwickelt, das es ihnen erlaubt, Skript-basierte Angriffe unbemerkt auszuführen. Sie verstecken als Hexadezimalwerte getarnte ASCII-Zeichen in gefälschten Windows-Fehlerberichten. Dekodiert ergeben die Zeichen PowerShell-Skripte. Das Verfahren ist ein Teil einer längeren Angriffskette, mit dem Ziel, Informationen über ein Computersystem zu sammeln.
Entdeckt wurde der Angriff vom Sicherheitsanbieter Huntress Labs, wie Bleeping Computer berichtet. Die Cyberkriminellen hatten demnach bereits einen Zugang zum System ihres Opfers. Dort schleusten sie eine „a.chk“ genannte Datei ein, die sich als Fehlerbericht einer Windows-Anwendung ausgibt.
Darin enthaltene Hexadezimalwerte ließen sich in einem Skript umwandeln, das wieder Kontakt zu einem Befehlsserver im Internet aufnahm, um den nächsten Schritt der Angriffskette vorzubereiten. „Auf den ersten Blick sieht es wie das Log einer beliebigen Anwendung aus“, wird John Ferrell, Vice President of ThreatOps bei Huntress Labs, in dem Bericht zitiert. „Es hat Zeitmarken, in enthält Referenzen auf eine OS-Version 6.2, was die interne Versionsnummer von Windows 8 und Windows Server 2012 ist.“
Darüber hinaus kamen bei dem Angriff Kopien von legitimen Windows-Anwendungen zum Einsatz. So stellte sich heraus, dass die Datei „BfeOnService.exe“ Microsofts Anwendung „mshta.exe“ entspricht, die für die Ausführung von HTML-Applikationen (HTA) zuständig ist. Im Rahmen des Angriffs wurde so ein VBScript ausgeführt, um PowerShell zu starten. Dafür wiederum wurde eine „engine.exe“ genannte Kopie der „powershell.exe“ benutzt. Sie schließlich extrahiert die ASCII-Zeichen aus dem falschen Fehlerbericht und generiert daraus den Schadcode.
Die Hintermänner des Angriffs integrierten zudem einen In-Memory-Patch für Microsofts Antimalware Scan Interface (AMSI), um dieses zu umgehen. AMSI hilft Antivirenprogrammen bei der Entdeckung skriptbasierter Angriffe.
Ein zweiter PowerShell-Befehl agiert schließlich als Downloader für noch einen PowerShell-Befehl mit derselben Funktion. Der Schadcode, der am Ende der Kette steht, soll Informationen über das kompromittierte System sammeln, darunter Details zu den installierten Browsern sowie Sicherheitsprodukten und Point-of-Sale-Software.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Hacker verstecken Schadcode in gefälschten Windows-Fehlerberichten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.