Categories: SicherheitVirus

Hacker verstecken Schadcode in gefälschten Windows-Fehlerberichten

Hacker haben ein Verfahren entwickelt, das es ihnen erlaubt, Skript-basierte Angriffe unbemerkt auszuführen. Sie verstecken als Hexadezimalwerte getarnte ASCII-Zeichen in gefälschten Windows-Fehlerberichten. Dekodiert ergeben die Zeichen PowerShell-Skripte. Das Verfahren ist ein Teil einer längeren Angriffskette, mit dem Ziel, Informationen über ein Computersystem zu sammeln.

Entdeckt wurde der Angriff vom Sicherheitsanbieter Huntress Labs, wie Bleeping Computer berichtet. Die Cyberkriminellen hatten demnach bereits einen Zugang zum System ihres Opfers. Dort schleusten sie eine „a.chk“ genannte Datei ein, die sich als Fehlerbericht einer Windows-Anwendung ausgibt.

Darin enthaltene Hexadezimalwerte ließen sich in einem Skript umwandeln, das wieder Kontakt zu einem Befehlsserver im Internet aufnahm, um den nächsten Schritt der Angriffskette vorzubereiten. „Auf den ersten Blick sieht es wie das Log einer beliebigen Anwendung aus“, wird John Ferrell, Vice President of ThreatOps bei Huntress Labs, in dem Bericht zitiert. „Es hat Zeitmarken, in enthält Referenzen auf eine OS-Version 6.2, was die interne Versionsnummer von Windows 8 und Windows Server 2012 ist.“

Darüber hinaus kamen bei dem Angriff Kopien von legitimen Windows-Anwendungen zum Einsatz. So stellte sich heraus, dass die Datei „BfeOnService.exe“ Microsofts Anwendung „mshta.exe“ entspricht, die für die Ausführung von HTML-Applikationen (HTA) zuständig ist. Im Rahmen des Angriffs wurde so ein VBScript ausgeführt, um PowerShell zu starten. Dafür wiederum wurde eine „engine.exe“ genannte Kopie der „powershell.exe“ benutzt. Sie schließlich extrahiert die ASCII-Zeichen aus dem falschen Fehlerbericht und generiert daraus den Schadcode.

Die Hintermänner des Angriffs integrierten zudem einen In-Memory-Patch für Microsofts Antimalware Scan Interface (AMSI), um dieses zu umgehen. AMSI hilft Antivirenprogrammen bei der Entdeckung skriptbasierter Angriffe.

Ein zweiter PowerShell-Befehl agiert schließlich als Downloader für noch einen PowerShell-Befehl mit derselben Funktion. Der Schadcode, der am Ende der Kette steht, soll Informationen über das kompromittierte System sammeln, darunter Details zu den installierten Browsern sowie Sicherheitsprodukten und Point-of-Sale-Software.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ladesäulen für Elektroautos: Mobile Laderoboter bald in Parkhäusern?

Elektroautos sind stark im Kommen. Doch die Insider der Branche wissen: Wenn sich die Elektroflitzer…

5 Stunden ago

Antivirusprogramme: Das können sie und so arbeiten sie

Wozu braucht es eigentlich ein Antivirusprogramm? Es ist lästig, die Warnungen erscheinen vermeintlich immer im…

6 Stunden ago

VPN – kostenlos oder kostenpflichtig – was ist besser?

Mithilfe eines VPN, eines virtuellen privaten Netzwerks, können User absolut anonym im Internet surfen, ganz…

9 Stunden ago

Aukey-Webcam PC-W3 ausprobiert

Aukey bietet mit der PC-W3 eine Webcam, die nicht nur mit 1080p auflöst, sondern darüber…

9 Stunden ago

Schneller ans Ziel: Verkehrsbetriebe San Francisco managen Mobilitätsdaten mit Software von Disy

Spatial-ETL-Plugin von Disy sorgt beim Datenmanagement mit der Talend-Software für integrierte Daten und beschleunigte Prozesse

10 Stunden ago

Polizeiroboter spähen Informationen aus

Die Überwachungsroboter von Knightscope sollen Verbrechen verhindern und sind bereits vielerorts in den USA im…

13 Stunden ago