Categories: SicherheitVirus

Hacker verstecken Schadcode in gefälschten Windows-Fehlerberichten

Hacker haben ein Verfahren entwickelt, das es ihnen erlaubt, Skript-basierte Angriffe unbemerkt auszuführen. Sie verstecken als Hexadezimalwerte getarnte ASCII-Zeichen in gefälschten Windows-Fehlerberichten. Dekodiert ergeben die Zeichen PowerShell-Skripte. Das Verfahren ist ein Teil einer längeren Angriffskette, mit dem Ziel, Informationen über ein Computersystem zu sammeln.

Entdeckt wurde der Angriff vom Sicherheitsanbieter Huntress Labs, wie Bleeping Computer berichtet. Die Cyberkriminellen hatten demnach bereits einen Zugang zum System ihres Opfers. Dort schleusten sie eine „a.chk“ genannte Datei ein, die sich als Fehlerbericht einer Windows-Anwendung ausgibt.

Darin enthaltene Hexadezimalwerte ließen sich in einem Skript umwandeln, das wieder Kontakt zu einem Befehlsserver im Internet aufnahm, um den nächsten Schritt der Angriffskette vorzubereiten. „Auf den ersten Blick sieht es wie das Log einer beliebigen Anwendung aus“, wird John Ferrell, Vice President of ThreatOps bei Huntress Labs, in dem Bericht zitiert. „Es hat Zeitmarken, in enthält Referenzen auf eine OS-Version 6.2, was die interne Versionsnummer von Windows 8 und Windows Server 2012 ist.“

Darüber hinaus kamen bei dem Angriff Kopien von legitimen Windows-Anwendungen zum Einsatz. So stellte sich heraus, dass die Datei „BfeOnService.exe“ Microsofts Anwendung „mshta.exe“ entspricht, die für die Ausführung von HTML-Applikationen (HTA) zuständig ist. Im Rahmen des Angriffs wurde so ein VBScript ausgeführt, um PowerShell zu starten. Dafür wiederum wurde eine „engine.exe“ genannte Kopie der „powershell.exe“ benutzt. Sie schließlich extrahiert die ASCII-Zeichen aus dem falschen Fehlerbericht und generiert daraus den Schadcode.

Die Hintermänner des Angriffs integrierten zudem einen In-Memory-Patch für Microsofts Antimalware Scan Interface (AMSI), um dieses zu umgehen. AMSI hilft Antivirenprogrammen bei der Entdeckung skriptbasierter Angriffe.

Ein zweiter PowerShell-Befehl agiert schließlich als Downloader für noch einen PowerShell-Befehl mit derselben Funktion. Der Schadcode, der am Ende der Kette steht, soll Informationen über das kompromittierte System sammeln, darunter Details zu den installierten Browsern sowie Sicherheitsprodukten und Point-of-Sale-Software.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

IoT: Erfolg mit Advanced Analytics

Viele Industrieunternehmen in Deutschland haben das Potenzial des Internet der Dinge (IoT) für sich erkannt…

3 Tagen ago

Google eröffnet Ladengeschäft

Weltweit steht der Einzelhandel unter Druck, auch Apple und Microsoft bleiben von dieser Entwicklung nicht…

3 Tagen ago

Impf-Finder: So klappt es schneller mit dem Impftermin

Die Impf-Priorisierung in Deutschland wurde aufgehoben. Nun können sich alle Menschen im Alter von mindestens…

4 Tagen ago

Ukraine: Schlag gegen Ransomware-Bande

Polizeibehörden der Ukraine, Südkoreas und den USA haben gemeinsam mehrere Mitglieder der Ransomware-Bande „Clop“ verhaftet…

4 Tagen ago

Erneute Welle von DDoS-Erpressungen durch Fancy Lazarus

Warnung vor akuten Ransom DDoS-Attacken gegen Unternehmen in ganz Europa und Nordamerika im Namen von…

5 Tagen ago

Ransomware: Wer einmal zahlt, ist der Dumme

Die meisten Unternehmen erleben einen zweiten Ransomware-Angriff, nachdem sie bei der ersten Attacke Lösegeld bezahlt…

5 Tagen ago