SmokeBuster bekämpft SmokeLoader

Durch die Operation Endgame konnten im Mai viele bekannte Malware Loader ausgeschaltet werden. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden beschlagnahmt und über 50.000 Infektionen beseitigt. Diese großangelegte Aktion gegen eine C2-Infrastruktur hatte allerdings nur kurzfristige Wirksamkeit. SmokeLoader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.

Die Forscher vom Zscaler ThreatLabz-Team haben deshalb das Anti-Malware-Tool SmokeBuster entwickelt, um die SmokeLoader-Malware – auch unter dem Namen Dofoil bekannt – auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. SmokeBuster unterstützt 32-Bit- und 64-Bit-Instanzen von SmokeLoader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die SmokeLoader-eigene Deinstallationsfunktion. Bei der SmokeLoader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig.

Deinstallationsfunktionen von SmokeBuster

  • Schließen der SmokeLoader Mutex-Vorgehensweise
  • Schließen der SmokeLoader Vorgehensweise von offenen Dateien, was benötigt wird, um benutzte Dateien zu löschen
  • Löschen der ausführbaren Datei von SmokeLoader, von Plugins und geplanten Aufgaben
  • Löschen von Installationsverzeichnissen
  • Beenden von SmokeLoader Threads ( oder explorer.exe Prozessen für Version 2017)
  • Zuordnung von SmokeLoader explorer.exe aufheben
  • Beenden des SmokeLoader Plugin-Prozesses

SmokeBuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, SmokeLoaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die SmokeLoader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von SmokeLoader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt SmokeBuster durch ein Remapping der SmokeLoader Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen.

Roger Homrich

Recent Posts

Ransomware-Gruppe FunkSec setzt auf KI-gestützte Angriffe

Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…

16 Stunden ago

Weltweiter PC-Markt wächst 2024 um 1,3 Prozent

Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…

19 Stunden ago

Angreifer schmuggeln Malware in Bilder auf Website

Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.

24 Stunden ago

Microsoft beendet Support für Office für Windows 10 ebenfalls im Oktober

Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…

1 Tag ago

Chrome 132 stopft 16 Sicherheitslöcher

Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Chrome 132…

2 Tagen ago

DeepDLL gegen verseuchte DLL-Dateien

Check Point führt KI-Modell ein, um Zero Day-DLL-Bedrohungen abzuwehren / Missbrauch von DLL-Dateien beliebte Methode…

2 Tagen ago