Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Dexphot: Malware infiziert mehr als 80.000 Computer

Die Sicherheitsforscher von Microsoft wiesen am 26. November in einem Blogbeitrag auf eine Malware-Variante hin, die bereits seit Oktober 2018 Windows-Computer infiziert, um deren Ressourcen zu kapern. Sie benutzen die Rechenleistung ihrer Opfer, um Kryptowährung zu minen und so Einnahmen für die Angreifer zu generieren. Diese Malware, namens Dexphot, erreichte Mitte Juni diesen Jahres ihren Höhepunkt, als ihr Botnetz fast 80.000 infizierte Computer erreichte.

computer-1071694_960_720.jpg

Dexphots verwendet trickreiche Taktiken, um der Erkennung zu entgehen

Gemäß der Angaben von Microsoft sinkt die Anzahl der täglichen Infektionen gegenwärtig langsam. Deren Einleitung von Gegenmaßnahmen richteten sich auf die Analyse der Malware und dem Stoppen der Angriffe. Sie weisen darauf hin, dass zwar Doxphots Endziel banal war. Jedoch die Methoden und Techniken seiner Arbeitsweise fielen aufgrund ihrer hohen Komplexität auf. Dexphots Erfolg beruhte auf einigen ausgeklügelten Mechanismen. Um möglichst lange Zeit unerkannt zu bleiben, änderte er alle 20-30 Minuten seine Signatur und installiert sich indessen selbst neu.

Laut Microsoft missbraucht Dexphot beispielsweise regelmäßig msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe und powershell.exe. Dies sind alles legitime Apps, die auf Windows-Systemen vorinstalliert sind. Durch die Verwendung dieser Prozesse zum Starten und Ausführen von bösartigem Code konnte Dexphot nicht mehr von anderen lokalen Apps unterschieden werden, die diese Windows-Dienstprogramme zur Ausführung ihrer Aufgaben verwendeten. Auf diese Weise wird die Malware für klassische signaturbasierte Antivirenlösungen unsichtbar. Sobald man versucht, die Malware zu entfernen, werden die von Dexphot aufgesetzten Überwachungsdienste aktiv. Diese lösen durch eine festgelegte Routine eine erneute Infektion aus.

Fileless Technik ist die Trojaner-Tarnkappe für Antiviren-Programme

15660547276_8d27cd62e9_k-300x184.jpg


Teilweise hat man Dexphot auch auf Computern eingeschleust, die zuvor mit dem ICLoader infiziert waren. ICLoader ist eine Malware, die sich normalerweise ohne Wissen des Benutzers als Teil von Softwarepaketen installiert. Das ist beispielsweise dann der Fall, wenn Benutzer raubkopierte Software herunterladen und installieren. Auf einigen dieser ICLoader-infizierten Systeme hat man das Dexphot-Installationsprogramm heruntergeladen und ausgeführt. Laut Microsoft ist dieses Installationsprogramm der einzige Teil der Dexphot-Malware, das auf die Festplatte geschrieben wird, jedoch nur für einen kurzen Zeitraum. Jede andere Dexphot-Datei oder -Operation verwendet eine fileless Technik, um nur im Arbeitsspeicher des Computers ausgeführt zu werden. Dadurch bleibt sie dauerhaft unentdeckt.

Entführung legitimer Systemprozesse zur Verschleierung böswilliger Aktivitäten

Hazel Kim, Malware-Analyst des ATP-Forschungsteams von Microsoft Defender, stellt fest:
Du musst dich Anmelden oder Registrieren to view quote content!

Game of Thrones


Microsoft berichtet:
Du musst dich Anmelden oder Registrieren to view quote content!
Microsoft Defender ATP blockt Dexphot

Microsoft Defender ATPs Erkennungsmodule blockierten in einer Vielzahl von Fällen Dexphot schon vor der Ausführung. Ansonsten gewährten verhaltensbasierte maschinelle Lernmodelle alternativen Schutz.

Quelle; tarnkappe
 

slpal

Newbie
Registriert
25. November 2019
Beiträge
2
Punkte Reaktionen
0
Punkte
1
Die Sicherheitsforscher von Microsoft wiesen am 26. November in einem Blogbeitrag auf eine Malware-Variante hin
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, die bereits seit Oktober 2018…
 
Zuletzt bearbeitet:
Oben