Das Botnetz TrickBot sollte laut Microsoft
Das geht aus den neuesten Medienberichten über TrickBot hervor. Die Betreiber der TrickBot-Malware haben demnach eine perfide neue Methode entwickelt, um die Bildschirmauflösung eines Opfersystems zunächst zu überprüfen und dann darauf zu reagieren. Der Hintergrund, warum dieser neue Trick entwickelt wurde, hängt mit virtuellen Maschinen zusammen. TrickBot stellt seinen Angriff ein, wenn er bemerkt, dass er versucht, auf eine VM zuzugreifen.
Forscher analysieren Malware in der Regel auf virtuellen Maschinen, die bestimmte Besonderheiten (in der Standardkonfiguration) aufweisen - wie laufende Dienste, Name des Rechners, Netzwerkkarte, CPU-Funktionen und Bildschirmauflösung.
Malware-Entwickler sind sich dieser Merkmale bewusst und nutzen die Vorteile von Methoden, die den Infektionsprozess auf Systemen, die als virtuelle Maschinen identifiziert wurden, zu stoppen. Dadurch wird es sogar für Sicherheitsforscher schwer, den Angriff einer Analyse zu unterziehen. TrickBot versucht damit komplett unter dem Radar zu bleiben, und das scheint in den letzten Wochen auch gut geklappt zu haben. Der HTML-Anhang einer TrickBot-Malspam-Kampagne reagiert dabei auf einem realen Rechner an
ders als auf einem virtuellen.
Der Anhang lud auf einem physischen System ein bösartiges ZIP-Archiv herunter, leitete aber in einer virtuellen Umgebung auf die Website der ABC (American Broadcasting Company) um.
Das Skript stellt fest, ob der Benutzer, der auf der Phishing-Seite landet, eine virtuelle oder eine physische Maschine verwendet, indem es prüft, ob der Webbrowser einen Software-Renderer wie SwiftShader, LLVMpipe oder VirtualBox verwendet, was in der Regel bedeutet, dass eine virtuelle Umgebung vorliegt. Dieses Skript prüft dann auch, ob die Farbtiefe des Bildschirms weniger als 24 Bit beträgt oder ob die Bildschirmhöhe und -breite weniger als 100 Pixel beträgt.
Obwohl dies eine Innovation der TrickBot-Betreiber zu sein scheint, ist der Trick nicht neu und wurde bereits bei Angriffen beobachtet, die Opfer auf Phishing-Seiten lockten. TrickBot verwendet diese Taktik, um die Sandbox von Forschern zu erkennen. Allerdings ist es eine Premiere für die Bande, ein solches Skript in einem HTML-Anhang zu verwenden.
Quelle: winfuture
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
- doch der Trojaner wird nun immer öfter mit seiner gefährlichen Infrastruktur bei Angriffen enttarnt. Jetzt macht sich TrickBot eine Systemeinstellung zunutze, um die Erkennung zu erschweren.Das geht aus den neuesten Medienberichten über TrickBot hervor. Die Betreiber der TrickBot-Malware haben demnach eine perfide neue Methode entwickelt, um die Bildschirmauflösung eines Opfersystems zunächst zu überprüfen und dann darauf zu reagieren. Der Hintergrund, warum dieser neue Trick entwickelt wurde, hängt mit virtuellen Maschinen zusammen. TrickBot stellt seinen Angriff ein, wenn er bemerkt, dass er versucht, auf eine VM zuzugreifen.
Forscher analysieren Malware in der Regel auf virtuellen Maschinen, die bestimmte Besonderheiten (in der Standardkonfiguration) aufweisen - wie laufende Dienste, Name des Rechners, Netzwerkkarte, CPU-Funktionen und Bildschirmauflösung.
Malware-Entwickler sind sich dieser Merkmale bewusst und nutzen die Vorteile von Methoden, die den Infektionsprozess auf Systemen, die als virtuelle Maschinen identifiziert wurden, zu stoppen. Dadurch wird es sogar für Sicherheitsforscher schwer, den Angriff einer Analyse zu unterziehen. TrickBot versucht damit komplett unter dem Radar zu bleiben, und das scheint in den letzten Wochen auch gut geklappt zu haben. Der HTML-Anhang einer TrickBot-Malspam-Kampagne reagiert dabei auf einem realen Rechner an
ders als auf einem virtuellen.
Der Anhang lud auf einem physischen System ein bösartiges ZIP-Archiv herunter, leitete aber in einer virtuellen Umgebung auf die Website der ABC (American Broadcasting Company) um.
Wird eine VM erkannt, reagiert TrickBot anders
Auf dem Rechner eines normalen Benutzers würde die Infektionskette mit dem Herunterladen eines ZIP-Archivs fortgesetzt, das die ausführbare TrickBot-Datei enthält. Das Herunterladen von Malware auf diese Weise ist eine Technik, die als HTML-Schmuggel bekannt ist (wirDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
). Sie ermöglicht es einem Bedrohungsakteur, die Inhaltsfilter eines Browsers zu umgehen und bösartige Dateien auf einen Zielcomputer zu schmuggeln, indem er verschlüsseltes JavaScript in eine HTML-Datei einfügt. Das Skript stellt fest, ob der Benutzer, der auf der Phishing-Seite landet, eine virtuelle oder eine physische Maschine verwendet, indem es prüft, ob der Webbrowser einen Software-Renderer wie SwiftShader, LLVMpipe oder VirtualBox verwendet, was in der Regel bedeutet, dass eine virtuelle Umgebung vorliegt. Dieses Skript prüft dann auch, ob die Farbtiefe des Bildschirms weniger als 24 Bit beträgt oder ob die Bildschirmhöhe und -breite weniger als 100 Pixel beträgt.
Obwohl dies eine Innovation der TrickBot-Betreiber zu sein scheint, ist der Trick nicht neu und wurde bereits bei Angriffen beobachtet, die Opfer auf Phishing-Seiten lockten. TrickBot verwendet diese Taktik, um die Sandbox von Forschern zu erkennen. Allerdings ist es eine Premiere für die Bande, ein solches Skript in einem HTML-Anhang zu verwenden.
Quelle: winfuture
