Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software So entgeht TrickBot der Entdeckung

Das Botnetz TrickBot sollte laut Microsoft eigentlich bereits ausgeschaltet sein - doch der Trojaner wird nun immer öfter mit seiner gefährlichen Infrastruktur bei Angriffen enttarnt. Jetzt macht sich TrickBot eine Systemeinstellung zunutze, um die Erkennung zu erschweren.
Das geht aus den neuesten Medienberichten über TrickBot hervor. Die Betreiber der TrickBot-Malware haben demnach eine perfide neue Methode entwickelt, um die Bildschirmauflösung eines Opfersystems zunächst zu überprüfen und dann darauf zu reagieren. Der Hintergrund, warum dieser neue Trick entwickelt wurde, hängt mit virtuellen Maschinen zusammen. TrickBot stellt seinen Angriff ein, wenn er bemerkt, dass er versucht, auf eine VM zuzugreifen.

Forscher analysieren Malware in der Regel auf virtuellen Maschinen, die bestimmte Besonderheiten (in der Standardkonfiguration) aufweisen - wie laufende Dienste, Name des Rechners, Netzwerkkarte, CPU-Funktionen und Bildschirmauflösung.
Malware-Entwickler sind sich dieser Merkmale bewusst und nutzen die Vorteile von Methoden, die den Infektionsprozess auf Systemen, die als virtuelle Maschinen identifiziert wurden, zu stoppen. Dadurch wird es sogar für Sicherheitsforscher schwer, den Angriff einer Analyse zu unterziehen. TrickBot versucht damit komplett unter dem Radar zu bleiben, und das scheint in den letzten Wochen auch gut geklappt zu haben. Der HTML-Anhang einer TrickBot-Malspam-Kampagne reagiert dabei auf einem realen Rechner an
ders als auf einem virtuellen.

Der Anhang lud auf einem physischen System ein bösartiges ZIP-Archiv herunter, leitete aber in einer virtuellen Umgebung auf die Website der ABC (American Broadcasting Company) um.

Wird eine VM erkannt, reagiert TrickBot anders​

Auf dem Rechner eines normalen Benutzers würde die Infektionskette mit dem Herunterladen eines ZIP-Archivs fortgesetzt, das die ausführbare TrickBot-Datei enthält. Das Herunterladen von Malware auf diese Weise ist eine Technik, die als HTML-Schmuggel bekannt ist (wir berichteten vor Kurzem). Sie ermöglicht es einem Bedrohungsakteur, die Inhaltsfilter eines Browsers zu umgehen und bösartige Dateien auf einen Zielcomputer zu schmuggeln, indem er verschlüsseltes JavaScript in eine HTML-Datei einfügt.

Das Skript stellt fest, ob der Benutzer, der auf der Phishing-Seite landet, eine virtuelle oder eine physische Maschine verwendet, indem es prüft, ob der Webbrowser einen Software-Renderer wie SwiftShader, LLVMpipe oder VirtualBox verwendet, was in der Regel bedeutet, dass eine virtuelle Umgebung vorliegt. Dieses Skript prüft dann auch, ob die Farbtiefe des Bildschirms weniger als 24 Bit beträgt oder ob die Bildschirmhöhe und -breite weniger als 100 Pixel beträgt.

Obwohl dies eine Innovation der TrickBot-Betreiber zu sein scheint, ist der Trick nicht neu und wurde bereits bei Angriffen beobachtet, die Opfer auf Phishing-Seiten lockten. TrickBot verwendet diese Taktik, um die Sandbox von Forschern zu erkennen. Allerdings ist es eine Premiere für die Bande, ein solches Skript in einem HTML-Anhang zu verwenden.
Quelle: winfuture
 
Da sollte man überlegen, ob man den Webbrowser sowie das E-Mailprogramm in einer virtuellen Umgebung laufen lässt und das Restsystem vom Internet abgeschottet ist.
Dann wäre TrickBot außen vor.
So mit hätte man die mit den eigenen Waffen geschlagen.;)
Nur Windowsupdate müsste dann exklusiven Zugriff aufs Internet bekommen, sodass man das System denn noch problemlos updaten kann.
 
Zurück
Oben