Anzeige

Malware

Kürzlich haben Experten für Threat Research von BlackBerry Cylance einen verborgenen bösartigen Code in WAV-Audiodateien entdeckt. Jede der betroffenen Dateien enthielt eine Ladekomponente zum Dekodieren und Ausführen von bösartigen Inhalten, die heimlich in die Audiodaten eingearbeitet waren. 

Die vorliegenden Fälle bilden eine neue Form von Steganographie, ein Verfahren, bei dem Hacker Malware-Codes in normal aussehenden Dateien verbergen. BlackBerry nahm die Entdeckung zum Anlass für eine Studie mit dem Titel „Bösartige Ladung – versteckt in WAV-Dateien“. Ein Überblick fasst die wichtigsten Ergebnisse zusammen.

Die Analyse förderte unter anderem zu Tage, dass einige der WAV-Dateien einen Code enthalten, der mit dem XMRig Monero Krypto-Miner verbunden ist. Andere beinhalteten Metasploit-Code, mit dem Hacker eine Reverse-Shell erstellen konnten, die es ihnen wiederrum erlaubte, die Kontrolle über das System zu übernehmen. Beide Varianten wurden in derselben Umgebung entdeckt, was auf eine zweigleisige Kampagne hindeutet. Ziel war es demnach, die Malware zu finanziellen Zwecken einzusetzen und einen Fernzugriff auf die betroffenen Computer zu ermöglichen.

Bei der Wiedergabe spielten einige der WAV-Dateien Musik ab, die keine erkennbaren Qualitätsprobleme oder Störungen aufwies. Andere gaben einfach nur weißes Rauschen wieder. Sämtliche entdeckten WAV-Dateien entsprechen dem Standard-Format und sind mit einem gängigen Audioplayer abspielbar. Das Prozedere gestaltet sich folgendermaßen: Sobald die infizierte Audiodatei auf dem Computer bereitgestellt wird, nutzt sie das versteckte bösartige Programm, um sich mit einem Befehls- und Steuerungsserver zu verbinden. Dieser übernimmt anschließend das Kommando und aktiviert heimlich den Krypto-Miner für den Abbau von Krypto-Währung.

Song wav

Song WAV

Zwei Steganographie-Varianten auf schädlicher Mission

Die Reverse Engineers fanden die Malware auf Windows Servern und Desktops. Während die erste Variante einen Code wiederzuverwenden schien, der von den Turla-Hackern bereits bekannt ist, erwies sich die zweite Variante als grundsätzlich verschieden. In dem vorliegenden Fall wurde die Steganographie verwendet, um den Metasploit-Backdoor-Code zu verstecken. Cyberkriminelle und Hacker nutzen im Allgemeinen Hintertüren, um Zugang zu IT-Netzwerken zu erhalten. Der gängige Entwicklungsstand für die Implementierung von Techniken aus dem Spektrum Steganographie richtet sich im Allgemeinen nicht an einzelne User. Die betroffenen WAV-Dateien wurden indessen mit Spear-Phishing-Techniken per E-Mail zugestellt. Dies nährt die Vermutung, dass der Angriff gezielt und nicht breit angelegt war. Vielmehr spricht Viel dafür, dass sie die Reverse-Shell (Loader und WAV mit Meterpreter) installiert haben, um die anderen Loader und WAV-Dateien herunterzuladen.

Besonders brisant: Das Verstecken von ausführbaren Inhalten in einem ansonsten gutartigen Dateiformat erschwert die Erkennung erheblich. Darüber hinaus wird der zugrunde liegende Code nur im Speicher offenbart, was sowohl die Identifizierung als auch die Inspektion der wichtigsten bösartigen Inhalte herausfordert. Die Auswirkungen hängen vom verborgenen Code ab, aber wie dieser Artikel zeigt, kann die Verwendung von Steganographie dazu führen, dass sogenannte Threat Actors die Kontrolle über das Netzwerk des Opfers haben.

Hohe Komplexität der Malware zeugt von tiefgreifendem Know-how

Malware auf Grundlage von Steganographie wurde bisher hauptsächlich in PNG-Dateien verwendet. Grundsätzlich kann die Angriffsstrategie jedoch mit jedem Dateiformat verwendet werden, solange der Angreifer die Struktur und die Einschränkungen des Formats einhält. Entscheidend für die Erfolgsaussichten des Hackers war bislang, dass alle Änderungen, die an der Zieldatei vorgenommen werden, nicht deren Integrität beeinträchtigen. Bei den Dateiformaten, die von Cyberkriminellen zum Verstecken ihrer schädlichen Ladung verwendet werden, handelt es sich in der Regel um nicht ausführbare Formate wie etwa PNG- und WAV-Mediendateien oder Datenbanken. Für das Kalkül des Angreifers ist es sinnvoll, ein Datenformat als Versteck auszuwählen, das keinerlei Verdacht erregt.

Da der Einsatz von Steganographie-Techniken ein tiefes Verständnis des Zielformats erfordert, wird es in der Regel von erfahrenen Cyberkriminellen angewendet, die über einen langen Zeitraum unentdeckt bleiben wollen. Die Entwicklung einer Steganographie-Technik braucht Zeit, und mehrere Blogs haben detailliert beschrieben, wie Angreifer wie OceanLotus oder Turla das Verstecken von Malware für ihre Zwecke eingesetzt haben. Publikationen wie diese ermöglichen es anderen Angreifern, die Technik zu kopieren und nach eigenem Ermessen anzuwenden.

Resümee

Was die Schadsoftware in WAV-Dateien betrifft, haben sich die Angreifer mit ihrem Ansatz durchaus als kreativ erwiesen – einschließlich der Verwendung mehrerer Dateien mit unterschiedlichen Dateiformaten. Experten haben mehrere Loader entdeckt, die bösartige Codes aus WAV-Audiodateien extrahieren und ausführen. Die darauf aufbauende Analyse von BlackBerry ergab, dass die Malware-Urheber dafür eine Kombination aus Steganographie und anderen Kodierungstechniken verwendet haben. Strategien wie diese erlauben es Angreifern, ihre ausführbaren Inhalte zu verbergen, was die Erkennung zu einer schwierigen Aufgabe macht.

Im konkreten Fall bestand das Ziel der Angreifer darin, kriminelle Krypto-Mining-Aktivitäten durchzuführen und eine Verbindung in das Netzwerk für die Ausführung und Kontrolle der entsprechenden Systeme herzustellen. Augenfällige Ähnlichkeiten zwischen diesen Methoden und bekannten Angriffsmuster könnten dem Zweck dienen, bereits bekannte Strategien nachzuahmen, vielleicht um eine direkte Zuschreibung zu vermeiden. Einen Lichtblick gibt es jedoch: Fortschrittliche Sicherheitsprodukte verfügen bereits heute über Anti-Exploitation-Funktionen, die verhindern, dass die schädlichen Ladungen aus den Dateien im Speicher ausgeführt werden.
 

Josh Lemos, Vice President of Research and Intelligence
Josh Lemos
Vice President of Research and Intelligence, BlackBerry Cylance

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!