Valak – was wirklich dahinter steckt

Valak wurde Ende 2019 zum ersten Mal registriert und als Loader klassifiziert, der in mehreren Aktionen speziell in den USA und nicht selten im Verbund mit Ursnif (alias Gozi) und IcedID eingesetzt wurde. Das Cybereason Nocturnus Team hat bei einer Untersuchung im April 2020 festgestellt, dass Valak hauptsächlich für Angriffe in den USA und Deutschland verwendet wird.

Dabei werden immer wieder neue Versionen (bis dato sind mehr als 30 bekannt) eingesetzt, was darauf hinweist, dass die Entwickler der Schadsoftware in der Lage sind, binnen kurzer Zeit deutliche Verbesserungen zu erarbeiten. Zu den wichtigsten Features von Valak gehören:

Anzeige
  • Fileless-Phase: Valak enthält eine Fileless- (dateilose) Phase – dabei wird die Registry genutzt, um verschiedene Komponenten zu speichern.
  • Spionage: sammelt Benutzer-, Rechner- und Netzwerkdaten von infizierten Hosts
  • Geolokalisierung: prüft die Geolokalisierung der Rechner seiner Opfer
  • ScreenCapture: fertigt Screenshots von infizierten Rechnern an
  • Download sekundärer Schadsoftware: lädt zusätzliche Plugins und andere Malware herunter
  • Unternehmen Im Visier: greift in erster Linie Administratoren und Unternehmensnetzwerke an
  • Infiltration des Exchange Servers: erfasst und stiehlt vertrauliche Informationen aus dem Microsoft Exchange Mail-System, darunter Login-Daten und das Domain-Zertifikat.

Eine der Verbesserungen und gleichzeitig die wichtigste und interessanteste Komponente neuerer Valak-Versionen ist PluginHost. PluginHost ist für die Kommunikation mit dem C2-Server und den Download zusätzlicher Plugins unter dem Namen ManagedPlugin zuständig. Unter den weiteren Plugins finden sich Systeminfo und Exchgrabber, die offensichtlich beide primär für Angriffe auf Unternehmen verwendet werden.

Die wichtigsten Ergebnisse Studie von Cybereason

  • Die Valak-Malware: Es handelt sich hier um eine ausgereifte Malware, die zu Beginn als einfacher Malware Loader kategorisiert worden war. Obwohl Valak zum ersten Mal gegen Jahresende 2019 registriert wurde, hat das Cybereason Nocturnus Team bereits jetzt eine ganze Reihe drastischer Veränderungen untersucht. Sie dokumentieren eine aus 20 unterschiedlichen Versionen bestehende Evolution über weniger als sechs Monate. Die Studie zeigt, dass hinter Valak mehr steckt als lediglich ein Loader für andere Malware, sondern dass Valak auch unabhängig verwendet werden kann, um Informationen von Einzelnen und Unternehmen auszuspionieren. 
  • Unternehmen im Visier der Angreifer: Aktuellere Versionen von Valak greifen Microsoft Exchange Server an, um E-Mail-Daten und Passwörter von Unternehmen sowie Unternehmenszertifikate zu stehlen. Auf diese Weise verschaffen Hacker sich potenziell Zugang zu wichtigen Unternehmenskonten. Die Schäden sind weitreichend und schließen Einbußen beim Markenwert ebenso ein wie den Verlust des Kundenvertrauens. 
  • Ziele in den USA und Deutschland: Dieser Angriff ist speziell auf Unternehmen in den USA und Deutschland zugeschnitten. 
  • Umfassende Features und modulare Architektur: Die grundlegenden Features von Valak lassen sich mit einer Reihe von Plugin-Komponenten für Spionagezwecke und Datendiebstahl erweitern. 
  • Schnelle Entwicklungszyklen: Valak hat sich vom einfachen Loader zu einer ausgereiften, mehrstufigen modularen Schadsoftware entwickelt, die ihre Funktionalität mithilfe von Plugins von ihrem C2-Server erweitert. So hat das Cybereason Nocturnus Team in gerade einmal 6 Monaten 20 verschiedene Versionen identifiziert.
  • Stealth-Konfiguration: Valak ist eine stealth-fähige Malware, die fortschrittliche Ausweichtechniken wie ADS einsetzt und ihre Komponenten in der Registry verbirgt. Moderne Sicherheitslösungen erkennen und filtern PowerShell mittlerweile, deswegen wird es von den Valak-Entwicklern nicht verwendet. 

Schlussfolgerung

Das Cybereason Nocturnus Team hat im Rahmen der vorliegenden Studie die neue Valak-Malware analysiert. Obwohl Valak erst Ende 2019 in Erscheinung getreten ist und damals von verschiedenen Sicherheitsanalysten als einfacher Malware Loader kategorisiert wurde, zeigt die Untersuchung, dass sich hinter Valak eine sehr viel weitreichendere Bedrohung verbirgt. Tatsächlich haben wir es hier mit einer ausgereiften modularen Schadsoftware zu tun, die über unzählige Funktionen zur Datenspionage und für den Diebstahl von Daten verfügt.

Die Entwickler haben in gerade einmal sechs Monaten 30 unterschiedliche Versionen von Valak veröffentlicht und dabei große Fortschritte gemacht. Jede dieser Versionen verfügt über erweiterte Funktionalitäten, darunter auch Ausweichtechniken, die das Aufspüren der Malware enorm erschweren. Valak verfügt über mindestens sechs Plugin-Komponenten, mit denen Hacker vertrauliche Informationen stehlen können. 

Diese erweiterten Malware-Funktionen weisen darauf hin, dass Valak sowohl unabhängig als auch zusammen mit anderer Schadsoftware eingesetzt werden kann. Es soll nicht unerwähnt bleiben, dass der für die Malware verantwortliche Threat Actor offenbar mit Gleichgesinnten innerhalb des E-Crime Ökosystems zusammenarbeitet –  mit dem Ziel eine weit gefährlichere Version der Malware zu entwickeln.

Die Angriffe mit Valak konzentrieren sich derzeit scheinbar auf Ziele in den USA und Deutschland. Es ist davon auszugehen, dass sich die Malware weiterentwickeln und sie ihre Popularität unter Cyberkriminellen steigern wird. Das Cybereason Nocturnus Team überwacht kontinuierlich die Entwicklung von Valak – auch dahingehend, ob und wann andere Regionen in Zukunft betroffen sein werden. 

Eli Salem & Lior Rochberger

www.cybereason.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.