Malware findet neuen Weg, ihren Jägern zu entgehen


Security-Spezialisten haben eine neue Malware entdeckt, die sich auf besonders raffinierte Weise vor der Analyse in Sandbox-Systemen oder virtuellen Maschinen schützt. In einem Blog-Beitrag beschreiben die Fachleute einen Schädling, den sie aufgrund seiner verschachtelten Struktur nach den russischen Matrjoschka-Puppen benannt haben, Matryoshka Doll Reconnaissance Framework. Die Software zielte vermutlich auf Regierungsvertreter der Nato-Staaten ab und wurde zwischen Weihnachten 2016 und Neujahr 2017 in Umlauf gebracht.

Matryoshka wird verschickt als OLE-Objekt in einem RTF-Dokument. Dieses OLE-Objekt enthält ein Adobe-Flash-Objekt, das über ein ActionScript in einem ersten Schritt eine HTTP-Abfrage an seinen Command & Control-Server ausführt. Darin enthalten sind erste Informationen über den befallenen Rechner wie die Flash-Version und das Betriebssystem. Auf diese Weise kann sich der kriminelle Hacker einen Eindruck davon verschaffen, ob es sich vielleicht um eine Sandbox oder ein virtuelles System handelt. Falls ja, bricht er den Angriff ab.

Und weiter geht es...

Wenn er sich jedoch für eine Fortführung entscheidet und der Server eine entsprechende Meldung an das Script zurückgibt, führt es eine zweite Abfrage an eine weitere URL aus und lädt von dort ein komprimiertes und verschlüsseltes Adobe-Flash-Objekt, das es anschließend entpackt. Es folgt eine dritte HTTP-Abfrage, die eine Funktion zum Laden des Payload aufruft. Anschließend wird die verschlüsselte Malware entpackt und ausgeführt.

Nachdem der Schädling entdeckt worden war, ersetzten die Hacker den ursprünglichen Payload durch eine größere Menge Junk-Daten. Das geschah offensichtlich, um die Ermittlungen zu erschweren und Sandbox-Systeme zu täuschen.

Die Struktur des Virus lässt auf eine Gruppe hochgradig professioneller Angreifer schließen. Indem die Software das befallene System zunächst untersucht, bevor sie die eigentliche Malware lädt, ist der Eindringling schwer zu entdecken. Auch die schnelle Reaktion nach den ersten Funden des Virus lässt auf erfahrene Malware-Autoren schließen. Eine Infektion bei den attackierten Nato-Vertretern wurde bislang jedoch nicht bekannt.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (2)

  1. Müller sagt:

    Habe heute einen ominösen Anruf auf meinem Festnetzanschluss von Nummer 00125 27943964 erhalten, angeblich von AZURE, mit der Aufforderung, einige Eingaben an meinen PC zu tätigen, weil MICROSOFT erkannt haben will, dass mein Rechner gefährdet sei.
    Dies klang mir sehr nach einem Pishing-Versuch.
    Ruft AZURE die Microsoft-User auf ihrem Festnetz an?

    1. Markus Z. _ sagt:

      Nein, das war wohl ein Phishing-Versuch.

Skip to main content