Astaroth versteckt C & C-Details in YouTube-Beschreibungen

Astaroth versteckt C & C-Details in YouTube-Beschreibungen

In den zwei Jahren seit seiner Entdeckung Astaroth , wurde im September 2018 zum ersten Mal in freier Wildbahn gesehen, hat sich weiterentwickelt und Funktionen hinzugefügt, die die Leistungsfähigkeit seiner Entwickler demonstrieren. Das Info-Stehlen Trojaner Es wurde nun festgestellt, dass es ein bedeutendes Update erhalten hat, das noch mehr Funktionen bietet, die dazu beitragen sollen, der Erkennung und Analyse zu entgehen. Die jüngste Kampagne zur Verbreitung der Malware ist vorerst nur auf Brasilien beschränkt. Frühere Kampagnen richteten sich jedoch an Benutzer in Europa. Der Großteil der Aktivitäten in der Vergangenheit war jedoch auf die südamerikanische Nation beschränkt.



Die von X-Force von IBM entdeckte Malware wurde wie folgt beschrieben:



„Dieser Trojaner gibt es seit 2017 und verwendet gefälschte Rechnungs-E-Mails, die anscheinend von einem legitimen Anbieter stammen, der die cam.br-Domains verwendet. PDC schätzte, dass ungefähr 8.000 Maschinen ihrer Kunden in nur einer Woche Angriffe dieser Art erlebten. Mithilfe von CloudFlare-basierten URLs scheint die Kampagne potenzielle Kunden in Südamerika anzusprechen. Wenn ein potenzielles Opfer keine südamerikanische IP-Adresse hat, versucht die Malware nicht, das System zu infizieren. Die anfängliche Nutzlast ist eine schädliche .LNK-Datei, die auf die nächste Infektionsstufe verweist. Der Infektionsprozess verwendet die Windows Management Instrumentation Console (WMIC) und ihre Befehlszeilenschnittstelle, um die schädlichen Nutzdaten in einem nicht interaktiven Modus herunterzuladen und zu installieren, sodass der Benutzer nicht weiß, was passiert. Um sich in der Öffentlichkeit zu verstecken, verwendet die Malware eine Domain, die aus einer Liste von 154 Domains in ihrem Code ausgewählt wurde, und der Rest der URL, die auf die Nutzlast verweist, wird hinzugefügt. Alle Domänen in der Liste wurden auf CloudFlare gehostet. Mit einem solchen legitimen Anbieter ist es für Unternehmen schwieriger, böswillige Kommunikation auf die schwarze Liste zu setzen. “

Die Malware ist größtenteils auf dem gleichen Weg weitergegangen und hat sich darauf konzentriert, Informationen zu stehlen, da sich die nachfolgenden Funktionserweiterungen darauf konzentriert haben, die Erkennung und Analyse der Malware zu erschweren. Die neueste Kampagne analysiert von Cisco Talos setzt diesen Entwicklungspfad auf einige neuartige, aber nicht unbedingt neue Arten fort. Zusammenfassend hat die neueste Kampagne enthalten COVID-19 lockt um die Verbreitung der Malware weiter zu unterstützen, eine Taktik, die von zahlreichen anderen Malware-Entwicklern angewendet wurde, um die aktuelle Krise auszunutzen. Von besonderem Interesse für die Sicherheit waren die neuen Anti-Analyse- und Anti-Sandboxing-Funktionen, die in einem Labyrinth von verschleiertem Code versteckt sind, sowie die innovative Verwendung von YouTube-Kanalbeschreibungen für verschlüsselte und verschlüsselte Befehls- und Kontrollkommunikation, die von der Malware implementiert wird.



Wie die Malware verbreitet wird, hängt immer noch von Spam-E-Mail-Kampagnen ab, die vom Land leben Taktik und verschiedene andere dateilose Ausführungsmethoden. Wenn man vom Land lebt, nutzt der Angreifer normalerweise legitime Betriebssystem-Tools, um Codeteile auszuführen, die nicht auf die Festplatte geschrieben sind, sondern sich im Speicher befinden. Dies bedeutet, dass die Taktik auch die Ausführung von fileless Malware verwendet, was bedeutet, dass ein Benutzer keine benötigt Um die Malware im Formular aktiv herunterzuladen, klicken Sie auf einen schädlichen Link oder Anhang.

astaroth trojan versteckt c & c details in der youtube beschreibung

Während keine Änderungen an den Verteilungsmethoden festgestellt wurden, sind die neuen Anti-Analyse- und Anti-Sandboxing-Funktionen, wie oben erwähnt, definitiv neu. Diese neuen Ergänzungen prüfen, ob sich die Malware auf einem PC befindet und nicht in einer Sandbox-Umgebung, die von Forschern für die Malware-Analyse verwendet wird. Dies geschieht hauptsächlich, um zu verhindern, dass Forscher Regeln für Sicherheitsprodukte entwickeln, um die Malware zu blockieren. Wenn die Malware nicht analysiert wird, besteht die Möglichkeit, dass sie als Software und nicht als Malware erkannt wird. Dies bedeutet wiederum, dass die Malware ihre Aufgabe erfüllen kann, Informationen über einen längeren Zeitraum zu stehlen, wodurch mehr Verdienstmöglichkeiten für den Verkauf von Informationen im Dark Web geschaffen werden. Wie die Forscher im Bericht betonten,



„Astaroth ist von Natur aus ausweichend und seine Autoren haben alle Schritte unternommen, um seinen Erfolg sicherzustellen. Sie haben ein komplexes Labyrinth aus Anti-Analyse- und Anti-Sandbox-Überprüfungen implementiert, um zu verhindern, dass Malware erkannt oder analysiert wird. Angefangen bei effektiven und wirkungsvollen Ködern bis hin zur Verschleierung, bevor böswillige Absichten jemals aufgedeckt wurden. Anschließend werden die Werkzeuge und Techniken von Forschern und Sandkastentechnologien genauestens überprüft. Diese Malware ist von Natur aus schmerzhaft zu analysieren. “

Versteckte Befehls- und Kontrollserver

Die nächste zusätzliche Funktion, die von besonderem Interesse war, sind die Entwickler, die eine listige Taktik anwenden, um Befehls- und Kontrollserver (C & C) in YouTube-Beschreibungen zu verbergen. Auf diese Weise können die Betreiber die Kommunikationskanäle offen halten, da Sicherheitsfirmen versuchen, die Kommunikation zwischen dem infizierten Computer und dem Server zu blockieren, wodurch die Exfiltration von Daten verhindert wird. Im Fall von Astaroth ist die einem C & C-Server zugeordnete URL in der Beschreibung eines bestimmten YouTube-Kanals ausgeblendet. Sobald die Malware einen PC infiziert, wird versucht, eine Verbindung zu einem YouTube-Kanal mit einer dieser Beschreibungen herzustellen und diesen abzurufen. Die Beschreibung selbst wird mit base64-codiertem Text verschlüsselt, wobei die URLs des Befehls- und Steuerungsservers darin versteckt sind. Nach dem Dekodieren des Textes stellt Astaroth eine Verbindung zu diesen URLs her, um neue Anweisungen zu erhalten und gestohlene Informationen zur zukünftigen Speicherung zu senden.

Diese Taktik ist nicht neu und wurde in der Vergangenheit angewendet, wird jedoch nicht häufig gesehen. Möglicherweise war einer der ersten Fälle, in denen die Taktik in freier Wildbahn entdeckt wurde, ein Malware-Stamm, der als bekannt ist Janicab 2015 wurden auch verschlüsselte Nachrichten auf YouTube verwendet, um die Kommunikation aufrechtzuerhalten und nicht leicht zu erkennen. In diesem Fall wurde die verschlüsselte Nachricht im Kommentarbereich platziert. Die Malware suchte nach der Anzahl der Kommentare, die die Meldung 'Unser (. *) Psy-Jubiläum' enthielten, und wandte dann einige mathematische Operatoren an, um die URL zu erhalten.

Ein weiteres neueres Beispiel für diese Taktik stammt aus dem Jahr 2019, wobei eine Kampagne verteilt wurde Stantinko Ein Botnetz, das der erkannten Kampagne ein Crypto-Mining-Modul hinzugefügt hat. Laut Forschern

'CoinMiner.Stantinko kommuniziert nicht direkt mit seinem Mining-Pool, sondern über Proxys, deren IP-Adressen aus dem Beschreibungstext von YouTube-Videos stammen. Die Beschreibung eines solchen Videos besteht aus einer Zeichenfolge, die aus Mining-Proxy-IP-Adressen im Hexadezimalformat besteht. Das in Abbildung 1 gezeigte YouTube-Video hat beispielsweise die Beschreibung „03101f1712dec626“, die zwei IP-Adressen im hexadezimalen Format entspricht - 03101f17 entspricht 3.16.31 [.] 23 im dezimalen Punkt-Quad-Format und 12dec626 ist 18.222.198 [.] 38. Zum Zeitpunkt des Schreibens wurde das Format leicht angepasst. Die IP-Adressen sind derzeit in '!!!!' eingeschlossen, was den Prozess des Parsens vereinfacht und mögliche Änderungen der HTML-Struktur des YouTube-Videos verhindert, die den Parser funktionsunfähig machen. '

Astaroth hat noch einen Trick im Ärmel, um sicherzustellen, dass die Kommunikation zwischen infizierten Computern und dem C & C-Server offen bleibt. Das Ausblenden der URL in der Adresse ist eine von drei im Code enthaltenen Redundanzmaßnahmen. Die praktische Implikation davon ist, dass wenn YouTube Kanäle mit den versteckten URLs entfernt, es zwei weitere Methoden gibt, die die Malware verwenden kann, nämlich einen Fallback-C & C-Kanal. Die Forscher kamen zu dem Schluss, dass die in der letzten Kampagne ergriffenen Maßnahmen die Hauptziele des Malware-Betreibers bekräftigen, nämlich so lange wie möglich unentdeckt zu bleiben, um Informationen zu stehlen, die entweder durch Verkauf oder auf verschiedene andere Weise einen Gewinn erzielen können. Darüber hinaus wird die Malware ständig weiterentwickelt, was den Wunsch des Entwicklers zeigt, die Malware ständig zu verbessern, damit sie die gewünschte Aufgabe weiterhin effizient ausführen kann.

Die Betreiber haben vorerst darauf geachtet, die Kampagnen geografisch auf Brasilien zu beschränken. Dies trägt auch dazu bei, den Betrieb agil und heimlich zu halten und zu verhindern, dass die Anzahl der Sicherheitsfirmen, die versuchen, die Malware zu analysieren, auf ein Minimum reduziert wird. Wenn dies jedoch beschlossen wird, kann die Malware in viel größeren Kampagnen für Benutzer auf der ganzen Welt verbreitet werden. In diesem Fall müssen die Verteidiger darauf vorbereitet sein, die von Astaroth ausgehende Bedrohung zu mindern. Forscher als weitere Warnung zur Kenntnis genommen,

„Diese finanziell motivierten Bedrohungen werden immer raffinierter, da Gegner immer mehr Möglichkeiten finden, große Geld- und Gewinnsummen zu generieren. Astaroth ist nur ein weiteres Beispiel dafür, und Ausweichen / Anti-Analyse werden in Zukunft für den Erfolg von Malware-Familien von größter Bedeutung sein. Unternehmen müssen über mehrere Technologie- und Steuerungsebenen verfügen, um die Auswirkungen zu minimieren oder zumindest eine schnelle Erkennung und Behebung zu ermöglichen. Dies würde Sicherheitstechnologien einschließen, die Endpunkt, Domäne, Web und Netzwerk abdecken. Durch die Überlagerung dieser Art von Technologien erhöhen Unternehmen die Wahrscheinlichkeit, dass ausweichende, komplexe Malware wie Astaroth erkannt werden kann und wird. “

Interessante Artikel

Beep Ransomware

Beep Ransomware

So entfernen Sie Bip Ransomware - Schritte zum Entfernen von Viren (aktualisiert)

Yandex Browser Unerwünschte Anwendung

Yandex Browser Unerwünschte Anwendung

So entfernen Sie Yandex Browser Unerwünschte Anwendung - Anleitung zum Entfernen von Viren (aktualisiert)

Vertrauen Sie nicht gefälschten Installationsprogrammen für Zoom-Anwendungen

Vertrauen Sie nicht gefälschten Installationsprogrammen für Zoom-Anwendungen

So entfernen Sie den Zoom-Virus - Anweisungen zum Entfernen von Viren (aktualisiert)

So entfernen Sie CStealer aus dem Betriebssystem

So entfernen Sie CStealer aus dem Betriebssystem

So entfernen Sie den CStealer-Trojaner - Anweisungen zum Entfernen von Viren (aktualisiert)

Wie entferne ich die AD & POP Block Adware?

Wie entferne ich die AD & POP Block Adware?

So deinstallieren Sie AD & POP Block Adware - Anweisungen zum Entfernen von Viren

Wie finde und verwalte ich gespeicherte Passwörter in Safari?

Wie finde und verwalte ich gespeicherte Passwörter in Safari?

Wie finde und verwalte ich gespeicherte Passwörter in Safari?

So entfernen Sie XCSSET-Malware vom Betriebssystem

So entfernen Sie XCSSET-Malware vom Betriebssystem

So entfernen Sie XCSSET Malware (Mac) - Anleitung zum Entfernen von Viren (aktualisiert)

Vertrauen Sie nicht der E-Mail 'Sie haben 46 Stunden Zeit, um die Zahlung vorzunehmen'

Vertrauen Sie nicht der E-Mail 'Sie haben 46 Stunden Zeit, um die Zahlung vorzunehmen'

So entfernen Sie haben 46 Stunden Zeit, um die Zahlung per E-Mail zu tätigen - Anleitung zum Entfernen von Viren (aktualisiert)

Wie entferne ich den Junkie-Webbrowser-Hijacker?

Wie entferne ich den Junkie-Webbrowser-Hijacker?

So entfernen Sie Junkie Web Browser Hijacker - Anleitung zum Entfernen von Viren

Ihr Windows-Computer ist mit (4) Viren infiziert! POP-UP-Betrug

Ihr Windows-Computer ist mit (4) Viren infiziert! POP-UP-Betrug

So entfernen Sie Ihren Windows-Computer ist mit (4) Viren infiziert! POP-UP-Betrug - Anleitung zum Entfernen von Viren (aktualisiert)


Kategorien