Hacker haben ein Verfahren entwickelt, das es ihnen erlaubt, Skript-basierte Angriffe unbemerkt auszuführen. Sie verstecken als Hexadezimalwerte getarnte ASCII-Zeichen in gefälschten Windows-Fehlerberichten. Dekodiert ergeben die Zeichen PowerShell-Skripte. Das Verfahren ist ein Teil einer längeren Angriffskette, mit dem Ziel, Informationen über ein Computersystem zu sammeln.
Darin enthaltene Hexadezimalwerte ließen sich in einem Skript umwandeln, das wieder Kontakt zu einem Befehlsserver im Internet aufnahm, um den nächsten Schritt der Angriffskette vorzubereiten. „Auf den ersten Blick sieht es wie das Log einer beliebigen Anwendung aus“, wird John Ferrell, Vice President of ThreatOps bei Huntress Labs, in dem Bericht zitiert. „Es hat Zeitmarken, in enthält Referenzen auf eine OS-Version 6.2, was die interne Versionsnummer von Windows 8 und Windows Server 2012 ist.“
Darüber hinaus kamen bei dem Angriff Kopien von legitimen Windows-Anwendungen zum Einsatz. So stellte sich heraus, dass die Datei „BfeOnService.exe“ Microsofts Anwendung „mshta.exe“ entspricht, die für die Ausführung von HTML-Applikationen (HTA) zuständig ist. Im Rahmen des Angriffs wurde so ein VBScript ausgeführt, um PowerShell zu starten. Dafür wiederum wurde eine „engine.exe“ genannte Kopie der „powershell.exe“ benutzt. Sie schließlich extrahiert die ASCII-Zeichen aus dem falschen Fehlerbericht und generiert daraus den Schadcode.
Die Hintermänner des Angriffs integrierten zudem einen In-Memory-Patch für Microsofts Antimalware Scan Interface (AMSI), um dieses zu umgehen. AMSI hilft Antivirenprogrammen bei der Entdeckung skriptbasierter Angriffe.
Ein zweiter PowerShell-Befehl agiert schließlich als Downloader für noch einen PowerShell-Befehl mit derselben Funktion. Der Schadcode, der am Ende der Kette steht, soll Informationen über das kompromittierte System sammeln, darunter Details zu den installierten Browsern sowie Sicherheitsprodukten und Point-of-Sale-Software.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
