Die Forscher von Check Point warne davor, dass bei diesem Angriff legitime Geschäftsanwendungen dazu gebracht werden, kompromittierte, aber harmlos aussehende DLL-Dateien (Dynamic Link Library) auszuführen, was ihre Erkennung und Abwehr erschwert.
„DLL-Sideloading“ ist eine Technik, mit der Cyberkriminelle bösartigen Code auf einem Zielsystem ausführen, indem sie die Art und Weise ausnutzen, wie Windows DLLs lädt. Sideloading missbraucht den üblichen Windows-Prozess, der es dem Betriebssystem ermöglicht, Anwendungen zu laden. Hacker führen diesen Angriff in drei Schritten aus:
Für Cyberkriminelle besteht der Hauptvorteil des DLL-Sideloadings darin, dass eine legitime Anwendung eine bösartige DLL lädt, was ihre Identifizierung erschwert, da die DLL im Kontext der vertrauenswürdigen Anwendung ausgeführt wird.
Check Point hat einen Fall beobachtet, bei dem ein Unternehmen von einer neuen Version des Banking-Trojaners „Casbaneiro“ angegriffen wurde. Diese Malware nutzt legitime Ressourcen von Amazon und GitHub, um DLL-Sideloading-Angriffe auszuführen. In diesem Fall verwendete sie eine scheinbar harmlose ausführbare Datei, die ursprünglich „identity_helper.exe“ hieß und in „mssedge.exe“ umbenannt wurde, um eine bösartige DLL namens „msedge_elf.dll“ per Sideloading zu laden.
Der Trojaner wurde bei drei verschiedenen Angriffen entdeckt, die jeweils durch einen eindeutigen Sample-Hash identifiziert wurden. Die Angriffskette begann mit einer bösartigen MSI-Datei von einer Amazon AWS-URL, die eine ZIP-Datei mit der anfälligen ausführbaren Datei (Microsoft Edge PWA Identity Proxy Host) und der bösartigen DLL (msedge_elf.dll) extrahierte. Die DLL wurde dann verwendet, um eine Verbindung zu einem GitHub-Projekt herzustellen, das eine verschleierte Adresse eines C&C-Servers speichert.
Die Malware entschlüsselte daraufhin den Puffer in einen HTTP-Pfad, der als C2 dient (hxxp://pushline.gotdns[.]ch/onBo/). Nach der Entschlüsselung versuchte sie, mit den Cyberkriminellen zu kommunizieren, die sie erstellt hatten. Schließlich durchsuchte die Malware die Registerkarten aktiver Browser (IE, Chrome, Explorer, Firefox) und E-Mail-Dienste (Outlook und Microsoft 365), um Anmeldedaten und Kreditkarteninformationen von einer Reihe von Zahlungssystemen, Banken und Kryptowährungsbörsen zu erhalten.
Um sich gegen DDL-Sideloading zu verteidigen, empfehlen die Security-Experten Threat Emulation, die Statistiken und EXE-DLL-Paare analysiert, um festzustellen, ob eine legitime EXE von einem anomalen DLL-Partner begleitet wurde. Bei diesem Ansatz wird überprüft, ob die ausführbare Datei für bestimmte DLL-Namen und entsprechend für DLL-Sideloading anfällig ist, und die aktuelle DLL anhand dieser Bedingung bewertet.
Verfügt die jeweilige Threat Emulation über einen großen Datenvorrat und ist damit in der Lage, bekannte ausführbare Dateien auszumachen, die für DLL-Sideloading anfällig sind, kann ein DLL-Partner identifiziert werden. Ist dieser gefunden, wird die DLL zusammen mit der ausführbaren Datei emuliert, um bösartige Aktivitäten auszulösen. Daraufhin werden diese DLLs mithilfe spezieller Modelle für maschinelles Lernen einer eingehenden statischen Prüfung und Analyse unterzogen. Schließlich verifiziert Threat Emulation, dass die DLL nicht offiziell mit ihrem Begleiter verwendet wird, um Fehlalarme zu minimieren.
Unternehmen, die auf Threat Emulation setzen, sind gegen die oben beschriebenen Angriffe gewappnet. Über die oben beschriebene Methode wurden mehrere kommerzielle Organisationen angegriffen, darunter Einzelhandelsgeschäfte und Unternehmen. Alle wurden von den Threat Emulation-Engines von Check Point geschützt.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.