DLL-Sideloading-Angriffe von Trojaner „Casbaneiro“

Die Forscher von Check Point warne davor, dass bei diesem Angriff legitime Geschäftsanwendungen dazu gebracht werden, kompromittierte, aber harmlos aussehende DLL-Dateien (Dynamic Link Library) auszuführen, was ihre Erkennung und Abwehr erschwert.

Wie funktioniert DLL-Sideloading?

„DLL-Sideloading“ ist eine Technik, mit der Cyberkriminelle bösartigen Code auf einem Zielsystem ausführen, indem sie die Art und Weise ausnutzen, wie Windows DLLs lädt. Sideloading missbraucht den üblichen Windows-Prozess, der es dem Betriebssystem ermöglicht, Anwendungen zu laden. Hacker führen diesen Angriff in drei Schritten aus:

1. Identifizierung: Der Angreifer identifiziert eine anfällige Anwendung, die ausgenutzt werden kann.
2. Bösartige DLL: Daraufhin platziert er eine scheinbar legitime, aber kompromittierte DLL-Datei in einem Verzeichnis. Wenn eine Anwendung ausgeführt wird, sucht sie in bestimmten Verzeichnissen nach erforderlichen DLLs. Wenn die DLL des Angreifers in einem dieser Verzeichnisse vorhanden ist, wird sie automatisch zusammen mit der legitimen Anwendung geladen.
3. Ausführung von bösartigem Code: Die kompromittierte DLL enthält die Payload des Angreifers. Durch Sideloading kann der Angreifer seinen bösartigen Code im Kontext der legitimen Anwendung ausführen.

Für Cyberkriminelle besteht der Hauptvorteil des DLL-Sideloadings darin, dass eine legitime Anwendung eine bösartige DLL lädt, was ihre Identifizierung erschwert, da die DLL im Kontext der vertrauenswürdigen Anwendung ausgeführt wird.

Casbaneiro: Eine Fallstudie von DLL-Sideloading

Check Point hat einen Fall beobachtet, bei dem ein Unternehmen von einer neuen Version des Banking-Trojaners „Casbaneiro“ angegriffen wurde. Diese Malware nutzt legitime Ressourcen von Amazon und GitHub, um DLL-Sideloading-Angriffe auszuführen. In diesem Fall verwendete sie eine scheinbar harmlose ausführbare Datei, die ursprünglich „identity_helper.exe“ hieß und in „mssedge.exe“ umbenannt wurde, um eine bösartige DLL namens „msedge_elf.dll“ per Sideloading zu laden.

Der Trojaner wurde bei drei verschiedenen Angriffen entdeckt, die jeweils durch einen eindeutigen Sample-Hash identifiziert wurden. Die Angriffskette begann mit einer bösartigen MSI-Datei von einer Amazon AWS-URL, die eine ZIP-Datei mit der anfälligen ausführbaren Datei (Microsoft Edge PWA Identity Proxy Host) und der bösartigen DLL (msedge_elf.dll) extrahierte. Die DLL wurde dann verwendet, um eine Verbindung zu einem GitHub-Projekt herzustellen, das eine verschleierte Adresse eines C&C-Servers speichert.

Die Malware entschlüsselte daraufhin den Puffer in einen HTTP-Pfad, der als C2 dient (hxxp://pushline.gotdns[.]ch/onBo/). Nach der Entschlüsselung versuchte sie, mit den Cyberkriminellen zu kommunizieren, die sie erstellt hatten. Schließlich durchsuchte die Malware die Registerkarten aktiver Browser (IE, Chrome, Explorer, Firefox) und E-Mail-Dienste (Outlook und Microsoft 365), um Anmeldedaten und Kreditkarteninformationen von einer Reihe von Zahlungssystemen, Banken und Kryptowährungsbörsen zu erhalten.

Prävention über Threat-Emulation

Um sich gegen DDL-Sideloading zu verteidigen, empfehlen die Security-Experten Threat Emulation, die Statistiken und EXE-DLL-Paare analysiert, um festzustellen, ob eine legitime EXE von einem anomalen DLL-Partner begleitet wurde. Bei diesem Ansatz wird überprüft, ob die ausführbare Datei für bestimmte DLL-Namen und entsprechend für DLL-Sideloading anfällig ist, und die aktuelle DLL anhand dieser Bedingung bewertet.

Verfügt die jeweilige Threat Emulation über einen großen Datenvorrat und ist damit in der Lage, bekannte ausführbare Dateien auszumachen, die für DLL-Sideloading anfällig sind, kann ein DLL-Partner identifiziert werden. Ist dieser gefunden, wird die DLL zusammen mit der ausführbaren Datei emuliert, um bösartige Aktivitäten auszulösen. Daraufhin werden diese DLLs mithilfe spezieller Modelle für maschinelles Lernen einer eingehenden statischen Prüfung und Analyse unterzogen. Schließlich verifiziert Threat Emulation, dass die DLL nicht offiziell mit ihrem Begleiter verwendet wird, um Fehlalarme zu minimieren.

Unternehmen, die auf Threat Emulation setzen, sind gegen die oben beschriebenen Angriffe gewappnet. Über die oben beschriebene Methode wurden mehrere kommerzielle Organisationen angegriffen, darunter Einzelhandelsgeschäfte und Unternehmen. Alle wurden von den Threat Emulation-Engines von Check Point geschützt.