SmokeBuster bekämpft SmokeLoader

Durch die Operation Endgame konnten im Mai viele bekannte Malware Loader ausgeschaltet werden. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden beschlagnahmt und über 50.000 Infektionen beseitigt. Diese großangelegte Aktion gegen eine C2-Infrastruktur hatte allerdings nur kurzfristige Wirksamkeit. SmokeLoader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.

Die Forscher vom Zscaler ThreatLabz-Team haben deshalb das Anti-Malware-Tool SmokeBuster entwickelt, um die SmokeLoader-Malware – auch unter dem Namen Dofoil bekannt – auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. SmokeBuster unterstützt 32-Bit- und 64-Bit-Instanzen von SmokeLoader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die SmokeLoader-eigene Deinstallationsfunktion. Bei der SmokeLoader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig.

Deinstallationsfunktionen von SmokeBuster

• Schließen der SmokeLoader Mutex-Vorgehensweise
• Schließen der SmokeLoader Vorgehensweise von offenen Dateien, was benötigt wird, um benutzte Dateien zu löschen
• Löschen der ausführbaren Datei von SmokeLoader, von Plugins und geplanten Aufgaben
• Löschen von Installationsverzeichnissen
• Beenden von SmokeLoader Threads ( oder explorer.exe Prozessen für Version 2017)
• Zuordnung von SmokeLoader explorer.exe aufheben
• Beenden des SmokeLoader Plugin-Prozesses

SmokeBuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, SmokeLoaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die SmokeLoader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von SmokeLoader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt SmokeBuster durch ein Remapping der SmokeLoader Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen.