Neuer Cyberangriffstrend: Script-basierte Malware

Palo Alto Networks hat in den letzten Monaten über Browser-Exploits, die auf Internet Explorer (IE) abzielten, ausgeklügelte Script-basierte Malware entdeckt, die Benutzer des Windows-Betriebssystems infiziert. [...]

Palo Alto Networks hat diese Scripts auf ihre Hauptmerkmale hin untersucht, um zu zeigen, warum sie für Angreifer attraktiv sind und so zu einem Trend führen könnten, der Aufmerksamkeit verdient. Tatsächlich verfügen Angreifer mit Scripting-Sprachen über flexible und leicht zugängliche Tools, mit denen sie auf einfache Weise ausgeklügelte Malware mit zahlreichen Funktionen und Verschleierungen erstellen können.

Um dies zu demonstrieren, haben die IT-Securityexperten zwei Samples von Script-basierter Malware ausgewählt, die zur Infizierung von Benutzern von Windows-Betriebssystemen eingesetzt wird. Diese Samples stammten aus zwei verschiedenen Quellen, aber aus demselben IE-Browser-Exploit, der die Schwachstelle CVE-2019-0752 ausnutzt:

• Das erste Sample ist ein JScript-RAT-Trojaner (Remote-Access-Trojaner), der Persistenz auf dem Zielsystem sicherstellt und dann eine verschlüsselte Netzwerkverbindung verwendet, um eine Verbindung zum Angreifer herzustellen. Danach kann der Angreifer beliebige Befehle auf dem Zielcomputer ausführen, um potenziell die volle Kontrolle über diesen zu erhalten.
• Das zweite Sample ist ein AutoIT-Downloader, der Netzwerkverbindungs- und Script-Funktionen zum Herunterladen und Ausführen von Malware verwendet, mit deren Hilfe Zielsysteme mit Malware wie Ransomware, Spyware etc. infiziert werden könnten.

Remote-Code-Ausführung

Bei CVE-2019-0752 handelt es sich um eine Speicher-Korruptionsanfälligkeit der Scripting Engine, die im April 2019 gepatcht wurde. Sie kann zur Remote-Code-Ausführung auf einem Zielcomputer führen. In dem untersuchten Fall wurde die Ausnutzung der Schwachstelle dazu verwendet, PowerShell-Befehle auszuführen, um die beiden hier vorgestellten Samples herunterzuladen. Eine detaillierte Beschreibung des Exploits der Schwachstelle CVE-2019-0752 findet sich im entsprechenden Blogpost der Zero Day Initiative.

Zunächst einmal wurden Scriptsprachen wie JScript, VBScript und sogar AutoIT ursprünglich entwickelt, um die Ausführung von Aufgaben in der Windows-Umgebung zu automatisieren und zu vereinfachen. Daher verfügen diese Sprachen über mehrere Funktionen, um die Aufrufe der Windows-API zu erleichtern. Aufgrund der Benutzerfreundlichkeit dieser Funktionen ist es für einen Angreifer ziemlich einfach, eine Netzwerkverbindung herzustellen oder mit der Windows-Umgebung zu interagieren und zum Beispiel Shell-Befehle auszuführen. Auch die Scriptsprachen sind oft auf einem höheren Niveau als C oder C++, leichter zu erlernen und für Angreifer leichter zugänglich. Mit nur wenigen Zeilen Code können Angreifer ein funktionierendes und flexibles Schadprogramm mit vielen Funktionen wie Netzwerkverbindung, Persistenz auf dem Zielsystem, Ausführung von Befehlen etc. erstellen.

Darüber hinaus können Angreifer viele verschiedene Techniken und Tools einsetzen, um ihre bösartigen Scripts zu verschleiern. Dabei kann es sich um sehr einfache Tools wie die Scriptverschlüsselung von Microsoft handeln, wenn der Angreifer in erster Linie schnelle Ergebnisse erzielen will, oder es kann sich um sehr starke Verschleierungen handeln, die für Sicherheitsanalysten eine Herausforderung darstellen. Dies illustriert erneut die Flexibilität von Scripts.

Starke Verschleierung

Schließlich erlauben es gefährliche Scripts Angreifern, eine starke Verschleierung zu erzeugen, um verschiedenen Arten von Erkennungen auszuweichen und so Anti-Malware-Technologien zu umgehen. Sobald die Script-basierte Malware von den Verteidigern erkannt und als Malware markiert wird, ist es für Angreifer einfacher und schneller, neue Varianten zu entwickeln, um den aktuellen Erkennungen zu entgehen.

Die vorgestellten Samples sind zwei Beispiele dafür, wie Angreifer Scripts verwenden können, um bösartige Aktivitäten auf Windows-Zielcomputern durchzuführen. Diese Scripts erfinden das Rad nicht neu, aber sie bieten den Angreifern Flexibilität und Zugänglichkeit. Diese Vorteile ermöglichen es, Befehle auszuführen und so potenziell die volle Kontrolle über die Zielmaschinen zu erlangen. Aus diesen Gründen haben Angreifer möglicherweise einen Anreiz, diese Option zu wählen.