Banking-Trojaner Ursnif unter die Lupe genommen

Palo Alto Networks liefert Details zur Malware, die Sicherheitslösungen umgeht

Santa Clara, (PresseBox) - Unit 42, die Forschungsabteilung von Palo Alto Networks, veröffentlicht eine Aufschlüsselung der Distributionsnetze, die Banking-Trojaner wie Ursnif nutzen, um Ziele in Europa und Japan ins Visier zu nehmen. Ursnif, auch bekannt als Gozi, ist ein bekannter Banking-Trojaner, der es weiterhin auf Millionen von Nutzern auf der ganzen Welt abgesehen hat. Aufgrund seiner Malwareanalyse-Ausweichtechniken erweist sich Ursnif für herkömmliche Sicherheitsinstrumente als schwierig.

Ursnif hat verwendete bislang zwei primäre Übertragungsmethoden: Malspam und Exploit-Kits. Vor kurzem nutzte Ursnif Malspam, also E-Mails mit bösartigen Anhängen. Der Anhang enthielt einen JavaScript-Downloader, der Ursnif von einem entfernten Standort herunterlädt und ihn auf dem Gerät des Benutzers ausführt. Bei anderen Malspam-Angriffen von Ursnif kamen passwortgeschützte angehängte Office-Dokumente zum Einsatz, eine Technik, die die Erkennung durch automatisierte Analyse-Tools minimiert. Der E-Mail-Textkörper enthielt ein Passwort für den Zugriff auf die Anlage, wodurch die Legitimität der E-Mail erhöht werden sollte. Wenn das Opfer die Anlage öffnete, wurde dessen System infiziert und die Kommunikation mit einem Befehls- und Kontrollserver wurde aufgebaut. Von diesem C2-Server (Command & Control) wurden regelmäßig Befehle, wie etwa für die Installation zusätzlicher Bedrohungen, gesendet.

Ursnif wurde auch über RIG-Exploit-Kits ausgeliefert. Wenn ein Opfer eine kompromittierte Website besuchte, erfolgte eine Weiterleitung auf die RIG-Zielseite, von der aus der Exploit das System des Opfers erfasste, um festzustellen, welcher Angriff am besten funktionieren würde. Dann wurde der Angriff ausgeführt, um den Browser des Opfers zu kompromittieren und die böswillige Nutzlast auf den Rechner des Opfers geschleust.

In beiden Fällen kann der Trojaner die Malwareanalyse-Tools erkennen und auf Virtualisierung überprüfen. Wenn sie sich in einer Analyseumgebung befindet, wird der Trojaner die Durchführung von böswilligen Aktivitäten vermeiden, so dass es schwierig ist, die Malware als solche zu erkennen.

Ursnif ist eine weit verbreitete, sich weiterentwickelnde Bedrohung, die über mehrere Angriffsvektoren verschiedene Funktionen einsetzt. Neuere Versionen der Bedrohung erlauben es Angreifern, in Daten zu stöbern und beispielsweise Bank- und Kreditkarteninformationen zu stehlen, Passwörter über Screenshots und Keylogging zu erfassen, beliebige zweite Nutzlasten auszuführen sowie zusätzliche Dateien zu infizieren, um andere Maschinen zu kapern und für die Peer-to-Peer-Kommunikation zwischen verschiedenen Ursnif-Instanzen im selben Netzwerk.

Was kann man dagegen tun? Der Bedrohungsanalyse-Dienst Traps von Palo Alto Networks nutzt einen Multi-Methoden-Ansatz für die Malware- und Exploit-Prävention, um Bedrohungen wie Ursnif zu blockieren, unabhängig davon, ob sie über Exploit-Kits oder Malspam ausgeliefert werden.

Traps untersucht Makros in Microsoft-Office-Dateien, wenn die Dateien geöffnet werden, wobei lokale Kontrollen durchgeführt werden, um festzustellen, ob die Makros böswillig sind oder nicht. Wenn ein Makro böswillig ist, wird es daran gehindert, dass es ausgeführt wird. Wenn die Datei, die das Makro enthält, nicht bekannt ist, wird sie mittels lokaler Analyse durch maschinelles Lernen untersucht. In diesem Prozess überprüft Traps verschiedene Dateieigenschaften, um festzustellen, ob das Makro bösartig oder gutartig ist. Mit der von WildFire verfügbaren Bedrohungsintelligenz wird ein maschinelles Lernmodell trainiert, um Malware zu erkennen, auch nie zuvor gesehene Varianten. Darüber hinaus sendet Traps die Datei mit dem Makro automatisch an WildFire für eine Reihe von Prüfungen, einschließlich statischer, dynamischer und Bare-Metal-Analyse für die vollständige Ausführung auf der Hardware, um auch Bedrohungen mit ausgeklügelter Ausweichtaktik – wie bei Ursnif – zu identifizieren.

Um präventiv gegen Exploits vorzugehen, greift Traps auf einen einzigartigen Ansatz zurück und konzentriert sich auf die Techniken, die bei allen Exploit-basierten Angriffen verwendet werden und sich selten ändern. Traps verhindert auch, dass Angreifer anfällige Endpunkte identifizieren und ins Visier nehmen. Profiling-Versuche, die von Exploit-Kits verwendet werden, werden mit dem „Exploit Kit Fingerprinting Protection Exploitation“-Präventionsmodul blockiert. Durch die Fokussierung auf die Kern-Exploit-Techniken und die Blockierung von Profiling-Versuchen, die von Exploits verwendet werden, kann Traps Exploits verhindern, sobald entsprechende Versuche gestartet werden und bevor ein Endpunkt kompromittiert werden kann.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Authentifizierung für Kunden - schnell, einfach und sicher

Iden­ti­ty and Ac­cess Ma­na­ge­ment-Lö­sun­gen (IAM) sind die Nach­fol­ger des Pass­worts im Di­gi­ta­len Zei­tal­ter. Doch je mehr auch Kun­den­kon­ten ge­schützt wer­den müs­sen, des­to mehr än­dern sich die An­for­de­run­gen an ei­ne gu­te Lö­sung. Denn ge­ra­de ei­ne Cu­sto­mer IAM-Lö­sung muss die Ba­lan­ce zwi­schen Si­cher­heit und Nut­zer­er­fah­rung fin­den.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.