ESET-Analyse zeigt: Windows PowerShell ist tückisches Einfallstor für Malware
ID: 1230120
Administratorenkonsole wird immer öfter von Malware missbraucht
Dies macht es Security-Programmen schwer, bösartige Software auch als solche zu identifizieren. In einem aktuellen Artikel auf seinem Security-Blog WeLiveSecurity zeigt ESET anhand einer PowerShell-Malware auf, welche Tücken und Sicherheitsrisiken von der PowerShell ausgehen.
Gefahr durch Dateitransfer über PowerShell
Die seit Windows 7 in allen Windows-Betriebssystemen vorinstallierte PowerShell bietet eine grafische Entwicklungsumgebung und eine eigene Skriptsprache namens "PowerShell Scripting Language". Mit Hilfe der Konsole lassen sich Dateien auf verschiedenen Wegen herunterladen. Die Befehle dazu lauten:
1.DownloadFile
Erlaubt den Download von einer Internetadresse direkt auf den PC
2.DownloadString
Erlaubt den Download und die Ausführung eines PowerShell-Skripts
3.Invoke-WebRequest
Eine weitere Möglichkeit, eine Datei aus dem Internet herunterzuladen
4.Start-BitsTransfer
Erlaubt, mit Hilfe des intelligenten Hintergrundübertragungsdienstes von Windows (BITS) und dem Standard-Cmdlet Start-BitsTransfer einen Auftrag zu erstellen, um eine Datei herunterzuladen. Hier muss zuvor das Modul BitsTransfer mit dem Befehl Import-Module importiert werden
Die genannten Befehle werden von PowerShell-Schädlingen genutzt, um zusätzlichen Schadcode auf den Computer des Opfers zu laden. Die Methode DownloadString bietet darüber hinaus den Vorteil, dass ein PowerShell-Skript direkt nach dem Download im Speicher ausgeführt werden kann ? ohne notwendige Kopie auf die Festplatte.
Malware, die (fast) ohne Dateien auskommt
Eine Schadsoftware, die sich die genannten Befehle der Windows PowerShell zu Nutze macht, ist Win32/Bedep. Nachdem sich das Opfer damit infiziert hat, erstellt Bedep einen Eintrag in der Windows-Registry, dadurch bleibt die Software auch nach einem System-Neustart aktiv.
Der Registrierungseintrag bewirkt, dass der Windows Explorer bei jedem Systemstart eine Instanz des Kommandozeilenprogrammes cmd.exe ausführt, die wiederum eine unsichtbare, nicht interaktive Instanz der PowerShell startet. Hierbei werden mehrere Befehle übergeben, um den Command & Control-Server (C&C Server) des Botnetzes zu kontaktieren.
Daran interessant ist, dass es sich bei den Daten um ein PowerShell-Skript handelt, das für den Nutzer unsichtbar einen x86-Shellcode ausführt. Dieser Shellcode ähnelt in seinem Aufbau stark den Shellcodes des quelloffenen Penetrationtesting-Werkzeugs Metasploit. Er besorgt sich zunächst die Adressen der benötigten Windows API-Funktionen, indem er den sogenannten Process Environment Block (PEB) durchläuft. Der PEB wird intern vom Betriebssystem verwendet und beinhaltet eine Reihe an Daten, die für den fehlerfreien Betrieb eines Prozesses notwendig sind, unter anderem auch eine doppelt verkettete Liste mit den Adressen der API-Funktionen der verwendeten Laufzeitbibliotheken (DLLs).
Nachdem sich der Shellcode die Adressen besorgt hat, reserviert er einen Speicherbereich und kontaktiert den C&C-Server. Als Antwort sendet der C&C-Server einen zweiten x86-Shellcode in den zuvor reservierten Speicherbereich zurück. Dieser zweite, zweistufige Shellcode beinhaltet auch die eigentliche Payload in Form einer mit PECompact komprimierten DLL-Datei. Zunächst entschlüsselt die erste Stufe die verschlüsselte zweite Stufe. Hierbei handelt es sich um eine einfache XOR-Verschlüsselung mit dem Schlüssel 0x21.
Die zweite Stufe besteht aus einem Loader und der eigentlichen Payload. Der Loader kümmert sich zunächst darum, dass die aktuellen Windows API-Funktionsadressen in den sogenannten Import Address Table (IAT) der Payload geschrieben werden. Diese Aufgabe übernimmt normalerweise der Windows-Loader vor dem Ausführen einer Datei, damit das eigentliche Programm die API-Funktionen während der Laufzeit aufrufen kann. Da die Payload aber direkt vom Speicher aus von einem Shellcode gestartet wird, muss sich der Shellcode selbst um diese Aufgabe kümmern.
Nachdem die aktuellen Funktionsadressen in den IAT der Payload geschrieben wurden, ruft der Loader die Startadresse der Payload auf. Anschließend führt das Betrugs-Modul im Speicher seine schädlichen Routinen aus.
Fazit: Noch nicht ausgereift, aber Vorbild für neue Malware
Die beschriebene Variante des Bots Win32/Bedep nutzt eine interessante Technik, um mittels Windows PowerShell und einem einfachen Registry-Eintrag die dauerhafte Präsenz auf dem Computer eines Opfers zu bewerkstelligen. Die einzige Spur der Schadsoftware auf dem System ist dabei der Registry-Schlüssel, alle weiteren Teile werden unsichtbar im Arbeitsspeicher ausgeführt.
Win32/Bedep lief im ESET-Labor instabil und brachte gelegentlich das Windows-Testsystem zum Absturz. Richtig implementiert könnte diese Methode jedoch eine ernsthafte Bedrohung sein, auch wenn sie durch die Ausführung von cmd.exe und dem damit verbundenen Kommandozeilenfenster nach jedem Systemstart visuell recht auffällig ist ? für erfahrene Nutzer eine deutliche, ebenso große Auffälligkeit wie der Aufbau einer Internetverbindung durch die PowerShell.
Um sich vor Malware wie Win32/Bedep bestmöglich zu schützen, rät ESET zum Einsatz einer aktuellen Security-Software, beispielsweise ESET Smart Security oder ESET NOD32 Antivirus.
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Über ESET
Seit 1992 schützt ESET mit modernsten Antimalwarelösungen Unternehmen und Privatanwender vor PC-Schädlingen aller Art. Der slowakische Sicherheitsspezialist gilt ? dank der vielfach ausgezeichneten ThreatSense-Engine ? als Vorreiter bei der proaktiven Bekämpfung selbst unbekannter Viren, Trojaner und anderer Bedrohungen. Die hohe Malwareerkennung und Geschwindigkeit sowie eine minimale Systembelastung zeichnen alle ESET-Produkte, wie beispielsweise ESET NOD32 Antivirus und ESET Smart Security, aus. ESET hat seine Zentrale in Bratislava (Slowakei) und besitzt eigene Niederlassungen in Prag (Tschechische Republik), San Diego (USA), Bristol (UK), Buenos Aires (Argentinien), Singapur und Jena. ESET-Lösungen sind über ein Netz exklusiver Distributoren in mehr als 180 Ländern weltweit erhältlich.
www.eset.de
Hanauer Landtstr. 182A, 60314 Frankfurt am Main
Datum: 25.06.2015 - 13:30 Uhr
Sprache: Deutsch
News-ID 1230120
Anzahl Zeichen: 6195
Kontakt-Informationen:
Ansprechpartner: Carolin Westphal
Stadt:
Jena
Telefon: +49 69 405702 563
Kategorie:
IT & Hardware & Software & TK
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 533 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"ESET-Analyse zeigt: Windows PowerShell ist tückisches Einfallstor für Malware"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Jena, 10. September 2015 ? Der europäische Security-Software-Hersteller ESET registriert eine zunehmende Anzahl zielgerichteter Angriffe auf Unternehmen des Finanzsektors. Möglicher Urheber sind die so genannten "Carbanak" Cyber-Bankräuber. Sie hatten Ende letzten Jahres für Aufsehen
Deutschland im Fadenkreuz: ESET analysiert tückische Spam-Software ...
Jena, 27. August 2015 ? Der europäische Security-Software-Hersteller ESET hat eine Malware analysiert, die hauptsächlich in Deutschland wildert: Trustezeb. Seit Monaten befindet sich die Schadsoftware in den Top10 des ESET Virus Radars. Betrachtet man die globalen Infektionsraten, so fällt di
ESET analysiert aktuelle Firefox-Sicherheitslücke: Schon vor Bekanntwerden unter Feuer ...
Jena, 12. August 2015 ? Der beliebte Mozilla Firefox-Browser hatte jüngst mit einer gefährlichen Sicherheitslücke zu kämpfen: Ein kritischer Fehler im eingebetteten PDF-Viewer erlaubte Angreifern das Ausführen von bösartigem JavaScript-Schadcode aus der Ferne. Zwar behebt Mozilla das Problem m
Weitere Mitteilungen von ESET Deutschland
Einführung von Netzlaufwerken ermöglicht Integration von 3rd-Party-Anwendungen: PROTONET präsentiert SOUL 2.5 ...
Hamburg, 24. Juni 2015 – Kundenwünsche gehört und prompt umgesetzt: Die PROTONET GmbH, Anbieter der soft- und hardwarebasierten Produktivitätslösungen MAYA, CARLITA und CARLA, startet mit Version 2.5 des intelligenten Betriebssystems SOUL durch und punktet gleich dreifach in Effizienz, Produkt
IDC-Studie zeigt Defizite im Data Mining ...
Unternehmen aller Größen und aller Branchen ersticken in Daten und sind kaum dazu in der Lage, Data Mining in ihren Datenarchiven zu betreiben, um wichtige Erkenntnisse zu gewinnen, die letztendlich die Geschäftsergebnisse verbessern können. Ein kleiner Teil der Unternehmen nutzt in der Tat sein
3D CAD Downloadportal PARTcommunity von CADENAS glänzt in Version 4.0 mit neuen Funktionen ...
Die CADENAS GmbH stellt die neue Version 4.0 ihres 3D CAD Downloadportals PARTcommunity vor. Unter www.partcommunity.com werden Ingenieuren und Einkäufern nun zahlreiche neue Funktionen, ein nochmals verbessertes Look & Feel sowie ein für mobile Endgeräte optimiertes Downloadportal geboten.
Ab Juli 2015: Neue Domains wie .news, .express, .team starten. Der Run bei Power-Netz kann beginnen! ...
Bad Gandersheim, 24.06.2015: Der niedersächsische Webhoster Power-Netz bietet ein breites Angebot an Domainendungen. Das Portfolio bei Power-Netz wird monatlich durch bis dato noch nicht vorhandene neue Domainendungen (nTLD) erweitert. "Im Juli 2015 starten die Registrierungsstellen mit 13
