Die Evolution einer Malware hin zu Malware-as-a-Service am Beispiel von Xloader
Da Infostealer im Zuge von Ransomware-Angriffen zum Diebstahl vertraulicher Informationen eingesetzt werden und als Druckmittel zur Monetarisierung fungieren, lässt sich die Popularität des Geschäftsmodells somit einfach erklären. Ähnlich wie legale Software-as-a-Service-Angebote wird Malware als Dienst von verbrecherischen Gruppierungen auf Basis eines Abonnements angeboten. Die kriminellen Anbieter stellen eine Plattform bereit, die es auch Angreifern ohne Programmier-Kenntnis ermöglicht, kriminelle Machenschaften zu verfolgen. Hat ein Ransomware-Angriff zum Erfolg geführt, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten geteilt.
Xloader bietet unter anderem die folgenden Möglichkeiten:
- Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
- Erfassen von Tastenanschlägen.
- Erstellen von Bildschirmfotos.
- Stehlen von Passwörtern.
- Herunterladen und Ausführen zusätzlicher Binärdateien.
- Ausführen von Befehlen.
Xloader ist eine gut entwickelte Malware, die über zahlreiche Techniken verfügt, um Ermittler in die Irre zu führen und die Malware-Analyse zu erschweren. Dazu dienen unter anderem mehrere Verschlüsselungsebenen sowie eine eigene virtuelle Maschine. Obwohl die Autoren den Formbook-Zweig aufgegeben haben, um sich auf den Nachfolger Xloader zu konzentrieren, sind beide Stämme noch aktiv. Formbook wird nach wie vor von Hackern verwendet, die den durchgesickerten Panel-Quellcode nutzen und das C2 selbst verwalten, während die ursprünglichen Autoren nun die neue Variante als MaaS verkaufen sowie die Serverinfrastruktur unterstützen und vermieten. Es überrascht daher nicht, dass diese Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre war.
Xloader verwendet HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage wird als eine Art von Registrierung gesendet. Anschließend stellt die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder gestohlene Daten, abzugreifen. In beiden Fällen haben die GET-Parameter und die POST-Daten ein ähnliches Format und werden, wie unten dargestellt, verschlüsselt.
Darüber hinaus verwendet Xloader vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der Entdeckung zu entgehen und Malware-Analysten in die Irre zu führen.
„Infostealer spielen in Ransomware-Szenarien eine wichtige Rolle, da Angreifer auf Double-Extortion Mechanismen setzen. Somit erhöhen sie ihre Chance zur Monetarisierung des Angriffs über die bloße Geiselnahme von Daten hinaus. Die Drohung, gestohlene sensible Daten zu veröffentlichen, setzt die Opfer unter größeren Druck, das Lösegeld zu zahlen“, so Mark Lueck, CISO EMEA bei Zscaler, „und Organisationen tun gut daran, ihre Möglichkeiten zur Prävention der häufigsten Arten der Cyber-Kriminalität zu evaluieren. Zu effektiven Maßnahmen zählen auch Faktoren wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder Data Leakage Prevention, um den unbemerkten Abluß von Daten zu verhindern.“
Mehr technische Details entnehmen Sie dem Blog: https://www.zscaler.com/blogs/security-research/analysis-xloaders-c2-network-encryption
Zscaler (NASDAQ: ZS) beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SASE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.
Zscaler GmbH
Luise‑Ullrich‑Straße 14
80636 München
Telefon: +49 (89) 262071-300
Telefax: +49 (89) 557443
http://www.zscaler.com
Dr. Bastian Hallbauer-Beutler / Malte Redlin / Mark Geiger 089 747470580 Zscaler@kafka-kommunikati
Telefon: +49 (89) 747470580
E-Mail: Zscaler@kafka-kommunikation.de