BendyBear

Die Forscher von Palo Alto Networks haben eine neue hochentwickelte Malware-Bedrohung entdeckt. Die Bedrohung wurde BendyBear genannt, da es starke Verbindungen zwischen ihr und WaterBear gibt, einer modularen Malware, die in einer Angriffskampagne verwendet wird, die seit mindestens 2009 durchgeführt wird. Obwohl WaterBear als Implantat mit einer Vielzahl bedrohlicher Funktionen eingestuft wurde, z. B. Dateimanipulation und -exfiltration, Shell-Zugriff, Screenshot-Grabber und mehr, kommt den Funktionen von BendyBear nicht einmal nahe.

 Die Infosec-Forscher, die BendyBear analysiert haben, beschreiben es als die fortschrittlichste chinesische Malware, die bisher erstellt wurde. Sie führen die Freisetzung der Malware-Bedrohung auch auf die Cyberspionage-Gruppe BlackTech zurück, die Angriffskampagnen gegen Technologieunternehmen und Regierungsbehörden in Ostasien durchgeführt hat.

 Bei der Bereitstellung auf dem Computer des Ziels fungiert BendyBear als Implantat der Stufe Null, das mit der Bereitstellung einer robusteren Nutzlast der nächsten Stufe beauftragt ist. Daher ist es das Ziel der Angreifer, die Bedrohung so verborgen wie möglich zu halten. Es mag dann nicht intuitiv erscheinen, dass BendyBear mit über 10.000 Byte Maschinencode erheblich größer ist als andere Bedrohungen des gleichen Typs. Die größere Größe hat es den Hackern jedoch ermöglicht, ihr Malware-Tool mit einer Vielzahl komplexer Techniken zur Erkennungs- und Analyze-Vermeidung zu versehen.

 Ausgefeilte Stealth- und Detection-Evasion-Funktionen

 Die Bedrohung besitzt eine sehr formbare Struktur. Es prüft auf Anzeichen von Anti-Debugging-Tools und versucht, eine statische Erkennung durch positionsunabhängigen Code zu vermeiden. Jede Kommunikationssitzung mit der Command-and-Control-Infrastruktur (C2, C & C) der Kampagne wird von der Generierung eines eindeutigen Sitzungsschlüssels begleitet. Um den von ihm verursachten abnormalen Datenverkehr zu verbergen, versucht BendyBear, sich mithilfe eines gemeinsamen Ports (443) in den normalen SSL-Netzwerkverkehr einzufügen.

 Für die Verschlüsselung verwendet BendyBear eine modifizierte RC4-Verschlüsselung. Weitere einzigartige Aspekte der Bedrohung sind der polymorphe Code, mit dem der Laufzeit-Footprint während der Codeausführung geändert werden kann, und die Möglichkeit, eine Signaturblocküberprüfung durchzuführen. Zum Speichern der Konfigurationsdaten nutzt BendyBear einen bereits vorhandenen Registrierungsschlüssel, der in Windows 10-Systemen standardmäßig aktiviert ist. Um die Spuren, die es hinterlässt, weiter zu minimieren, lädt die Bedrohung die Nutzdaten der nächsten Stufe direkt in den Speicher des gefährdeten Systems, ohne sie auf der Festplatte abzulegen.

 BendyBear ist ausnahmsweise schwer zu erkennen, und Unternehmen müssen wachsam bleiben, um den Angriff in einem frühen Stadium zu fangen.