H1N1 Lader

Die H1N1-Malware wurde erstmals in freier Wildbahn als einfacher Lader erkannt. Sie wurde beauftragt, andere komplexere Malware-Bedrohungen auf den bereits gefährdeten Computer zu übertragen. Es erlebte jedoch eine rasante Entwicklung, und die dahinter stehenden Hacker rüsteten die Bedrohung mit verschiedenen Bedrohungsfunktionen aus, z. B. Verschleierungstechniken zur Verhinderung von Analyseversuchen, Bypass-Funktion zur Benutzerkontensteuerung, Datenerfassung und Selbstverbreitung im infiltrierten Netzwerk. Natürlich blieben die Laderfunktionen erhalten.

H1N1 wurde über MS Word-Dokumente mit beschädigten VBA-Makros an das Zielsystem übermittelt. Um den wahren Zweck des Makros, die starke Verschleierung, zu verbergen, werden die Zeichenfolgenfunktionen StrReverse, Ucase, Lcase, Right, Mid und Left verwendet. Die vergifteten Dokumente verwenden Social-Engineering-Taktiken, um den Benutzer davon zu überzeugen, das beschädigte Makro auszuführen, indem ein verschlüsselter Block mit der Meldung "Aktivieren Sie den Inhalt, um dieses Dokument an Ihre Version von Microsoft Word anzupassen" angezeigt wird. Das Endziel des Makros besteht darin, eine ausführbare H1N1-Datei auf% temp% abzulegen und dann auszuführen.

H1N1 selbst verwendet zwei Anti-Erkennungs- und Analysetechniken - String-Verschleierung und Import-Verschleierung durch Import-Hashing. Die Verschleierung von Zeichenfolgen wird durch die Verwendung von SUB, XOR und ADD mit festen DWORD-Werten erreicht. Wenn jede Operation aufgelöst ist, wird sie als Eingabe für die nächste verwendet.

Um die Benutzerkontensteuerung (User Account Control, UAC) von Windows-Systemen zu umgehen, hat H1N1 eine Sicherheitsanfälligkeit bezüglich DLL-Hijacking ausgenutzt. Das eigenständige Windows Update-Installationsprogramm (wusa.exe) wurde gezwungen, eine beschädigte DLL-Datei als Prozess mit hoher Integrität auszuführen, ohne eine UAC-Antwort auszulösen. Ein weiteres Tool, das an H1N1 angeschlossen war, war eine Prozessabbruchfunktion. Die Bedrohung verfügt über eine interne Liste von Prozessen. Wenn auf dem gefährdeten System eine Übereinstimmung festgestellt wird, wird diese über den Befehl 'cmd.exe/c net stop [Dienstname]' beendet. Es wird auch verhindert, dass der Prozess bei einem nachfolgenden Systemstart über 'cmd.exe/c sc config [Dienstname]start=disabled' gestartet wird . Die Liste von H1N1 bestand aus 5 Prozessen, von denen vier waren:

  • MpsSvc - Windows-Firewalldienst
  • wscsvc - Windows Security Center-Dienst
  • WinDefend - Windows Defender Service
  • wuauserv - Windows Update Service.

Ein ziemlich eigenartiger Aspekt von H1N1 war die Fähigkeit, Systemsicherungen zu löschen. Diese Funktionalität wird häufig von Ransomware-Bedrohungen verwendet, bei anderen Malware-Typen jedoch nur selten. In diesem Fall werden die Shadow Volume-Kopien der Dateien über die Datei ' vssadmin.exe delete shadows / quiet / all ' gelöscht , während die Standardoptionen für die Windows-Wiederherstellung durch Ausführen von bcdedit-Befehlen deaktiviert wurden.

Der drastischste Verhaltenswechsel war jedoch der Übergang von H1N1 von einer Loader-Malware zu einer potenziellen Bedrohung für die Datenexfiltration. Der H1N1-Loader kann Anmeldeinformationsdaten aus Firefox extrahieren. Es suchte in allen Systemprofilen nach der Anmeldedatendatei 'logins.json' und filterte die Werte heraus, die mit den Schlüsseln 'encryptedUsername', 'encryptedPassword' und 'Hostname' übereinstimmten. Um Zugriff auf die Anmeldeinformationen des Internet Explorers zu erhalten, hat die Bedrohung zunächst den URL-Cache aufgelistet, die URLs dort gehasht und versucht, sie mit den in - HKLM \ Software \ Microsoft \ Windows NT \ Aktuelle Version \ Windows Messaging-Subsystem \ Profile \ Outlook und HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profile \ Outlook gespeicherten Werten abzugleichen.

Der H1N1 Loader ist ein perfektes Beispiel dafür, wie durch Iteration und ständige Weiterentwicklung auch nicht so ausgefeilte Bedrohungen zu wichtigen Bestandteilen der Toolkits von Cyberkriminellen werden können.

Im Trend

Am häufigsten gesehen

Wird geladen...