Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

IT-Sicherheits-Küche

Кухня

Andere Ausgaben dieser Rubrik (11)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Im Virenschutz ist nichts entbehrlich

Gelesen: 516 Kommentare: 10 Rating: 13

Montag, 28. September 2020

In einem Film kommt ein Auftragsmörder unter dem Deckmantel eines Entomologen ins Ausland und erstellt ein Zielfernrohrgewehr aus scheinbar harmlosen Komponenten.

Wir betonen es immer wieder: Alle Virenschutzkomponenten sind wichtig. Aber viele Nutzer glauben immer noch, dass ein Antivirus, der Dateien beim Start oder Herunterladen scannt, ein Allheilmittel ist. Dies nutzen Hacker aus und tarnen Viren in angeblich harmlosen Dateien. Wenn die Datei heruntergeladen wird, scheint sie virenfrei zu sein. Aber später erscheint ein Virus. Ein Wunder? Nein, eine Art Baukasten. Hier ist ein Beispiel:

Menlo Security veröffentlichte die Beschreibung des HTML-Smuggling-Verfahrens, das es ermöglicht, Sicherheitssysteme (einschließlich Sandboxen) zu umgehen.

Zunächst möchten wir einige Begriffe erläutern. Um Sicherheitstools zu umgehen und ein bösartiges Objekt über einen Webbrowser auf das Gerät zuzustellen, werden binäre Objekte (Javascript Blobs) verwendet. Der Nutzer klickt auf den Link, der eine Website mit einer JavaScript-Datei öffnet, die ein ZIP-Archiv als base64-codierte binäre Daten herunterlädt. Das Archiv wird nicht als Datei, sondern als Datenstrom übertragen. So wird es von Sicherheitstools übersehen. Eine ZIP-Datei wird dynamisch aus dem BLOB-Objekt mit dem MIME-Typ „octet-stream“ erstellt.

Beim Aufruf der JSCRIPT-Datei (d.h. wenn der Nutzer die Website besucht) wird eine ZIP-Datei heruntergeladen.

Interessant ist, dass diese ZIP-Datei die Dateiendung .jpg hat. Die Datei wird in den Ordner „Public Documents“ heruntergeladen. Aus dem ZIP-Archiv werden zwei ausführbare Dateien extrahiert: Avira.exe und rundll.exe. Die Datei Avira.exe wird nach dem Zufallsprinzip umbenannt. Die neue Datei hat die Endung .exe. Die Datei rundll.exe wird ebenfalls nach dem Zufallsprinzip umbenannt. Die neue Datei hat die Endung .bmp.

Die extrahierte Datei Avira.exe stellt eine signierte Datei mit einer Größe von ~ 500 MB dar.

Quelle

Auf das Gerät des Nutzers wird also nicht eine Datei, sondern ein Strom von Bytes übertragen. Eigentlich werden alle Dateien als Strom von Bytes übertragen, aber in diesem Fall wird den Sicherheitstools vorgetäuscht, dass nicht eine Datei, sondern ein Datenstrom als Teil eines Skripts übertragen wird. Nach Erhalt des Datenstroms wird er in ein Archiv konvertiert, aus dem Dateien extrahiert werden.

Wenn eine solche JSScript-Datei mit einem Multiscanner wie VirusTotal gescannt wird, wird sie höchstwahrscheinlich als harmlos eingestuft, da die Payload erst bei der Ausführung der Datei aktiviert wird, aber Multiscanner starten Dateien nicht (mehr Informationen finden Sie in dieser Ausgabe). Darüber hinaus kann diese Datei nicht einmal an einen Multiscanner gesendet werden, da sie künstlich auf 500 MB vergrößert wird. Multiscanner können jedoch nur Dateien unter 500 MB verarbeiten.

Kann ein solcher Trojaner erkannt werden? Ja. Wenn der Antivirus Datenströme analysieren und Dateien daraus zusammenstellen kann, können solche Trojaner bereits beim Herunterladen erkannt werden – vorausgesetzt, das ZIP-Archiv ist nicht passwortgeschützt, sonst kann kein Antivirus Daten aus dem Archiv extrahieren. Falls die Ransomware schon gestartet wurde, wird der Dr.Web Präventivschutz ausgelöst.

#Dr.Web #Präventivschutz #Technologien #Trojaner

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Vergessen Sie nicht: In einem Virenschutzprogramm ist nichts entbehrlich. Jede Komponente ist für einen bestimmten Arbeitsbereich verantwortlich und spielt eine wichtige Rolle im Virenschutz.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer