Remote Access Tool (RAT)

Sophos entdeckt neue Agent-Tesla-Techniken zur Umgehung der Sicherheit

, Oxford, Sophos | Autor: Herbert Wieler

Sophos entdeckt neue Agent-Tesla-Techniken zur Umgehung der Sicherheit

Sophos Erkenntnisse über neue Liefer- und Umgehungstechniken

Sophos , ein weltweit führender Anbieter von Cyber Security Lösungen der nächsten Generation, hat neue Erkenntnisse über Agent Tesla veröffentlicht: „Agent Tesla verstärkt Angriffe auf den Diebstahl von Informationen “. Hier werden die neuen Ausweichtechniken beschrieben, mit denen Angreifer den Schutz von Endpunkten deaktivieren, bevor sie die Malware einspeisen.

Die Techniken umfassen einen mehrstufigen Prozess, bei dem zunächst ein .NET-Downloader Malware-Teilstücke von legitimen Websites von Drittanbietern wie Pastebin und Hastebin abruft – die dort teilweise Öffentlichkeit gehostet werden – die Fragmente entschlüsselt, verschlüsselt und wieder zusammenfügt, damit der finale Loader mit der böswilligen Nutzlast gebildet werden kann.

Gleichzeitig versucht die Malware, den Code in der Anti-Malware-Softwareschnittstelle (AMSI) von Microsoft zu ändern – einer Windows-Funktion, mit der Anwendungen und Dienste in installierte Sicherheitsprodukte integriert werden können -, sodass der AMSI-fähige Endpoint Security Schutz nicht funktioniert. Dadurch können die Nutzdaten, installiert und ausgeführt werden, ohne dabei blockiert zu werden. Agent Tesla ist ein weit verbreiteter Information Stealer und ein Remote Access Tool (RAT), der seit 2014 bekannt ist. Die Entwickler bewerben ihn in Dark-Web-Foren zum Verkauf und aktualisieren ihn ständig. Angreifer verbreiten die Malware im Allgemeinen über böswillige Spam-E-Mails als Anhang.

Die neue Sophos-Studie befasst sich eingehend mit den beiden derzeit im Umlauf befindlichen Versionen von Agent Tesla. Beide enthalten aktuelle Updates, z. B. die Anzahl der Anwendungen, die für den Diebstahl von Anmeldeinformationen vorgesehen sind, einschließlich Webbrowsern, E-Mail-Clients, Clients für virtuelle private Netzwerke und anderer Software, in der Benutzernamen und Kennwörter gespeichert sind. Sie können auch Tastenanschläge erfassen und Screenshots aufzeichnen.

Die Unterschiede zwischen den beiden Versionen zeigen jedoch, wie Angreifer die RAT in letzter Zeit weiterentwickelt haben, indem sie verschiedene Arten der Umgehung und Verschleierung eingesetzt haben, um eine Erkennung zu vermeiden. Dazu gehören Optionen zum Installieren und Verwenden des Tor-anonymisierenden Netzwerkclients sowie die Telegramm-Messaging-API für die Befehls- und Steuerungskommunikation (C2) und das Targeting von Microsoft AMSI.

„Agent Tesla-Malware ist seit mehr als sieben Jahren aktiv, stellt jedoch nach wie vor eine der häufigsten Bedrohungen für Windows-Benutzer dar. Sie gehört zu den Top-Malware-Familien, die 2020 per E-Mail verbreitet wurden. Im Dezember entfielen auf Agent Tesla-Nutzdaten rund 20 % der böswilligen Angriffe auf E-Mail-Anhänge, die von Sophos-Scannern abgefangen wurden “, sagte Sean Gallagher, leitender Bedrohungsforscher bei Sophos. „Eine Vielzahl von Angreifern verwendet die Malware, um Benutzeranmeldeinformationen und andere Informationen der Opfer durch Screenshots, Tastaturprotokollierung und Erfassung der Zwischenablage zu stehlen.

Die am weitesten verbreitete Übermittlungsmethode für Agent Tesla ist böswilliger Spam – wie die E-Mails, die Sophos in den RATicate- Untersuchungen hervorgehoben haben. Sophos geht davon aus, dass Cyberkriminelle die Malware weiterhin aktualisieren und modifizieren werden, um Endpunkt- und E-Mail-Schutz-Tools zu umgehen. Die zur Verbreitung von Agent Tesla verwendeten E-Mail-Konten sind häufig legitime Konten, die kompromittiert wurden. Organisationen und Einzelpersonen sollten E-Mail-Anhänge von unbekannten Absendern wie immer mit Vorsicht behandeln und alle Anhänge überprüfen, bevor sie geöffnet werden. “

Empfohlene Checkliste für IT-Administratoren für die E-Mail-Sicherheit

  • Installieren Sie eine intelligente Sicherheitslösung, mit der verdächtige E-Mails und ihre Anhänge überprüft, erkannt und blockiert werden können, bevor sie Benutzer erreichen
  • Implementieren Sie die anerkannten Authentifizierungsstandards, um zu überprüfen, ob E-Mails den Anforderungen entsprechen
  • Schulen Sie die Mitarbeiter auf Warnsignale verdächtiger E-Mails
  • Empfehlen Sie den Benutzern, zu überprüfen, ob E-Mails auch wirklich von der Adresse und der Person stammen
  • Empfehlen Sie Benutzern, niemals Anhänge zu öffnen oder auf Links in E-Mails von unbekannten Absendern zu klicken

Der Endpoint-Schutz von Sophos, Intercept X , erkennt die Installations-Malware von Agent Tesla und die RAT sowohl durch maschinelles Lernen als auch durch die Signaturen Troj / Tesla-BE und Troj / Tesla-AW.