Neue Dridex-Macros tricksen Sandboxen aus

Von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint:

In einer kürzlich entdeckten Dridex Kampagne beobachteten wir neue Funktionalitäts- und Verschleierungstechniken, die große Mengen einzigartiger Dateianhänge, verschleierten Makrocode, Web-Injects und ein SOCKS-Proxy beinhalteten. Neueste Angriffs-Kampagnen mit schädlichen Anhängen zeigen sogar Makros mit integrierten Sandbox-Erkennungs- und Umgehungstaktiken. Die Forscher von Proofpoint haben auch ein weiteres neues Werkzeug in dem Makro-Infektion Toolkit gefunden, bei dem die Schließung des Dokuments den Download der Malware auslöst.

In diesem Fall gleicht die Maldoc-Kampagne andern Kampagnen mittels E-Mail Anhängen, aber das Besondere liegt darin, wie das Makro sein wahres Gesicht zeigt: Der Benutzer wird dazu verleitet, Makros zu aktivieren und das Dokument zu öffnen – er sieht dann eine leere Seite und nichts scheint zu passieren. Stattdessen erfolgt die schädliche Aktion, wenn das Dokument geschlossen wird. In diesem Fall reagiert das Makro auf das Schließen des Dokumentes – erst wenn das passiert, wird das Makro ausgeführt.

Die Autoclose-Methode führt einen anderen Befehl – “vhjVHsdfdsf”-  aus, der verschleierten Code enthält. Durch das Versehen des verschleierten Codes mit 0xFF wird Powershell Downloader Code erzielt, der Dridex mit Botnet-ID 120 installiert.

Von der meisten Malware kann erwartet werden, dass diese schnellstmöglich auf dem Zielsystem ausgeführt wird. Das Erkennen dieser sofortigen Ausführung löste eine Warnung in Sandboxes und Antivirus-Lösungen aus. Malware-Verfasser haben nun ihre Malware darauf programmiert vor der Ausführung erst kurz zu “warten”, was zu einer Vermeidung der Erkennung durch Sandboxes führt, die nur auf böswillige Aktivitäten bei der ersten Ausführung prüfen.

Um auf diesen Trend zu reagieren werden Sandboxes nun ebenfalls darauf programmiert, erst zu “warten”. Denn die Fähigkeit des bösartigen Makros, erst dann ausgeführt zu werden, wenn das Dokument geschlossen wird, erweitert den Zeitraum der Infektion und erzwingt ein längeres Monitoring der Sandbox. So ist es sogar möglich, dass die Infektion komplett verpasst wird.

Egal, wie lange die Sandbox wartet, es wird keine Infektion erfolgen, und wenn die Sandbox heruntergefahren oder beendet wird, ohne das Dokument zu schließen, wird die Infektion vollständig verpasst.

Die Ausführung von Makros zu gestatten kann riskant sein – und es wird immer riskanter, da Verfasser von Malware neue Möglichkeiten finden und neue Werkzeuge und Techniken nutzen.