Palo Alto Networks informiert über Banking-Trojaner Ursnif: Lustiger Name, ernsthafte Gefahr

 

Zur Security-Messe Ignite hat die Sicherheitsfirma Palo Alto Networks nähere Informationen über den Banking-Trojaner “Ursnif” veröffentlicht. Mit diesen Informationen können Sicherheitsverantwortliche und Admins gezielt gegen die Bedrohung vorgehen. Da Ursnif verschiedene Angriffswege nutzt und die eigene Erkennung verhindern kann, ist das keine einfache Aufgabe.

Ursnif, auch unter dem Namen „Gozi“ unterwegs, ist ein bekannter Banking-Trojaner, der vor allem in Japan großen Schaden anrichten konnte, der aber Systeme weltweit bedroht – vor allem auch in Banken. Weil er Malware-Analyse erkennt und dieser ausweicht, ist er mit herkömmlichen Sicherheitsinstrumenten schwierig zu bekämpfen.

Infizierung auf verschiedenen Wegen

Ursnif verwendet bislang vor allem zwei Methoden der Infizierung: per E-Mail-Anhang oder über Exploit-Kits. Um per E-Mail das System zu infizieren, verbirgt sich im Anhang einer Mail ein JavaScript-Downloader, der Ursnif von einem entfernten Standort herunterlädt und ihn auf dem Gerät des Benutzers ausführt. Alternativ kamen passwortgeschützte angehängte Office-Dokumente zum Einsatz – durch diese Technik können automatisierte Analyse-Tools den Virencharakter des Dokuments nur schwer erkennen. Der E-Mail-Textkörper enthielt direkt ein Passwort für den Zugriff auf die Anlage, wodurch die E-Mail als legitim ausgewiesen werden sollte.

Wenn das Opfer die Anlage öffnete, wurde dessen System infiziert und die Kommunikation mit einem Befehls- und Kontrollserver wurde aufgebaut. Von diesem “Command and Control”-Server (auch “C2-Server genannt) wurden anschließend Befehle wie etwa für die Installation zusätzlicher Bedrohungen gesendet.

Ursnif wurde auch über Exploit-Kits der Hackergruppe „RIG“ verteilt. Wenn ein Opfer eine kompromittierte Website besuchte, erfolgte eine Weiterleitung auf die RIG-Zielseite, von der aus der Exploit das System des Opfers erfasste um festzustellen, welcher Angriff am besten funktionieren würde. Dann wurde der Angriff ausgeführt, um den Browser des Opfers zu kompromittieren und die böswillige Software auf den Rechner des Opfers geschleust.

Erkennung und Abwehr sind schwierig

Wer glaubt, die Angriffe mit Standard-Antivirensoftware abwehren zu können, irrt leider: bei beiden Infektionswegen kann der Trojaner die Malware-Analysetools erkennen und sogar feststellen, ob er auf einer virtuellen Maschine läuft. Wenn sich der Trojaner in einer Analyseumgebung befindet, wird er die Durchführung von böswilligen Aktivitäten vermeiden, so dass es schwierig ist, die Malware als solche zu erkennen.

Ursnif ist eine weit verbreitete, sich weiterentwickelnde Bedrohung, die über mehrere Angriffsvektoren verschiedene Funktionen einsetzt. Neuere Versionen der Schadsoftware erlauben es Angreifern, in Daten zu stöbern und beispielsweise Bank- und Kreditkarteninformationen zu stehlen, Passwörter über Screenshots und Keylogging zu erfassen, beliebige zweite Nutzlasten auszuführen sowie zusätzliche Dateien zu infizieren, um andere Maschinen zu kapern und für die Peer-to-Peer-Kommunikation zwischen verschiedenen Ursnif-Instanzen im selben Netzwerk zu requirieren.

Was kann man dagegen tun?

Palo Alto Networks bietet das Endpunkt-Schutzsystem Traps an. Es nutzt mehrere Methoden gleichzeitig, um gegen Malware und Exploits vorzubeugen und damit Bedrohungen wie Ursnif zu blockieren – unabhängig davon, wie sie auf das System gelangen konnten.

Traps untersucht Makros in Microsoft-Office-Dateien, wenn die Dateien geöffnet werden, wobei lokale Kontrollen durchgeführt werden, um festzustellen, ob die Makros böswillig sind oder nicht. Wenn das so ist, wird die Ausführung verhindert. Wenn die Datei mit dem enthaltenen Makro nicht bekannt ist, wird sie mittels lokaler Analyse per maschinellem Lernen untersucht. In diesem Prozess überprüft Traps verschiedene Dateieigenschaften um festzustellen, ob das Makro bösartig oder gutartig ist.

Mit dem cloudbasierten WildFire-Analysesystem des Herstellers wird ein maschinelles Lernmodell trainiert, um Malware zu erkennen, auch zuvor unbekannte Varianten. Darüber hinaus sendet Traps die Datei mit dem infektiösen Makro automatisch an WildFire für eine Reihe von Prüfungen.

Um präventiv gegen Exploits vorzugehen, konzentriert sich Traps auf die Techniken, die bei allen Exploit-basierten Angriffen verwendet werden und sich selten ändern. Es verhindert auch, dass Angreifer anfällige Endpunkte identifizieren und ins Visier nehmen.

Profiling-Versuche, die von Exploit-Kits verwendet werden, werden mit dem „Exploit Kit Fingerprinting Protection Exploitation“-Präventionsmodul blockiert. Durch die Fokussierung auf die Kern-Exploit-Techniken und die Blockierung von Profiling-Versuchen, die von Exploits verwendet werden, kann Traps Exploits verhindern, sobald entsprechende Versuche gestartet werden und bevor ein Endpunkt kompromittiert werden kann. tj