- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Techniken gegen virtuelle Maschinen


Amnesia-Malware macht aus DVR-Geräten Bot-Netze
Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln

- Anzeigen -





Nach Angaben von IT-Sicherheitsunternehmen ist eine neue Variante des IoT/Linux Botnets Tsunami aufgetaucht. "Amnesia" richtet sich gegen nicht gepatchte Schwachstellen bei der Remote-Code-Ausführung in DVR-Geräten von TVT Digital. Geräte, die von mehr als 70 verschiedenen Hersteller weltweit unter deren Marke vertrieben werden. Betroffen sind rund 227.000 Geräte weltweit vornehmlich in Taiwan, den USA, Israel, der Türkei und Indien.

Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln. Wenn die Malware eine virtuelle Maschine findet, löscht sie das virtualisierte Linux-System indem sie alle Dateien im System vernichtet.

Amnesia nutzt eine Schwachstelle in der Remote-Code-Ausführung, um verwundbare Systeme zu finden, zu lokalisieren und anzugreifen. Ist die Attacke erfolgreich gewesen, hat Amnesia anschließend volle Kontrolle über das betreffende System. Dass Amnesia-Botnetz lässt sich dann beispielsweise einsetzen um gigantische DDoS-Angriffe zu lancieren, ähnlich der Mirai Botnetz-Attacke vom Herbst vergangenen Jahres.

Dazu Jim Walter, Senior SPEAR Researcher bei Cylance und beratendes Mitglied der "No more Ransom"-Initiative, die die niederländische Polizei auf den Weg gebracht hat.

"In diesem Fall variiert zwar der Eintrittsvektor gegenüber dem bei anderen Angriffen verwendeten (HTTP versus Telnet). Das der Malware zugrunde liegende Schema ist allerdings ein und dasselbe. Die meisten Nutzer, uns eingeschlossen, tendieren dazu, den Standardkonfigurationen verbundener Geräte mehr als nötig zu vertrauen. Wir sollten nicht davon ausgehen, dass neue Geräte mit Internetverbindung automatisch sicher sind. Und das schon gar nicht aufgrund der Tatsache, dass sie schlicht neu sind. Die Sorgfalt und IT-Sicherheitshygiene, die für uns bei traditionellen Geräten (PCs, Laptos, Smart Phones et.) selbstverständlich geworden ist, sollten wir auf alle Geräte übertragen. Und nicht davon ausgehen, dass sie automatisch gewährleistet wird. Egal ob es sich um PCs, Fernsehgeräte, Spielesysteme, eine Appliance oder ein DVR-Gerät handelt: die Ursachen für ein erhöhtes Risiko und eine breite Angriffsfläche sind in ganz vielen Fällen dieselben und so sollten wir sie auch behandeln."
(Cylance: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 28.04.17


Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Verbreitung über Malvertising

    Eset hat einen speziellen Fall von Krypto-Mining entdeckt, welcher das Schürfen von Krypto-Währungen direkt über das JavaScript eines Web-Browsers ermöglicht. Diese CPU-intensive Aufgabe ist in der Regel von der Mehrheit der Werbenetzwerke verboten, weil sie die Nutzererfahrung erheblich beeinträchtigt. Schon seit geraumer Zeit nutzten Cyberkriminelle den Vorteil von Krypto-Währungen, um Profite zu generieren. Allerdings verwenden sie in der Regel Malware oder potenziell unerwünschte Anwendungen, die sie auf den Computern ihrer Opfer installieren. Um mit Krypto-Mining Geld zu verdienen, müssen "Schürfer" ihre Rechnerleistung zur Verfügung stellen. Die Entwickler des nun untersuchten JavaScripts nutzen hierfür allerdings die Rechnerleistung ihrer Opfer.

  • Spyware-Tool zur Strafverfolgung

    Forscher von Eset haben eine Überwachungskampagne entdeckt, welche eine neue Variante der berüchtigten Spyware FinFisher nutzt. Die auch als FinSpy bekannte Malware wird als Tool zur Strafverfolgung vermarktet und weltweit an staatliche Stellen verkauft. Vermutlich wird die Spyware auch von repressiven Regimen genutzt. Insgesamt sieben Länder sind von FinFisher betroffen. In zwei davon gibt es Hinweise darauf, dass große Internetanbieter in die Verbreitung des Überwachungsprogramms involviert waren.

  • Online-Multiplayer-Spiele missbraucht

    Eset hat eine neue, raffinierte Malware entdeckt: "Joao" verbreitet sich über Computerspiele, welche auf inoffiziellen Webseiten veröffentlicht werden. Die modulare Malware ist in der Lage, weitere schädliche Codes herunterzuladen und auszuführen. Die vollständige Analyse des Schädlings hat Eset auf dem Blog WeLiveSecurity veröffentlicht. Verbreitung über verschiedene Online-Multiplayer-Spiele Für die Verbreitung ihrer Malware haben die Joao-Angreifer Online-Multiplayer-Spiele missbraucht. Eset Forscher konnten zeigen, dass hierfür verschiedene Spieletitel von Aeria Games genutzt wurden, einem Vermarkter für Online-Spiele mit Hauptsitz in Berlin. Die Spiele wurden modifiziert und auf inoffiziellen Webseiten zum Download angeboten. Einmal heruntergeladen und gestartet, sammelt die Malware Informationen vom infizierten Computer und lädt anschließend weitere Komponenten von einem Command-and-Control Server herunter. Die von den Eset-Forschern entdeckten Joao-Komponenten enthielten Möglichkeiten für Backdoor-, Spionage- und Überlastangriffe (DDoS).

  • Watering-Hole- & Spear-Phishing-Kampagnen

    Die berüchtigte Hackergruppe Turla ist zurück: Eset hat eine neue, verbesserte Backdoor der Cyberkriminellen entdeckt. "Gazer" verbreitet sich seit 2016 und attackiert gezielt europäische Institutionen. Die ausführliche technische Analyse hat Eset auf dem Blog WeLiveSecurity sowie im zugehörigen Whitepaper veröffentlicht. Typisch Turla: Die Turla Gruppe greift seit vielen Jahren verschiedene europäische Regierungen und Botschaften auf der ganzen Welt an und ist bekannt für ihre zielgerichteten Watering-Hole- und Spear-Phishing-Kampagnen. Eset Forscher konnten die Backdoor Gazer global nachweisen, am häufigsten jedoch auf Computern in Europa.

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.