Über die Sunburst-Attacken auf Behörden und Unternehmen habe ich hier ja schon berichtet. Dahinter wird eine Hackergruppe vermutet, die der Abkürzung APT29 zuordnet wird. Als sogenannte „Kosenamen“ sind „CozyBear“ und seit neuestem „The Dukes“ bekannt.
NobleBaron aka Nobelium ist eine vierstufige Malware
Mit dieser Hackergruppierung steht eine noch relativ neue Malware-Familie in Verbindung, die sich NobleBaron (oft auch Nobelium) nennt. NobleBaron hat bereits zahlreiche Ziele wie die US-amerikanische Agentur für internationale Entwicklung (USAID) attackiert. Zu der eingesetzten Malware-Familie gehören die untergeordneten Sub-Malware-Elemente EnvyScout, BoomBox, NativeZone und VaporRage. Die Besonderheit daran ist das perfide Zusammenspiel dieser vier Malware-Klassen, was NobleBaron so unberechenbar und gefährlich macht.
[irp posts=“168385″ ]
Das Übel von allem: Eine gut gefälschte E-Mail mit EnvyScout-Anhang
Den Anfang macht, wie so oft, eine offensichtlich gute Fälschung einer E-Mail, die den potentiellen Opfern zugestellt wird. Darin befindet sich – auch wie immer – ein verseuchter Anhang, der auf dem zu infizierenden Rechner landen soll. Gemeint ist in diesem Fall EnvyScout, eine mithilfe von HTML und JavaScript programmierte Datei, die eine verseuchte Image-Datei auf den zu infizierenden Rechner laden soll.
Dies geschieht mithilfe der Sub-Malware BoomBox, die von einem gehackten Dropbox-Ordner auf den zu infizierenden PC geladen wird. BoomBox sammelt diverse Informationen des kompromittierten Rechners, die dann auf einem ATP29-Server landen.
In einem dritten Schritt kommt dann NativeZone zum Einsatz. Hierbei handelt es sich um einen Loader, der mittels DLL-Hijacking schädlichen Code in vorhandene Windows-Dateien einfügt. Eine der von NativeZone verwendeten DLL-Dateien ist CertPKIProvider.dll. NativeZone nistet sich zudem in den infizierten Rechner ein, sodass die Malware bei jedem Windows-Start erneut ausgeführt werden kann.
NativeZone hat allerdings noch eine weitere Aufgabe: Sie soll die vierte beteiligte Sub-Malware auf den infizierten Rechner laden: VaporRage. Diese Malware ermöglicht es den Angreifern, Shellcode auf die kompromittierten Systeme zu laden und auszuführen, wodurch die angreifenden APT29-Rechner die Kontrolle über die infizierten PCs erlangen.
Da VaporRage nahezu im Verborgenen operieren kann, schafft es die Malware unbemerkt, die Verbindung zum APT29-Server herzustellen, um so Informationen und Code für die Ausführung auszutauschen. Hierfür kommt ein eigens vorbereiteter Shellcode zum Einsatz, den die VaporRage-Malware schließlich ausführt.
[irp posts=“34075″ name=“Rundumschlag gegen Hacker: So schützt SentinelOne Singularity Rechner, Cloud-Container und IoT-Netze“]
SentinelOne vs. NobleBaron – mit gezielten Methoden die Malware unschädlich machen
Doch wie geht man solch eine mehrstufig operierende Malware wirkungsvoll vor? Nun, das zeigen die zwei folgenden Videos recht anschaulich. Die Rede ist von der SentinelOne-Security-Plattform Singularity, die verschiedene Ansätze verfolgt, Malware-Angriffe wie die von NobleBaron zu entdecken und unschädlich zu machen.
Im ersten Video ist die Sicherheitsplattform so eingestellt, dass schädliche Software nur entdeckt, aber nicht automatisch eliminiert wird. Dies ist immer dann sinnvoll, wenn man über die Verhaltensweise einer Malware mehr lernen will, um sich darauf künftig besser einstellen zu können. Selbstverständlich wird der angegriffene Rechner am Ende der Aktion wieder in seinen Originalzustand versetzt.
[irp posts=“158010″ name=“MITRE Engenuity-Sicherheitstest zeigt: SentinelOne kommt den Hackern auf die Spur“]
Es geht aber auch anders, wie das zweite Video demonstriert. Hierfür wird die SentinelOne-Security-Plattform in einen vollständigen Protect-Modus versetzt, sodass jegliche Malware entdeckt und automatisch eliminiert wird. Das stellt zwar den höchstmöglichen Schutz dar, die Lernkurve ist dafür aber deutlich flacher als im ersten Fall.
Disclaimer: Diesen Blogpost habe ich im Auftrag von SentinelOne verfasst und veröffentlicht.