zurück zum Artikel

Wie Malware heimlich das Kommando übernimmt

| Olivia von Westernhagen

Mit der Verschleierungstechnik "DOSfuscation" verbergen Cyber-Angreifer schädliche Windows-Kommandozeilenbefehle geschickt vor Virenscannern und Code-Analysten.

Mehr zum Thema Emotet

Der folgende Text enthält einen Kommandozeilenbefehl. Können Sie ihn entziffern? 

%TEMP:~-8,-7%%ProgramFiles:~9,1%%windir:~-4,1%;/%TmP:~ -8, 1%"s^et ohL=e.de&&set IP=p^^ing&&,set uOn= he^^is&&ca^ll ;seT SK1=%IP%%uOn%%ohL%&&cAll %SK1%"

Falls Sie jetzt ratlos den Kopf schütteln, ist das nicht weiter verwunderlich. Denn die "DOSfuscation"-Technik verschleiert cmd.exe- und PowerShell-Befehle derart gekonnt, dass Malware-Analysten und Antivirenprogramme bisweilen Schwierigkeiten haben, sie überhaupt als solche zu identifizieren. Das zeigt etwa ein Blogeintrag des AV-Herstellers G Data von Mitte 2018. "Als wir das Sample das erste Mal angeschaut haben, dachten wir zuerst, wir hätten die Datei falsch exportiert", kommentierte ein Analyst des Unternehmens den wohl ersten DOSfuscation-Fund in freier Wildbahn.

Seitdem veröffentlichen Antiviren-Hersteller und unabhängige Forscher immer wieder Schadcode-Analysen, in denen obfuskierte, oder besser: "DOSfuskierte" Kommandozeilenbefehle auftauchen. Meist werden sie von Makrocode in Word-Dokumenten gestartet, um zusätzlichen Schadcode, darunter etwa den berüchtigten Trojaner Emotet, aus dem Internet nachzuladen. DOSfuscation ist zwar komplex, für Angreifer aber ganz leicht auf beliebige Befehle anwendbar – dank des Frameworks "Invoke-DOSfuscation", das bereits seit 2016 frei bei GitHub verfügbar ist.

URL dieses Artikels:
https://www.heise.de/-4294951

Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/IT-Sicherheit-Eine-Anleitung-zum-Emotet-Selbsttest-5028322.html
[2] https://www.heise.de/hintergrund/Wie-die-Schadsoftware-Emotet-Windows-befaellt-4666816.html
[3] https://www.heise.de/ratgeber/Schadsoftware-Pragmatische-Schutzmassnahmen-gegen-Emotet-und-andere-Trojaner-4666845.html
[4] https://www.heise.de/ratgeber/Incident-Response-Was-tun-wenn-man-von-Schadsoftware-betroffen-ist-4666847.html
[5] https://www.heise.de/hintergrund/Wie-Malware-heimlich-das-Kommando-uebernimmt-4294951.html
[6] https://www.heise.de/hintergrund/Emotet-Wie-Cyber-Kriminelle-von-staatlichen-Hackern-lernen-4270836.html
[7] https://www.heise.de/ratgeber/Dynamit-Phishing-So-schuetzen-Sie-sich-vor-Emotet-Co-4270844.html
[8] https://www.heise.de/hintergrund/Erste-Hilfe-nach-einem-Hackereinbruch-4536917.html
[9] https://www.heise.de/hintergrund/Notfall-und-Krisenpraevention-gegen-Hackerangriffe-4537457.html

Copyright © 2019 Heise Medien