Malware as a Service

GoldenEye Ransomware analysiert

10.02.17 | Autor / Redakteur: Jason Reaves / Peter Schmitz

Im Rahmen der GoldenEye-Angriffskampagne finden sich in der Malware mehrere Verweise auf den gleichnamigen James-Bond-Film.
Im Rahmen der GoldenEye-Angriffskampagne finden sich in der Malware mehrere Verweise auf den gleichnamigen James-Bond-Film. (Bild: geralt - Pixabay / CC0)

Ende 2016 trat eine Malware namens GoldenEye erstmals in Erscheinung. Das Besondere an dieser Schadsoftware ist, dass sie als Ransomware-as-a-Service arbeitet und über ein Gewinnbeteiligungsmodell bezahlt wird.

GoldenEye trat als Ransomware-as-a-Service Ende 2016 erstmals in Erscheinung und setzte in E-Mails deutschsprachige Themenangaben als Lockmittel ein. Diese Ransomware ist ein gutes Beispiel dafür, dass die Cybercrime-Wirtschaft expandiert und sich Ransomware für viele Cyberkriminelle als lukrative Einnahmequelle erwiesen hat.

Dies motiviert die Akteure, ihre Malware stetig zu verbessern, um die entsprechenden Umsätze zu schützen. Auch wenn neue technische Lösungen zum Schutz vor Attacken entwickelt werden, kann man davon ausgehen, dass weitere Angriffswellen folgen. Denn die Initiatoren haben viel zu verlieren.

Kampagne

Das Fidelis Cybersecurity Threat Team verzeichnete eine erste Angriffswelle mit der Verbreitung von GoldenEye via E-Mail, die am 1. Dezember 2016 startete. Im Titel trugen die Mails deutschsprachige Begriffe wie etwa 'Bewerbung', wobei die Nachrichten auch an andere Nutzer in Europa, dem Nahen Osten und Nordamerika verteilt wurden.

Als typische Vorgehensweise wurde als Mail-Anhang eine Excel-Datei mit eingebettetem Makro ausgeliefert. In einigen Fällen wurde quasi als Köder ein weiteres Dokument beigefügt, das keine Malware enthielt.

Im Laufe des Dezembers nahm die Zahl der Angriffe über verbreitete GoldenEye-Mails zu, woraus sich schließen lässt, dass die Initiatoren die ersten Testläufe als erfolgreich ansahen.

Bereitstellung

Primär wurde die GoldenEye-Ransomware über Office-Dokumente verteilt, wobei der als Makro eingebettete Schadcode quasi als Pipette (Dropper) fungiert. Das bedeutet: Die für die nächste Angriffsstufe erforderlichen Objekte sind bereits enthalten, es muss nicht alles nachgeladen werden.

Ein näherer Blick auf den Makrocode zeigt, dass verstreute Teile eines Skripts für die nächste Angriffsebene enthalten sind, das mehrere Variablen enthält.

Setzt man diese Teile zusammen, ergibt sich ein neues, in Javascript erstelltes Skript. Nach der Modifizierung einiger Bereiche ergibt sich ein Skriptauszug für die nächste Ebene, der sich auf Dateien bezieht (Grafik 2 in der Bildergalerie). Dieses Skript ist recht einfach aufgebaut, es sammelt lediglich alle Daten und codiert sie im Verfahren Base64 in eine Zeichenfolge, bevor es ausgeführt wird. Daher muss zur Analyse lediglich dieses Skript imitiert werden, ohne die Funktionen auszuführen. Das zeigt, dass es sich um einen Dropper handelt. Grafik 3 in der Bildergalerie zeigt den PE-Header (Portable Executable) aus dem Dump der neu extrahierten ausführbaren Datei.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Für manche englischen Wörter gibt es keine deutsche Übersetzung.  lesen
posted am 10.02.2017 um 13:11 von Unregistriert

Da hat wohl jemand zu viel James Bond geschaut. GoldenEye, Janus ... :)  lesen
posted am 10.02.2017 um 12:21 von Unregistriert

Ein Artikel im schönstem Technogebrabbel. Was ist ein Dropper (hier hilft nicht die wörtliche...  lesen
posted am 10.02.2017 um 12:01 von jkirchhof


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44508428 / IoT)

Elektronikpraxis News täglich 14 Uhr

Der tägliche Newsletter von ELEKTRONIKPRAXIS.de. Aktuelle News, Tipps & Wissen aus allen Bereichen der Elektronikindustrie.

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.