Die Anatomie einer Malware

Transkript

1 Die Anatomie einer Malware Wie ist moderne Malware aufgebaut und was können wir daraus lernen? Controlware Roadshow 2018 Copyright Fortinet Inc. All rights reserved.

2 Agenda für die nächsten 30 Minuten Die Innereien einer typischen modernen Malware Anatomisches Beispiel aus dem FortiGuard Security Research Forensik mit der FortiSandbox Fortinet Security Fabric 2

3 Was ist eigentlich Malware? Malware = malicious software Schirmbegriff für Software, die das Ziel schädliche oder bösartige Befehle auf einem Zielsystem auszuführen Umfasst also den Gesamtprozess, mit dem eine schädliche Software versucht zum Erfolg zu kommen. 3

4 Die moderne Malware Dropper bzw. Downloader lädt weiterführenden Code herunter speziell gerüstet zur Erstinfektion Exploit-Code Softwareschwachstelle im Zielsystem Meist mit dem Ziel administrative Rechte bzw. erweiterte Kontrolle über das System zu erlangen Payload Zielgerichteter Schadcode der das eigentliche Ziel umsetzt Remote-Zugriff, Ransomware, Spionage... 4

5 Der moderne Dropper bzw. Downloader Download / Upload ist oftmals ein im Netzwerk erlaubter und normaler Prozess Bedient sich i.d.r. diverser Techniken um sich vor statischer und dynamischer Analyse (Sandbox) zu schützen:» Code Obfuscation & Garbage Instructions» Bloating (Größe der Datei durch Garbage Instructions erhöhen)» Verzögerungstechniken um Analyse zu erschweren, VM-Erkennung Lädt Schadcode meist von einprogrammierten URLs nach 5

6 Exploit-Code Oftmals bekannte Schwachstellen um Shellcode auszuführen. Benutzt oftmals Lücken im Programmablauf z.b.» Buffer Overflow» Heap Spray... Oftmals bekannte Exploits, für die es öffentlich zugänglichen Code z.b. bei GitHub gibt charshellcode[] = "\x31\xc9" //xor ecx,ecx "\x64\x8b\x71\x30" //mov esi,[fs:ecx+0x30] "\x8b\x76\x0c" //mov esi,[esi+0xc] "\x8b\x76\x1c" //mov esi,[esi+0x1c] "\x8b\x36" //mov esi,[esi] "\x8b\x06" //mov eax,[esi] "\x8b\x68\x08" //mov ebp,[eax+0x8] "\xeb\x20" //jmp short 0x35 "\x5b" //pop ebx "\x53" //push ebx "\x55" //push ebp "\x5b" //pop ebx "\x81\xeb\x11\x11\x11\x11" //sub ebx,0x111 "\x81\xc3\xda\x3f\x1a\x11" //add ebx,0x111 "\xff\xd3" //call ebx "\x81\xc3\x11\x11\x11\x11" //add ebx,0x111 "\x81\xeb\x8c\xcc\x18\x11" //sub ebx,0x111 "\xff\xd3" //call ebx "\xe8\xdb\xff\xff\xff" //call dword "cmd" "\x63\x6d\x64"; 6

7 Der moderne Payload Eigentliche Software für die Intention hinter dem Schadcode:» Ransomware» Crypto-Miner» Botnet (DDoS)» Spionage» Keylogger» Remote Access Trojaner (RAT)» Banker»... 7

8 Beispiel: Cobalt Malware (CVE ) Nov. 17 Komponenten aus Cobalt Strike» Kommerzielles Penetration Testing Tool» RAT und Post-Exploit Framework Beim Öffnen wird per Exploit ein Download ausgeführt. 8

9 Beispiel: Cobalt Malware (CVE ) Nov. 17 CVE behoben am Patchday Nov Microsoft Equation Editor (EQNEDT32.EXE) alter Formeleditor in Dokumenten Sicherheitslücke, die das Starten z.b. eines Webclients aus RTF Dokumenten ermöglicht. Dieser kann Dateien herunterladen und lokal ausführen. 9

10 Beispiel: Cobalt Malware (CVE ) Nov. 17 Exploit startet Prozess für neues RTF Dokument in Wordpad Pipeline in Drucker-Spool Prozess für Privilegien Lädt neue.txt Datei herunter mit Obsfuscated JavaScript URL als Source bleibt als IOC gleich Wird mit Microsoft HTML (mshta.exe) ausgeführt 10

11 Beispiel: Cobalt Malware (CVE ) Nov. 17 Obfuscated Variablen im Javascript Lädt obfuscated Powershell-Skript und führt es aus. 11

12 Beispiel: Cobalt Malware (CVE ) Nov. 17 Ver- und Entschlüsselung des weiteren Downloaders 12

13 Beispiel: Cobalt Malware (CVE ) Nov. 17 Lädt weiteres Powershell-Skript herunter und führt es direkt im System aus» Powershell hat mächtige administrative Fähigkeiten 13

14 Beispiel: Cobalt Malware (CVE ) Nov. 17 Lädt DLL / Code der Malware direkt in den von PowerShell allokierten Speicher» Erschwert Anti-Virus Erkennung Routine zur Erkennung ob 32 / 64 Bit System 14

15 Der Aufbau im Überblick enthält startet Lädt Lädt / Startet Etabliert RAT Phishing Mail EXPLOIT Dokument Downloader1 JavaScript Downloader2 Powershell Cobalt Malware System 0wned 15

16 FortiGuard Schutz durch AntiViren Signaturen» MSWord/CVE FTG!exploit» W32/Cobalt.FTG!tr.dldr» W64/Cobalt.FTG!tr.bdr Web / DNS / Sites» Diverse IOCs Sandbox (Verhalten) 16

17 LIVE-Demo Forensische Analyse mit der FortiSandbox

18 Was lernen wir daraus? Endpoint-Protection alleine wird mit einer Vielzahl an Techniken überfordert, schützt aber wenn die Exploits oder Methoden bekannt sind! -Security schützt vor dem Empfang gefährlicher Anhänge Eine intelligente Proxy-Struktur unterbindet den Download von unbekannten / malicious URLs Sandboxing Signaturen für alle Security-Instanzen 21

19 Zusammenfassung Die Tatsache, dass eine Kombination aus vielerlei Elementen wie Downloader und Dropper die am häufigsten aufgezeichneten Angriffe sind zeigt deutlich, das nur eine vollumfängliche Sicherheitsstrategie den gewünschten Erfolg im Auffinden von Malware erreichen kann. Es ist daher unabdinglich, dass IT Teams Security-Maßnahmen auf allen Ebenen des Netzwerkes kombinieren.

20 Advanced Threat Intelligence NOC/SOC Die Fortinet Security Fabric ist die Vision zur Umsetzung des Mantras: Client Cloud BROAD POWERFUL AUTOMATED Access Network Application Partner API

21 Fortinet Security Fabric Example ATP Rückmeldung mit Risk-Rating FortiSandbox FortiWeb Malware Server FortiMail Mailserver FortiGate FortiClient 24

22 Extended Security Fabric FortiSandbox AWS SaaS VM Appliance FortiManager FortiAnalyzer FortiCloud FortiSIEM FNDN ATP NOC/SOC? FortiMobile FortiClient Client Cloud Private Public CASB METER Network Unified Access Apps Token Identity FortiWiFi FortiSwitch FortiMail FortiWeb FortiADC FortiDDoS API 25

23