05.07.2018 | Bochum, Autor: Tim Berghoff

Analyse: Dateiloser Downloader umgeht Benutzerkontensteuerung

In unserer neuesten Analyse bleiben wir bei dateiloser Schadsoftware. Nach unserem Blick auf die Innereien der Rozena-Backdoor hat einer unserer Analysten sich eine weitere Malware vorgenommen, die dateilose Methoden nutzt: einen Downloader.

Downloader gehören zum normalen Handwerkszeug von Malware-Autoren, da mit ihrer Hilfe fast jede Schadsoftware auf den Rechner eines Nutzers gebracht werden kan. In den meisten Fällen handelt es sich um ein kleines Programm, welches irgendwo auf der Festplatte abgelegt und verborgen wird. Der vorliegende Downloader macht einiges anders als die meisten, vor allem bei der Umgehung der Benutzerkontensteuerung (User Account Control, UAC). Die Benutzerkontensteuerung stellt normalerweise sicher, dass jeder Prozess, der erweiterte Nutzerrechte auf dem System benötigt, vom Benutzer durch Klicken einer Schaltfläche freigegeben werden muss. Dieser Downloader schreibt diverse Einträge in die Systemdatenbank des Betriebssystems (Registry), welche dann genutzt werden, um einen ansonsten legitimen Prozess mit Systemrechten zu starten. Die Berechtigung "System" ist in der Windows-Welt die höchstmögliche Berechtigungsstufe. Im Verbund mit anderen erprobten Mehtoden aus der Malware-Trickkiste wie Obfuskierung oder der Missbrauch von Standardwerkzeugen, die Teil des Betriebssystems sind, ergibt sich eine schlagkräftige und gefährliche Kombination. Dies zeigt wieder einmal, dass die Autoren von Schadsoftware immer wieder versuchen, einer Enteckung zu entgehen, was proaktive Schutzmaßnahmen zu mehr macht als reinen Marketing-Buzzwords. Sie werden in solchen Fällen zu einer absoluten Notwendigkeit - denn wo es keine Datei gibt, kann es auch keine Signatur geben.

Mehr Informationen

Wenn Sie mehr über die Tricks erfahren wollen, mit denen Malware versucht, die Sicherungsmaßnahmen des Betreibssystems zu überlisten, können Sie die vollständige Analyse über den unten stehenden Link herunterladen (Dokument in englischer Sprache - Link öffnet in einem neuen Fenster).


Share this article

G DATA | Trust in German Sicherheit