Es gibt diverse Techniken, die für Malware-Angriffe theoretisch machbar sind, aber eigentlich nie in der Praxis zum Einsatz kommen. Manchmal ändert sich dies aber, wie eine neue Entdeckung der Security-Forscher bei Kaspersky zeigt.
Diese haben die erste Malware in freier Wildbahn gefunden, die ihre Payload in den Windows Event Logs versteckt. Eine solche Methode existierte zwar durchaus als mögliches Konzept unter Wissenschaftlern, doch finden solche Verfahren in der Realität dann selten Anwendung, weil sie nur mit erheblich mehr Aufwand umzusetzen sind als die herkömmlichen Methoden, für die es unzählige Tools gibt.
In dem nun entdeckten Fall sorgt ein klassischer Malware-Dropper dafür, dass die Datei WerFault.exe nach C:\Windows\Tasks kopiert wird. Unter dem Dateinamen wer.dll wird außerdem eine verschlüsselte Binär-Ressource abgelegt. Diese bringt selbst noch kein nennenswertes Schadenspotenzial mit sich und dürfte normalerweise nicht von automatisierten Routinen entdeckt werden.
Gut getarnt
Ihre Wirkung entfaltet die Malware erst in Kombination mit Code, der zusätzlich verschlüsselt in den Windows Event Logs abgelegt wurde. Wenn der Schadcode allerdings aktiv wird, kann er aufgrund des ungewöhnlichen System-Verhaltens dann trotzdem gefunden werden - so ist es auch im vorliegenden Fall passiert. Die Kaspersky-Forscher kamen der Sache auf die Spur, weil ihre Security-Wächter auf dem Rechner eines Kunden anschlugen.
Die Analyse zeigte, dass es sich bei der Malware wohl um eine sehr gezielte Attacke und keinen massenhaft verbreiteten Schädling handelt. Kaspersky-Forscher Denis Legezo kommt zu dem Schluss, dass der Angreifer entweder selbst über umfassende Kenntnisse oder aber nicht gerade preiswerte kommerzielle Tools verfügt, um solch eine Kampagne umsetzen zu können. Allerdings rechnet er damit, dass man vergleichbare Attacken zukünftig häufiger sehen wird, da das Verfahren zum Sideloading von Malware-Code in die Windows Event Logs inzwischen auch auf GitHub demonstriert wurde.
Anmelden
Es gibt diverse Techniken, die für Malware-Angriffe theoretisch machbar sind, aber eigentlich nie in der Praxis zum Einsatz kommen. Manchmal ändert sich dies aber, wie eine neue Entdeckung der Security-Forscher bei Kaspersky zeigt.
Diese haben die erste Malware in freier Wildbahn gefunden, die ihre Payload in den Windows Event Logs versteckt. Eine solche Methode existierte zwar durchaus als mögliches Konzept unter Wissenschaftlern, doch finden solche Verfahren in der Realität dann selten Anwendung, weil sie nur mit erheblich mehr Aufwand umzusetzen sind als die herkömmlichen Methoden, für die es unzählige Tools gibt.