Es wurde beobachtet, dass Hacker den PlugRAT Remote Access-Trojaner als Microsoft-Debugger tarnen, um Antivirus-Lösungen zu umgehen und gezielte Endpunkte zu kompromittieren.
Die Cybersicherheitsexperten von Trend Micro haben kürzlich einen nicht identifizierten böswilligen Akteur entdeckt, der x64dbg verwendet, um den Trojaner zu verbreiten. x64dbg ist ein Open-Source-Debugging-Tool, das in der Entwickler-Community sehr beliebt sein soll. Es wird normalerweise verwendet, um Kernelmodus- und Benutzermoduscode, Speicherauszüge oder CPU-Protokolle zu untersuchen.
Hier wird es jedoch in einem Angriff ausgenutzt, der als DLL-Seitenladen bekannt ist.
Damit das Programm ordnungsgemäß funktioniert, benötigt es eine bestimmte .DLL-Datei. Wenn es mehrere DLLs mit demselben Namen gibt, wird zuerst die eine im selben Ordner wie die Exec-Datei ausgeführt, und das ist es, was Hacker ausnutzen. Indem sie eine modifizierte DLL-Datei mit dem Programm liefern, stellen sie sicher, dass legitime Software Malware aktiviert.
In diesem Fall trägt die Software eine gültige digitale Signatur, die einige Sicherheitstools „verwirren“ kann, erklärten die Forscher. Dies ermöglicht es Bedrohungsakteuren, „unter dem Radar zu bleiben“, Persistenz aufrechtzuerhalten, Berechtigungen zu erhöhen und Einschränkungen bei der Dateiausführung zu umgehen.
„Die Entdeckung und Analyse des Malware-Angriffs mit dem Open-Source-Debugging-Tool x32dbg.exe zeigt uns, dass DLL-Sideloading immer noch von Bedrohungsakteuren verwendet wird, da es eine wirksame Möglichkeit ist, Sicherheitsmaßnahmen zu umgehen und die Kontrolle über ein Zielsystem zu übernehmen“, heißt es den Trend Micro-Bericht (öffnet sich in einem neuen Tab).
„Angreifer nutzen diese Technik weiterhin, weil sie das grundlegende Vertrauen in legitime Anwendungen ausnutzt“, heißt es in dem Bericht weiter. „Diese Technik bleibt für Angreifer brauchbar, um Malware zu verbreiten (öffnet sich in einem neuen Tab) und auf vertrauliche Informationen zuzugreifen, solange Systeme und Anwendungen weiterhin dynamischen Bibliotheken vertrauen und diese laden.“
Der beste Weg, sich vor solchen Bedrohungen zu schützen, besteht darin, sicherzustellen, dass Sie wissen, welche Programme Sie ausführen, und dass Sie der Person vertrauen, die die ausführbare Datei freigibt. Trend Micro geht davon aus, dass Sideloading-Angriffe auch in den kommenden Jahren ein gültiger Angriffsvektor bleiben werden, da sie ein „grundlegendes Vertrauen in legitime Anwendungen“ ausnutzen.
„Diese Technik bleibt für Angreifer praktikabel, um Malware zu verbreiten und auf vertrauliche Informationen zuzugreifen, solange Systeme und Anwendungen weiterhin dynamischen Bibliotheken vertrauen und diese laden.“ Sie kamen zu dem Schluss.
Über: Die Registrierung (Öffnet in einem neuen Tab)