Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Machen Sie Backoff & Co. einen Strich durch die Rechnung

Trotz der Warnung des US-CERT und weiteren Hacker-Angriffen im Sommer dieses Jahres, die entsprechend durch die Medien gingen, fallen immer mehr Unternehmen der Malware „Backoff“ zum Opfer. Auch der auf...
Michael Buckbee
2 minute gelesen
Veröffentlicht 12. November 2014
Letzte aktualisierung 28. Oktober 2021

Trotz der Warnung des US-CERT und weiteren Hacker-Angriffen im Sommer dieses Jahres, die entsprechend durch die Medien gingen, fallen immer mehr Unternehmen der Malware „Backoff“ zum Opfer.

Auch der auf Sicherheitsthemen spezialisierte Journalist Brian Krebs hat sich damit beschäftigt und weitere Informationen zu den jüngsten Attacken auf zwei bekannte Marken veröffentlicht. Die US-Regierung weist darauf hin, dass Hersteller von Antiviren-Software möglicherweise nicht über die neuesten Signaturen für Backoff und seine Varianten verfügten und folglich keinen zuverlässigen Schutz böten.

Gibt es also gegebenenfalls weitere Strategien, um diese so genannten RAM-Scraper daran zu hindern, sich die Kreditkartendaten Ihrer Kunden unter den Nagel zu reißen?

Indikatoren für einen Malware-Befall
Hoch entwickelte Malware ist so konzipiert, dass sie sich klammheimlich in Netzwerke einschleicht und sich nur schwer aufspüren lässt. Backoff wird dahingehend zwar als weniger raffiniert eingestuft, hat jedoch ein paar ganz eigene Tricks auf Lager.

So ergab eine vom US-CERT in Auftrag gegebene Analyse durch den Sicherheitsdienstleister Trustwave, dass die Malware mit einer Wiederbelebungs-Funktion ausgestattet ist. Sobald sie in ein System gelangt, injiziert sie einen bestimmten Code in die Datei explorer.exe, den Standard-Prozess des Windows-File-Browsers.

Mit diesem Code wird regelmäßig überprüft, ob die Backoff-Funktion zum Aufspüren von Kreditkartendaten derzeit aktiv ist. Dazu dient ein bestimmter Mutex-Lock-Mechanismus, der auf intelligente Weise überwacht wird. Ist das Lock-Objekt nicht auffindbar, weiß Backoff, dass der Scraper-Prozess, der den Lock-Mechanismus überhaupt erst aktiviert hat, nicht ausgeführt wird, Und startet ihn daraufhin neu.

Das heißt, während sich ein IT-Sicherheitsteam bereits beglückwünscht Backoff erfolgreich beseitigt zu haben, bedient sich die Malware möglicherweise schon wieder munter an Ihren Kundendaten. Selbstverständlich installiert Backoff auch Registrierungseinträge, so dass man es selbst nach einem Neustart nicht loswird.

In seiner Warnung nennt das US-CERT die aktuellen MD5-Hashes, Registrierungsschlüssel, Dateinamen, statische Zeichenfolgen, Mutex-Locks sowie weitere Indikatoren für einen Malware-Befall (indicators of compromise, IOCs). Wenn Sie die Sache selbst in die Hand nehmen und sich nicht ausschließlich auf die Antiviren- oder Penetrationstest-Software irgendeines Herstellers verlassen möchten, sind die Backoff-IOCs ein guter Ansatzpunkt.

Malware-Erkennung auf eigene Faust
Eine mögliche Strategie ist es, selbst Malware-Scans mit Pattern-Matching-Software wie dem Open-Source-Tool yara durchzuführen. Dabei kann Ihr IT-Team die statischen Zeichenfolgen aus den Backoff-IOCs in die Engine für reguläre Ausdrücke von yara eingeben.

Sofern Sie zusätzliche Charakteristika der Malware kennen, stehen Ihnen weitere Möglichkeiten zur Verfügung. Im Fall von Backoff und anderen RAM-Scrapern wissen wir, dass bestimmte Windows-Systemaufrufe ausgeführt werden, um den PoS-Prozess auszuspionieren und die Kreditkartennummern abzugreifen. Anschließend wird der Heap-Speicher mithilfe der Funktion CreateToolhelp32Snapshot und einer Reihe von Heap32-Abfragen durchforstet.

Es gibt sowohl Drittanbieter-Software als auch Windows-Dienstprogramme, die Systemaufrufe auf dem PoS-Server überwachen und die IT-Administratoren benachrichtigen, sobald diese verdächtigen APIs genutzt werden.

Ja, es stimmt, dass auch zulässige Prozesse den Speicher mithilfe dieser APIs durchsuchen – allen voran die Überwachungssoftware selbst –, so dass dadurch falsche Alarme ausgelöst werden. Doch dafür gibt es eine Lösung: Wenn Sie diese Anwendungen auf die Whitelist setzen, wird nur dann Alarm geschlagen, wenn ein Prozess, der nicht dem Standard entspricht, versucht, auf den Speicher eines anderen Prozesses zuzugreifen.

Dieser Systemaufruf-Ansatz hat einen entscheidenden Vorteil beim Aufspüren von Malware: MD5-Signaturen, statische Zeichenfolgen und Dateinamen können sich jederzeit ändern, doch RAM-Scraper werden immer dieselben Windows-APIs verwenden, um an Daten zu gelangen.

Allerdings ist hier der Wandel das einzig Beständige: Bestehende Schadprogramme entwickeln immer ausgeklügeltere Tarnfunktionen, während neue Malware sich bisher unbekannte Schwachstellen zunutze macht.

Im Idealfall sollten Eindringlinge erst gar nicht ins System gelangen. In der Praxis ist Risikobegrenzung jedoch das weitaus realistischere Ziel. In meinem nächsten Blog-Eintrag stelle ich Ihnen Techniken vor, die es Hackern erschweren Backoff und andere Schadprogramme einzuschleusen.

The post Machen Sie Backoff & Co. einen Strich durch die Rechnung appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?