![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher haben einen sogenannten file less und in PowerShell geschriebenen Trojaner aufgesp\u00fcrt, der seine Befehle \u00fcber DNS-Records bezieht. <\/p>\nSicherheitsforscher haben einen sogenannten file less und in PowerShell geschriebenen Trojaner aufgesp\u00fcrt, der seine Befehle \u00fcber DNS-Records bezieht. <\/p>\n
<\/p>\n
Beim \u00d6ffnen erscheint die obige Meldung, die auf ein per McAfee gesch\u00fctztes Dokument hindeutet und zum Freigeben der Anzeige auffordert. W\u00e4hlt der Benutzer diesen Link an, wird der Schadcode innerhalb der Word-Datei ausgef\u00fchrt. Der Schadcode ist ein in PowerShell geschriebenes Script, welches dann sein Werk verrichtet. <\/p>\n An dieser Stelle muss ich aber ein Fragezeichen machen. Aktuell ist mir unklar, wie ein PowerShell Script in einem Word-Dokument eingebunden und zur Ausf\u00fchrung gebracht werden kann (m\u00f6glicherweise per VBA-Makro). Zweites Problem: PowerShell ist zwar auf Windows-Systemen vorhanden, aber die Ausf\u00fchrung von PowerShell-Scripten ist standardm\u00e4\u00dfig deaktiviert (siehe PowerShell-Skripte lassen sich nicht ausf\u00fchren<\/a>). Nur Benutzer, die die PowerShell-Scriptausf\u00fchrung zugelassen haben, d\u00fcrften daher betroffen sein.<\/p>\n<\/blockquote>\n Das PowerShell-Script des Trojaners wird dann komplett im Speicher geladen und ausgef\u00fchrt \u2013 es gibt also keine Dateien mit dem Schadcode auf der Festplatte (file less malware). Die Malware pr\u00fcft per PowerShell die Umgebung, wie beispielsweise die Privilegien, die der angemeldete Benutzer unter seinem Benutzerkonto besitzt. Abh\u00e4ngig von dieser Pr\u00fcfung werden dann die n\u00e4chsten Schritt geplant. <\/p>\n DNS wird normalerweise zur Zuordnung von URLs zu IP-Adressen verwendet. Aber das Protokoll unterst\u00fctzt zwei verschiedenen Datenformate. Im TXT-Record kann ein DNS-Server unformatierten Text als Antwort \u00fcbermitteln. Und genau \u00fcber diesen Kanal schicken die Angreifer offenbar Befehle an den Trojaner, die dieser dann ausf\u00fchren kann. <\/p>\n Die Angriffsmethode ist recht trickreich, da keine Dateien auf der Festplatte gespeichert werden und die DNS-Datenpakete in der Regel nicht gefiltert und auf Malware untersucht werden. So bleibt der DNS-Datenverkehr in der Regel unver\u00e4ndert, was die Angreifer wissen und f\u00fcr eigene Zwecke nutzen. Im konkreten Fall werden Befehle an die Malware \u00fcbertragen und dann Daten abgerufen. Weitere Details lassen sich im Talos-Blog-Post<\/a> nachlesen. <\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsforscher haben einen sogenannten file less und in PowerShell geschriebenen Trojaner aufgesp\u00fcrt, der seine Befehle \u00fcber DNS-Records bezieht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,1107],"class_list":["post-188162","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188162","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=188162"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188162\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=188162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=188162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=188162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Blog-Leser Leon hat mich auf diesen Artikel<\/a> zum Thema aufmerksam gemacht (danke daf\u00fcr). Entdeckt wurde der Trojaner, der auf DNSMessenger getauft wurde, vom Cisco Talos-Team und in diesem Blog-Beitrag<\/a> beschrieben. Der Angriff erfolgt \u00fcber eine infizierte Microsoft Word-Datei, die als E-Mail-Anhang in Phishing-Kampagnen ausgesandt wird. <\/p>\n
![](\"https:\/\/3.bp.blogspot.com\/-DTpwsJXIU9I\/WLhLuqCsdvI\/AAAAAAAAAOg\/XJYzin2RJi86B2AyKOlzvkBzGrHrik-4gCLcB\/s640\/image16.png\"\/)
(Quelle: Cisco\/Talos)<\/p>\n\n
\n
PowerShell-Skripte lassen sich nicht ausf\u00fchren<\/a>
Windows PowerShell als Einfallstor f\u00fcr Malware<\/a>
PowerShell als Einfallstor f\u00fcr Malware\/Ransomware<\/a>
Gotcha, the Windows 10 PowerShell-Bug in KB3176934<\/a>
Malware Trojan.DNSChanger umgeht Powershell-Restrictionen<\/a>
PowerShell 5: Aus f\u00fcr Windows 7\/8.1?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"