![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das US-CERT hat eine gemeinsame technische Warnung des Deputy of Homeland Security (DHS) und des FBI ver\u00f6ffentlicht, die vor zwei neu identifizierten Malware-Samples warnt. <\/p>\nDas US-CERT hat eine gemeinsame technische Warnung des Deputy of Homeland Security (DHS) und des FBI ver\u00f6ffentlicht, die vor zwei neu identifizierten Malware-Samples warnt. <\/p>\n
<\/p>\n
Diese werden der nordkoreanischen APT-Hackergruppe Hidden Cobra (auch als Lazarus bekannt) zugeschrieben. Die Hacker waren f\u00fcr die gr\u00f6\u00dften Ransomware-Ausbr\u00fcche (WannaCry) in 2017 verantwortlich. In dieser Meldung<\/a> werden zwei Malware-Beispiele genannt, die k\u00fcrzlich entdeckt wurden: <\/p>\n Die Malware-Varianten werden 'in the wild' auf ahnungslose Nutzer angewandt, wobei Deutschland noch nicht im Fokus der Infektionen steht.<\/p>\n Die Joanap Malware ist ein voll funktionsf\u00e4higer Remote Access Trojaner (RAT), der mehrere Befehle empfangen kann, die von den HIDDEN COBRA-Akteuren aus der Ferne von einem Befehls- und Steuerungsserver verteilt werden k\u00f6nnen. Joanap infiziert normalerweise ein System \u00fcber Dateien, die von anderer HIDDEN COBRA-Malware platziert bzw. von Benutzern unwissentlich beim surfen auf Websites heruntergeladen wird. Alternativ kommt die Malware als b\u00f6sartige E-Mail-Anhang.<\/p>\n Bei der Analyse der von Joanap-Malware genutzten Infrastruktur identifizierte die US-Regierung 87 kompromittierte Netzwerkknoten. Die L\u00e4nder, in denen die infizierten IP-Adressen registriert sind, sind folgende:<\/p>\n Joanap ist eine zweistufige Malware, die zur Herstellung von Peer-to-Peer-Kommunikation und zur Verwaltung von Botnets eingesetzt wird, die weitere Operationen erm\u00f6glichen. Joanap-Malware bietet den HIDDEN COBRA-Akteuren die M\u00f6glichkeit, Daten abzurufen, sekund\u00e4re Nutzlasten zu l\u00f6schen und auszuf\u00fchren und die Proxy-Kommunikation auf einem infizierten Windows-Ger\u00e4t zu initialisieren. Weitere bemerkenswerte Funktionen sind:<\/p>\n Die Analyse zeigt, dass die Malware Daten mit Rivest Cipher 4 verschl\u00fcsselt, um die Kommunikation mit HIDDEN COBRA-Akteuren zu sch\u00fctzen. Nach der Installation erstellt die Malware einen Log-Eintrag im Windows-Systemverzeichnis in einer Datei namens mssscardprv.ax<\/em>. Die HIDDEN COBRA-Akteure verwenden diese Datei, um Informationen der Opfer wie die IP-Adresse des Hosts, den Hostnamen und die aktuelle Systemzeit zu erfassen und zu speichern.<\/p>\n Die Brambul-Malware ist ein b\u00f6sartiger Windows 32-Bit-SMB-Wurm, der als Service \u00fcber eine Dynamic Link Library-Datei oder als portable ausf\u00fchrbare Datei fungiert. Diese wird oft von Dropper-Malware auf das Netzwerk der Opfer heruntergeladen und installiert. Bei der Ausf\u00fchrung versucht die Malware, Kontakt zu den Systemen des Opfers und weiteren IP-Adressen in den lokalen Subnetzen der Opfer herzustellen. Gelingt dies, versucht die Anwendung, sich \u00fcber das SMB-Protokoll (Ports 139 und 445) unberechtigten Zugriff zu verschaffen. Dazu verwendet sie Brute-Force-Passwort-Angriffe \u00fcber eine Liste von eingebetteten Passw\u00f6rtern. Zus\u00e4tzlich generiert die Malware zuf\u00e4llige IP-Adressen f\u00fcr weitere Angriffe.<\/p>\n Analysten vermuten, dass die Malware auf unsichere oder ungesicherte Benutzerkonten abzielt und sich \u00fcber schlecht gesicherte Netzwerkfreigaben verbreitet. Sobald die Malware unbefugten Zugriff auf die Systeme des Opfers hat, \u00fcbermittelt sie Informationen \u00fcber die Systeme des Opfers \u00fcber entsprechende E-Mail-Adressen an die HIDDEN COBRA-Akteure. Diese Informationen umfassen die IP-Adresse und den Hostnamen sowie den Benutzernamen und das Kennwort des jeweiligen Opfersystems. Die HIDDEN COBRA-Akteure k\u00f6nnen diese Informationen nutzen, um \u00fcber das SMB-Protokoll auf ein kompromittiertes System zuzugreifen.<\/p>\n Die Analyse einer neueren Variante der Brambul-Malware ergab die folgenden integrierten Funktionen f\u00fcr den Remote-Betrieb:<\/p>\n DHS und FBI empfehlen Netzwerkadministratoren, an Hand der bereitgestellten Informationen aus dieser IOCs<\/a>-Datei (.csv) die Systeme zu \u00fcberpr\u00fcfen, um festzustellen, ob eine der bereitgestellten IP-Adressen in den zugewiesenen IP-Adressraum ihres Unternehmens f\u00e4llt, und – falls vorhanden – die erforderlichen Ma\u00dfnahmen zur Entfernung der Malware zu ergreifen.<\/p>\n Bei der \u00dcberpr\u00fcfung der IP-Adressen in Netzwerk-Perimeter-Protokollen finden Unternehmen m\u00f6glicherweise Instanzen dieser angegebenen IP-Adressen, die versuchen, eine Verbindung zu den Firmensystemen herzustellen. Bei der \u00dcberpr\u00fcfung des Datenverkehrs von diesen IP-Adressen k\u00f6nnen Systembesitzer feststellen, ob sich der Datenverkehr auf b\u00f6swillige Aktivit\u00e4ten und der Datenverkehr auf legitime Aktivit\u00e4ten bezieht.<\/p>\n Weitere Informationen sind im betreffenden Dokument<\/a> oder bei Bleeping Computer<\/a> zu finden. <\/p>\n \u00c4hnliche Artikel:<\/strong> Das US-CERT hat eine gemeinsame technische Warnung des Deputy of Homeland Security (DHS) und des FBI ver\u00f6ffentlicht, die vor zwei neu identifizierten Malware-Samples warnt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-205014","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205014"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205014\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Joanap Malware<\/h2>\n
\n
\n
\n
\n
Brambul (die Brombeere)<\/h2>\n
\n
das sich \u00fcber das Netzwerk mit Hilfe von SMB verbreitet,<\/li>\n
WannaCry: Hinweise auf Lazarus-Gruppe<\/a>
Check Point: Jedes 4. Unternehmen Fireball-\/Wannacry-Opfer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"