{"id":223100,"date":"2019-09-30T14:59:03","date_gmt":"2019-09-30T12:59:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223100"},"modified":"2019-10-01T10:06:47","modified_gmt":"2019-10-01T08:06:47","slug":"analyse-nodersok-malware-vom-defender-nicht-erkennbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/09\/30\/analyse-nodersok-malware-vom-defender-nicht-erkennbar\/","title":{"rendered":"Analyse: Nodersok-Malware &ndash; vom Defender nicht immer erkennbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/09\/30\/analysis-nodersok-malware-defender-doesnt-detect-it\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Microsoft hat gerade eine Analyse der Nodersok-Infektionskette ver\u00f6ffentlicht. Die Malware wird komplett im Speicher ausgef\u00fchrt und ist f\u00fcr Virenschutzprogramme wie den Defender nur schwierig zu erkennen (aber Microsoft Defender ATP kann\u00a0 den Sch\u00e4dling anhand des Verhaltens erkennen). Es gibt Tausende Infektionen von Windows-Systemen, auch in Europa.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1818673eece84ed0a6aea926dbddfe8a\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Leon hatte mich bereits Ende letzter Woche auf das Thema aufmerksam gemacht (danke daf\u00fcr).<\/p>\n<h2>Die Nodersok-Malware<\/h2>\n<p>Es gibt eine Malware mit dem von Microsoft gew\u00e4hlten Namen Nodersok (Talos nennt sie Divergent), die keine Dateien verwendet, sondern per Node.js in Form verschl\u00fcsselter Scripte ausgerollt wird. Der komplette Schadcode wird im Arbeitsspeicher entpackt und dann ausgef\u00fchrt. Daher kann ein Virenscanner wie der Microsoft Defender diesen Sch\u00e4dling nicht &#8211; oder nur sehr schwer &#8211; erkennen. Nachfolgender Tweet thematisiert das Ganze.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Every step of <a href=\"https:\/\/twitter.com\/hashtag\/Nodersok?src=hash&amp;ref_src=twsrc%5Etfw\">#Nodersok<\/a>'s infection chain runs only legitimate executables. All relevant functionalities reside in scripts and shellcodes that come in encrypted and are decrypted and run while only in memory. More in our analysis of this <a href=\"https:\/\/twitter.com\/hashtag\/fileless?src=hash&amp;ref_src=twsrc%5Etfw\">#fileless<\/a> threat: <a href=\"https:\/\/t.co\/d4XC5dQeg7\">https:\/\/t.co\/d4XC5dQeg7<\/a><\/p>\n<p>\u2014 Microsoft Security Intelligence (@MsftSecIntel) <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1177389669253709825?ref_src=twsrc%5Etfw\">September 27, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2019\/09\/26\/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Microsoft-Artikel<\/a> benutzt die neue Malware-Kampagne, Nodersok genannt, ein eigenes LOLBins-Image\u00a0 \u2013 und es verwendet zwei sehr ungew\u00f6hnliche, legitime Tools f\u00fcr infizierte Computer:<\/p>\n<ul>\n<li><em>Node.exe<\/em>, die Windows Implementierung des beliebten Node.js Frameworks, das von unz\u00e4hligen Webanwendungen verwendet wird.<\/li>\n<li><em>WinDivert<\/em>, ein leistungsstarkes Programm zur Erfassung und Bearbeitung von Netzwerkpaketen.<\/li>\n<\/ul>\n<blockquote><p>Ein LOLBins steht f\u00fcr Living off the land Binary und ist eine Bezeichnung f\u00fcr eine Bin\u00e4rdatei, die ein Angreifer verwendet, um um Aktionen durchzuf\u00fchren, die \u00fcber den urspr\u00fcnglichen Zweck hinausgehen (siehe die Ausf\u00fchrungen <a href=\"https:\/\/github.com\/LOLBAS-Project\/LOLBAS\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>).<\/p><\/blockquote>\n<p>Wie bei jedem LOLBin sind diese oben genannten Tools selbst nicht b\u00f6sartig oder anf\u00e4llig; sie bieten wichtige Funktionen f\u00fcr den legitimen Gebrauch unter Windows. Aber die Nodersok verwendet die Tools f\u00fcr ihre Zwecke. Es ist nicht ungew\u00f6hnlich, dass Angreifer legitime Tools von Drittanbietern auf infizierte Computer herunterladen (z.B. wird PsExec oft missbraucht, um andere Tools oder Befehle auszuf\u00fchren).<\/p>\n<h2>Schwierig zu erkennen<\/h2>\n<p>Nodersok nutzt aber eine lange Kette von file-less Techniken, um einige sehr spezielle, aber legitime Tools zu installieren. Das Endziel: infizierte Computer in Zombie-Proxies zu verwandeln. Durch den dateilosen Ansatz ist der Angriffs sehr schwierig zu erkennen (der Microsoft Defender erkennt die Malware wegen der fehlenden Dateien nicht bzw. nur sehr schwer &#8211; aktuell hat mal wohl die Erkennung f\u00fcr die aktuelle Nodersok-Variante hinbekommen) \u2013 aber der Angriff erzeugt durch sein Verhalten einen sichtbaren 'Fu\u00dfabdruck', der f\u00fcr jeden, der wei\u00df, wo er suchen muss, deutlich auff\u00e4llt. Mit seiner Reihe von fortschrittlichen Verteidigungstechnologien ist Microsoft Defender ATP in der Lage, die Bedrohung innerhalb der ganzen Infektionskette zu erkennen.<\/p>\n<blockquote><p>Erg\u00e4nzung: Da es Diskussionen in den Kommentaren gab &#8211; Microsoft Defender ATP ist eine Cloud-Funktionalit\u00e4t, die in Unternehmen kostenpflichtig zugebucht werden kann, aber nichts mit dem Microsoft Defender von Windows zu tun hat. Der in Windows integrierte Microsoft Defender hat die Schwierigkeit, dass er die verschl\u00fcsselten Dateien mit der Payload nur schwer erkennen kann. Aktuell scheint Microsoft aber die Abwehr der aktuellen Version von Nodersok im Defender hin zu bekommen. Wie das mit m\u00f6glichen Varianten ausschaut, kann ich nicht beurteilen.<\/p><\/blockquote>\n<h2>Tausende Maschinen infiziert<\/h2>\n<p>Die Nodersok-Kampagne hat in den letzten Wochen Tausende von Maschinen angegriffen, wobei sich die meisten Ziele in den Vereinigten Staaten und Europa befinden. Die Mehrheit der angegriffenen Systeme sind in der Hand von Verbrauchern. Aber etwa 3% der angegriffenen Windows-Maschinen werden in Organisationen in Bereichen wie Bildung, professionelle Dienstleistungen, Gesundheitswesen, Finanzen und Einzelhandel betrieben.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/www.microsoft.com\/security\/blog\/wp-content\/uploads\/2019\/09\/Fig1aa-Nodersok-distribution-by-country.png\" \/>(Quelle: Microsoft)<\/p>\n<p>Das obige Diagramm von Microsoft zeigt, dass etwa 8% der festgestellten Angriffe auf Windows-Systeme in Deutschland entf\u00e4llt. Microsoft hat diese Malware-Kampagne bereit Mitte Juli 2019 entdeckt, als verd\u00e4chtige Muster in der anormalen Verwendung von MSHTA.exe aus der Microsoft Defender ATP-Telemetrie auftauchten. In den folgenden Tagen zeichneten sich weitere Anomalien ab, die zu einer Verzehnfachung der Aktivit\u00e4t f\u00fchrten. Die Kampagne hatte vor allem Ende August und Anfang September 2019 ihre H\u00f6hepunkte, um dann abzuklingen. Weitere Details sind <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2019\/09\/26\/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">dem Microsoft Artikel hier<\/a> oder <a href=\"https:\/\/thehackernews.com\/2019\/09\/windows-fileless-malware-attack.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag auf The Hacker News<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat gerade eine Analyse der Nodersok-Infektionskette ver\u00f6ffentlicht. Die Malware wird komplett im Speicher ausgef\u00fchrt und ist f\u00fcr Virenschutzprogramme wie den Defender nur schwierig zu erkennen (aber Microsoft Defender ATP kann\u00a0 den Sch\u00e4dling anhand des Verhaltens erkennen). Es gibt Tausende &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/09\/30\/analyse-nodersok-malware-vom-defender-nicht-erkennbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[2699,1018,4328,3288],"class_list":["post-223100","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-defender","tag-malware","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223100"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223100\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}