{"id":225393,"date":"2019-11-26T19:21:29","date_gmt":"2019-11-26T18:21:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225393"},"modified":"2020-01-14T23:06:36","modified_gmt":"2020-01-14T22:06:36","slug":"microsoft-dexphot-malware-infiziert-mehr-als-80-000-rechner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/26\/microsoft-dexphot-malware-infiziert-mehr-als-80-000-rechner\/","title":{"rendered":"Microsoft: Dexphot Malware infiziert mehr als 80.000 Rechner"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/26\/microsoft-dexphot-malware-infects-more-as-80-000-systems\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsforscher von Microsoft haben festgestellt, dass mehr als 80.000 Rechner durch einen Malware mit dem Namen Dexphot infiziert worden sind. Die Schadsoftware wird aktuell f\u00fcr Crypto-Mining eingesetzt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/f53b1d486ea64bab8ae95b4bee0dfaa0\" width=\"1\" height=\"1\"\/>Das Ganze l\u00e4uft bereits seit 2018, wobei der Peak der Infektionen im Juni mit 80.000 Infektionen erreicht wurde. Ich bin \u00fcber folgenden Tweet auf die Information gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Microsoft says new Dexphot malware infected more than 80,000 computers<\/p>\n<p>&gt; delivered via ICLoader<br \/>&gt; used for cryptomining<br \/>&gt; peaked in June at 80k infections<br \/>&gt; used fileless execution, LOLbins, polymorphism, and redundant boot persistence mechanisms<a href=\"https:\/\/t.co\/vzsplOiW3g\">https:\/\/t.co\/vzsplOiW3g<\/a> <a href=\"https:\/\/t.co\/GKgVqsodYu\">pic.twitter.com\/GKgVqsodYu<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1199372245707165696?ref_src=twsrc%5Etfw\">November 26, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<h2>Erstmals im Oktober 2018 bemerkt<\/h2>\n<\/p>\n<p>Microsoft hat die Details in <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2019\/11\/26\/insights-from-one-year-of-tracking-a-polymorphic-threat\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. Die Malware wurde im Oktober 2018 bemerkt, als Microsofts polymorphes Ausbruch\u00fcberwachungssystem einen gro\u00dfen Anstieg an Meldungen verzeichnete. Das deutet darauf hin, dass sich eine gro\u00df angelegte Malware-Kampagne entwickelte. <\/p>\n<p>Microsofts Sicherheitsteam konnte dann beobachten, wie die neue Malware versuchte, Dateien, die sich alle 20-30 Minuten \u00e4nderten, auf Tausenden von Ger\u00e4ten einzuschleusen. Die Malware wurden dann von Microsoft mit dem Namen \"Dexphot\" benannt. <\/p>\n<h2>Trickreiche Methoden zur Infektion<\/h2>\n<p>Der Dexphot-Angriff verwendete eine Vielzahl von ausgekl\u00fcgelten Methoden, um Sicherheitsl\u00f6sungen zu umgehen. Es gibt verschiedene Ebenen der Verschleierung des Codes (Obfuscation), der Verschl\u00fcsselung, und der Verwendung von zuf\u00e4lligen Dateinamen, um den Installationsprozess zu verbergen.<\/p>\n<p>Dexphot verwendete dateilose Techniken, um Schadcode im Speicher auszuf\u00fchren, wobei nur wenige Spuren hinterlassen wurden, die f\u00fcr die Forensik verwendet werden k\u00f6nnen. Der Schadcode hat legitime Systemprozesse gekapert, um b\u00f6swillige Aktivit\u00e4ten zu tarnen. Wenn Dexphot w\u00e4hrend der Infektionsphase nicht gestoppt wird, l\u00e4uft letztendlich ein Crypto-Miner auf dem Ger\u00e4t. Vom Sch\u00e4dling aufgesetzte \u00dcberwachungsdienste und geplante Aufgaben l\u00f6sen eine erneute Infektion aus, sobald versucht wird, die Malware zu entfernen.<\/p>\n<h2>Microsoft Defender ATP block Dexphot&nbsp; <\/h2>\n<p>Die Erkennungsmodule von Microsoft Defender Advanced Threat Protection blockierten in den meisten F\u00e4llen Dexphot bereits vor der Ausf\u00fchrung. Falls das einmal nicht gelang, boten verhaltensbasierte maschinelle Lernmodelle Schutz. Angesichts der Persistenzmechanismen der Bedrohung, des Polymorphismus und der Verwendung von dateilosen Techniken war die verhaltensbasierte Erkennung, laut Microsoft, ein wichtiger Bestandteil des umfassenden Schutzes vor dieser Malware und anderen Bedrohungen, die ein \u00e4hnliches b\u00f6sartiges Verhalten aufweisen. <\/p>\n<p>Laut dieser Microsoft-Seite erkennt auch der Windows Defender unter Windows 8.1 und Windows 10 diesen Sch\u00e4dling als Trojan:Win32\/Dexphot. Auf Grund der Erkennungsm\u00f6glichkeiten geht die Infektionsrate inzwischen war stark zur\u00fcck. Details sind in <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2019\/11\/26\/insights-from-one-year-of-tracking-a-polymorphic-threat\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Microsoft-Artikel<\/a> nachlesbar. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Microsoft haben festgestellt, dass mehr als 80.000 Rechner durch einen Malware mit dem Namen Dexphot infiziert worden sind. Die Schadsoftware wird aktuell f\u00fcr Crypto-Mining eingesetzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-225393","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225393"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225393\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}