Mehrere Deutsche DAX-Konzerne sind bereits Mitte 2019 von einer Hackergruppe namens WinNTI ausgespäht worden. Das Bundesamt für Verfassungsschutz (BfV) geht davon aus, dass die deutsche Wirtschaft attraktives Ziel von anhaltenden Angriffswellen sein wird.

Im Dezember 2019 wurde vom BfV ein Cyber-Brief mit Hinweisen auf aktuelle Angriffskampagnen veröffentlicht und an viele deutsche Industrieunternehmen gesendet, indem der Sachverhalt erörtert und eine technische Analyse zum Vorgehen von WinNTI erläutert wird.

 

Wie kann Panda Adaptive Defense 360 (AD 360) bei bestimmten Angriffsszenarien helfen?

Wir beantworten Ihnen im Folgenden Fragen, die sich auf die vom BfV hingewiesene potenzielle Angriffskampagnen beziehen.

 

  • Wie wird ein Unbekannter Dropper in einer Prozesskette klassifiziert?

Quelle: www.verfassungsschutz.de

AD 360 erkennt den Prozess nicht als vertrauenswürdig an und hält dessen Ausführung somit automatisch fest. Ob ein Prozess schädlich ist oder nicht, wird durch die Prüfung des Quellcodes festgestellt. Unter AD360 wird der Prozess als „schadhaft“ klassifiziert und der Angriff ist bereits abgewehrt.

 

  • Im Fall, dass ein weiterentwickelter Dropper nicht bereits vorher gestoppt wurde: Ist AD 360 dann in der Lage, den Ladeprozess der Malware zu unterbinden?

Quelle: www.verfassungsschutz.de

In dieser fortgeschrittenen Stufe würde AD 360 wieder aktiv werden. Da, wie in der oberen Abbildung zu sehen, der Prozess „payload.dll“ wieder unbekannt ist da sie verändert wurde, wird dieser von AD 360 automatisch geblockt. Die tmp.bat ist ebenfalls unbekannt und wird von AD360 geblockt.

 

  • Wie würde Panda mit der veränderten Payload2 dll-Variante umgehen (Abbildung 3 des Cyber-Briefes des BfV)?

Quelle: www.verfassungsschutz.de

Dieser Schritt des Ausführungsprozesses entfällt komplett, da die payload.dll bereits in der vorherigen Stufe festgehalten wurde. Der angeführte „reflective dll loading“-Shellcode (in der Abbildung unter (3.) zu sehen) wird einer Quellcodeüberprüfung unterzogen.

 

  • Entfällt somit auch der nachfolgende Angriff des Kernel drivers? (Abbildung 7 des Cyber-Briefes des BfV)

Quelle: www.verfassungsschutz.de

Die im Cyber-Brief unter Abbildung 7 beschriebene Attacke, ist eine ähnliche Herangehensweise wie Meltdown oder Spectre dieses im großen Stil möglich machen, wie sie bereits 2018 beschrieben wurden. Auch hier würde die Prozessausführung überwacht und blockiert.

 

Aktuell kennt Adaptive Defense ca. 20.000 verschiedene Angriffsmuster. Ab Anfang April 2020 wird Adaptive Defense weiter ergänzt, indem die Yara Rules ebenfalls aufgenommen werden.

 

Fazit

Adaptive Defense prüft bereits alle Prozesse automatisch und blockiert solange, bis die Klassifizierung als „vertrauenswürdig“ eingestuft ist oder entfernt diese als „schädlich“ klassifizierten Interaktionen. Freigegebene Prozesse werden in Echtzeit weiter überwacht (dynamischer Exploit-Schutz) und blockiert, wenn ein „schadhaftes“ Verhalten klassifiziert wird.

Standard-Antiviren-Programme erkennen den Dropper nicht, da keine dateibasierten Malware-Dateien von Nöten sind. Der Angriff findet weitgehend mit Windowsapplikationen statt oder nutzt Dateien, die fälschlicherweise bewusst als Windows-eigene Dateien zertifiziert wurden. Viele Antiviren-Lösungen fassen betriebssystemeigene Dateien nur marginal oder sogar gar nicht an, um den laufenden Betriebsprozess nicht zu beeinflussen.