tashatuvango - Fotolia

F

Die Malware Latentbot nutzt Verschleierung für ihre Angriffe

Die Malware Latentbot setzt mehrere Verschleierungsebenen ein, dadurch ist sie sehr schwer zu entdecken. So können sich Unternehmen schützen.

Die Malware Latentbot nutzt nach Angaben vom Sicherheitsanbieter Fireeye sehr ausgefeilte Methoden, um ihre Aktivitäten zu verbergen. Die Malware sei in der Lage Informationen abzuziehen und können sich sogar Bitcoins widerrechtlich aneignen. Alles beginnt mit einer Phishing-E-Mail die eine präparierte Word-Datei als Anhang im Gepäck hat. Ist dieser Angang erst einmal geöffnet, erfolgt eine Verbindung zu einem Command-and-Control-Server um die nächste Malware nachzuladen. Hierbei handelt es sich um LuminosityLink RAT, die wiederum die nächste Stufe des Angriffs einläutet und die eigentliche Latentbot Malware herunterlädt.

In einem Blogbeitrag beschreibt Fireeye detailliert, wie Latentbot einen mehrstufigen Prozess verwendet, um auf dem befallenen System sein Werk auszuführen. Dazu gehören auch Plugins, die feststellen können, ob Antiviren-Tools auf dem System laufen oder die Malware selbst gerade von Sicherheitsalgorithmen untersucht wird.

Latentbot arbeitet mit mehreren Ebenen der Code-Verschleierung um seine Aktivitäten während jeder Stufe des Angriffs zu verbergen. Allerdings lässt die Malware sich im Speicher aufspüren. Dadurch das Latentbot während jedes Schrittes mit Code-Verschleierung arbeitet, wird das entdecken und analysieren der Malware erschwert. Um sich vor Erkennung zu schützen, legt die Malware verschlüsselte Daten in der Registry ab. Latentbot verfügt über eine VNC-Funktion (Virtual Network Computing). VNC eignet sich für die Zwecke der Angreifer trefflich, da so gesehen werden kann, was auf dem Bildschirm des angegriffenen Systems vor sich geht, ohne das der Angegriffene davon etwas mitbekommt.

Schutzmaßnahmen gegen Latentbot

Wie können sich Unternehmen gegen Latentbot schützen? Prinzipiell funktionieren alle Maßnahmen, die auch bei anderer dateiloser Malware greifen (siehe auch Angriffe mit dateiloser Malware nehmen zu). Dazu gehören beispielsweise ein allgemeiner Schutz vor Phishing-Angriffen sowie das Überwachen ausführbare Dateien, im Hinblick auf unerlaubte Verbindungen nach außen sowie Downloads.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close