Ransomware verwendet neue Verschleierungstechnik

Palo Alto Networks hat ein neues Tool identifiziert, das von der Ransomware-Familie Locky verwendet wird, um nicht entdeckt zu werden und Endpunkte zu infizieren. Mithilfe des Bedrohungserkennungsdienstes AutoFocus von Palo Alto Networks wurden beim Korrelieren von globalen Daten leichte Veränderungen an Locky festgestellt. Das bei Locky neu entdeckte Tool, um Sicherheitskontrollen zu umgehen, kommt offensichtlich sogar bei weiteren Ransomware-Familien zum Einsatz. Dies berichten die Security-Spezialisten von Palo Alto in einem Researchcenter-Beitrag. Mehrere Malware-Samples fielen den Malware-Jägern auf durch verschleierte API-Aufrufe, die Systemfunktionen manipulierten. Diese Funktion bleibt den häufig verwendeten statischen Analyse-Tools verborgen. Die Manipulationen an den API-Aufrufen verhindern die Klassifizierung anhand von Schlüsselnamen, wodurch die Wahrscheinlichkeit erhöht wird, dass die Malware nicht entdeckt wird. Dies scheint jedoch nur eine von mehreren Massnahmen zu sein, um Sicherheitsanalysen in die Irre zu leiten. Bei der Begutachtung aktueller Samples zeigte sich, dass die Importtabellen für die Bibliotheken, die bei der Ausführung geladen werden, sich deutlich unterscheiden, was eine sinnvolle Erkennung von Import-Hashing verhindert. Zudem scheint es, dass der Autor versucht, jede Menge sinnlose Anweisungen zu generieren, um die Analyse zu erschweren. Neben Locky tauchte diese Technik auch bei Samples der Malware-Familien TeslaCrypt und Andromeda auf.