BatLoader-Malware-Erkennung: Aufstieg des ausweichenden Downloaders
Inhaltsverzeichnis:
Sicherheitsexperten warnen vor der berüchtigten, heimlichen Schadsoftware namens BatLoader, die in den letzten Monaten weltweit zunehmend Instanzen infiziert hat. Die berüchtigte Bedrohung fungiert als Malware-Downloader und setzt eine Vielzahl bösartiger Nutzlasten auf den Systemen der Opfer ab. Während der jüngsten Kampagnen wurde beobachtet, dass BatLoader Banking-Trojaner, Ransomware-Varianten, Informationsdiebe, und das Cobalt Strike Post-Exploitation-Toolkit liefert.
Bemerkenswerterweise verfügt BatLoader über eine Reihe von Erkennungsumgehungsfunktionen, die der Bedrohung ermöglichen, unbemerkt zu bleiben. Es verlässt sich stark auf Batch- und PowerShell-Skripte, um zu verhindern, dass Cybersecurity-Praktiker bösartige Kampagnen erkennen und blockieren. Die ausgeklügelte Angriffsstrategie weist mehrere Ähnlichkeiten mit Conti-Ransomware and Zloader-Banking-Trojaner.
Erkennung der Ausführung von BatLoader-Malware
Mit den ständig neuen, ausweichenden Tricks der BatLoader-Malware-Operatoren suchen Cyberverteidiger nach neuen Möglichkeiten, eine Infektion in der Infrastruktur der Organisation rechtzeitig zu erkennen. Die weltweit größte und fortschrittlichste Plattform von SOC Prime für kollektive Cybersicherheit pflegt brandneue Sigma-Regeln zur Erkennung von BatLoader. Beide Erkennungen, die von unseren aufmerksamen Threat-Bounty-Entwicklern entwickelt wurden, Osman Demir and Sittikorn Sangrattanapitak, sind auf das MITRE ATT&CK®-Framework abgebildet und mit führenden SIEM-, EDR-, BDP- und XDR-Lösungen kompatibel. Folgen Sie den Links unten, um sofortigen Zugang zu relevanten Sigma-Regeln zu erhalten und in ihren Cyber-Bedrohungskontext einzutauchen:
Verdächtige Ausführung der BatLoader-Malware durch PowerShell (über cmdline)
Diese von Osman Demir entwickelte Sigma-Regel erkennt die Ausführung der BatLoader-Malware über einen bösartigen PowerShell-Befehl. Die Erkennung betrifft die Ausführungs-Taktik mit der entsprechenden Command and Scripting Interpreter (T1059) Technik.
Mögliche Ausführung der BatLoader-Malware durch Gpg4Win-Tool (über Prozess-Erstellung)
Das oben erwähnte Stück von Sittikorn Sangrattanapitak erkennt den Einsatz von Gpg4win zum Entschlüsseln von bösartigen Nutzlasten durch die BatLoader-Malware. Diese Sigma-Regel betrifft die Ausführungs-Taktik mit der Benutzer-Ausführungs-Technik (T1204) und dem Command and Scripting Interpreter (T1059) als primäre Techniken.
Sowohl angehende als auch erfahrene Bedrohungsjäger und Erkennungstechniker, die ihre Sigma- und ATT&CK-Fähigkeiten verbessern und anderen helfen möchten, sich gegen aufkommende Bedrohungen zu verteidigen, können das SOC Prime Threat-Bounty-Programmnutzen. Durch den Beitritt zu dieser Crowdsourcing-Initiative können Cybersecurity-Experten ihre eigenen ATT&CK-zugeordneten Sigma-Regeln schreiben, sie mit der globalen Cyberverteidigungsgemeinschaft teilen und wiederkehrende Auszahlungen für Beiträge erhalten.
Um sofort auf Sigma-Regeln zur BatLoader-Erkennung zuzugreifen, klicken Sie einfach auf den Detektionen erkunden Button. Tauchen Sie in den umfassenden Cyber-Bedrohungskontext ein, einschließlich MITRE ATT&CK-Referenzen, Bedrohungsinformationen, ausführbaren Binärdateien und Gegenmaßnahmen zur optimierten Bedrohungsforschung.
BatLoader-Analyse
Zunächst enthüllt und analysiert von Mandiant im Februar 2022, entwickelt sich BatLoader kontinuierlich weiter, was für Cybersecurity-Praktiker eine erhebliche Bedrohung darstellt.
Die neueste Untersuchung von VMware Carbon Black zeigt, dass die BatLoader-Malware eine Reihe hochentwickelter Funktionen nutzt, um ahnungslose Opfer heimlich zu infizieren und Nutzlasten der zweiten Stufe auf ihre Maschinen zu lancieren. Zu den neuesten BatLoader-Opfern gehören Organisationen in den Bereichen Unternehmensdienstleistungen, Finanzen, Fertigung, Bildung, Einzelhandel, IT und Gesundheitswesen.
Hauptsächlich verlassen sich BatLoader-Operatoren auf SEO-Vergiftung, um Opfer auf gefälschte Websites umzuleiten und sie dazu zu bringen, die Malware herunterzuladen. Beispielsweise wurden in einer der neuesten BatLoader-Kampagnen Opfer dazu verleitet, gefälschte Downloadseiten für beliebte Software wie LogMeIn, Zoom, TeamViewer und AnyDesk zu besuchen. Malware-Operatoren bewarben Links zu diesen bösartigen Webseiten über gefälschte Anzeigen, die aktiv in Suchergebnissen gezeigt wurden. Durch die Verwendung von living-off-the-land Binärdateien ist die Erkennung und Blockierung der Kampagne eine herausfordernde Aufgabe, insbesondere in den frühesten Phasen der Angriffsentwicklung.
Nach der Infektion verlässt sich BatLoader auf Batch- und PowerShell-Skripte, um einen initialen Zugriff auf das Netzwerk des Opfers zu erlangen. Bemerkenswerterweise verfügt BatLoader über eine eingebaute Logik, die es der Malware ermöglicht zu erkennen, ob die Zielmaschine entweder ein Unternehmens- oder ein Privatgerät ist, und in jedem Fall entsprechende Nutzlasten der zweiten Stufe abzusetzen. Für Unternehmensumgebungen wendet BatLoader in der Regel Eindringlingswerkzeuge an, wie z. B. Cobalt Strike und das Syncro Remote-Überwachungs- und Verwaltungs-Utility, während die Malware auf einem privaten Computer landend mit Informationsdiebstahl und Banking-Trojaner-Nutzlasten fortfährt.
Bemerkenswerterweise wird beobachtet, dass BatLoader-Kampagnen einige Ähnlichkeiten mit anderen berüchtigten bösartigen Mustern teilen, einschließlich der Conti-Ransomware und dem Zloader-Banking-Trojaner. Die Überschneidungen mit Conti umfassen die Nutzung derselben IP-Adressen, die Conti für seine Log4j-Kampagnen anwendete, und die Verwendung eines Remote-Management-Tools namens Atera. Und mit Zloader teilt die Malware dieselben Infektionstricks, hauptsächlich den Einsatz von SEO-Vergiftungstechniken, PowerShell- & Batch-Skripten und anderen nativen Betriebssystem-Binärdateien.
Seien Sie den Angreifern voraus und erkennen Sie durch kuratierte Sigma-Regeln in der SOC Prime Plattform proaktiv berüchtigte Bedrohungen. Erkennungen für aktuelle und aufkommende Bedrohungen sind griffbereit! Entdecken Sie mehr auf https://socprime.com/.
