Erkennung von Colibri Loader Malware: Ungewöhnliche Persistenz mit PowerShell

[post-views]
April 07, 2022 · 4 min zu lesen
Erkennung von Colibri Loader Malware: Ungewöhnliche Persistenz mit PowerShell

Ein Malware-Loader Colibri, der erst vor nicht allzu langer Zeit – im August 2021 – erschien, wurde kürzlich dabei entdeckt, Vidar Nutzlasten in einer neuen laufenden Colibri Loader-Kampagnezu liefern. Forscher weisen darauf hin, dass Colibri eine ungewöhnliche Persistenztechnik verwendet, die bis zu diesem Zeitpunkt nicht nachverfolgt wurde. Aktualisierte Funktionalitäten motivieren Gegner, ihre neue Malware-Schöpfung an andere Cyberkriminelle zu verkaufen, die unkonventionelle und schwer zu erkennende Methoden suchen, um Persistenz zu etablieren und aufrechtzuerhalten.

Lesen Sie weiter, um mehr über den Weg von Colibri Loader zu erfahren und entdecken Sie unsere neuesten Erkennungsinhalte, die speziell für diese neueste Malware-Version erstellt wurden.

Colibri Loader-Kampagne: Wie zu erkennen

Sie können versuchen, Colibri Loader-Malware mit Hilfe unserer neuesten Sigma-basierten Regel zu erkennen, die von unserem Threat Bounty Entwickler Kaan Yeniyol erstellt wurde. Diese Regel zielt speziell darauf ab, die neueste Persistenzmethode zu erkennen, die von Bedrohungsakteuren genutzt wird, und greift die Technik Scheduled Task/Job (T1053) aus dem MITRE ATT&CK® Framework an.

Verdächtige Colibri Loader-Persistenz durch PowerShell, das geplante Aufgaben erstellt (über Sicherheit)

Um unsere neuesten Erkennungen in Bezug auf Colibri Loader und Malware, die mit ähnlichen Angriffen in Verbindung steht, im Auge zu behalten, können Sie Funktionen unserer erweiterten Suche nutzen. Klicken Sie einfach auf die Schaltfläche Erkennungen anzeigen, melden Sie sich in Ihrem Konto an und passen Sie Ihre Suchkriterien genau so an, wie Sie es möchten. Und wenn Sie ein etablierter Fachmann in der Bedrohungssuche und -erkennung sind, können Sie zu unserer globalen Crowdsourcing-Initiative beitragen und durch die Erstellung Ihrer eigenen Erkennung monetarisieren.

Erkennungen anzeigen Threat Bounty beitreten

Colibri Loader Malware Analyse

Die erste Version von Colibri Loader, die im letzten Sommer erstellt wurde, lieferte eine EXE-Datei mit sich selbst modifizierendem Code durch trojanisierte Dateien aus. In einer laufenden Kampagne beginnt die Angriffskette auch mit einem infizierten Word-Dokument, das die Operation eines Colibri-Bots einleitet und eine ungewöhnliche Persistenztaktik etabliert. Währenddessen ist Vidar Stealer für den Rest der bösartigen Mission auf dem Computer des Opfers verantwortlich.

Frühere Kampagnen stellten eine Verbindung zum C2-Server her, indem sie eine entsprechende Nutzlast /gate.php herunterluden und dann eine HTTP-GET-Anfrage durch den Aufruf der Funktion HttpSendRequestW sendeten. In dieser neuen Variante der Colibri Loader-Nutzlastbeginnt der Angriff, indem eine Remote-Template-Injektion initiiert wird. Das infizierte Dokument kommuniziert mit einem Remote-Server, um ein DOT-Template herunterzuladen, das dann das bösartige Makro kontaktiert. Dieses wiederum ermöglicht PowerShell, eine EXE-Datei herunterzuladen, die eine endgültige Colibri-Nutzlast enthält.

Eine Besonderheit der PowerShell-Ausnutzung in dieser Kampagne ist, dass sie auf eine ziemlich einzigartige Weise verwendet wird, um die Persistenz des infizierten Geräts aufrechtzuerhalten. Es ist erwähnenswert, dass Colibri Loader verschiedene Versionen seiner ausführbaren Dateien hat, die Persistenz für verschiedene Windows-Versionen ermöglichen: eine für 10 und 11, und eine andere für ältere Versionen (Windows 7 und 8). Die Speicherorte, an denen diese Dateien abgelegt werden, variieren ebenfalls. Doch im Allgemeinen laufen diese bösartigen Dateien, indem sie sich als legitime PowerShell-Cmdlets tarnen. Zum Beispiel wird eine bösartige Datei namens Get-Variable.exe im WindowsApps-Verzeichnis abgelegt (dem nativen Pfad für die PowerShell-Ausführung), was mit dem ähnlichen Get-Variable-Cmdlet übereinstimmt, das normalerweise in PowerShell verwendet wird. Dadurch wird die bösartige Binärdatei anstelle des normalen Befehls ausgeführt.

Forscher bemerkten auch die Ausführung von PowerShell in einem versteckten Fenster, was ihrer Meinung nach ein spezifisches neues Merkmal dieses neuesten Angriffsvektors ist, den Colibri nutzt. Die Tatsache, dass er neu und noch nicht ausreichend von Sicherheitsanalytikern untersucht ist, erleichtert den Prozess, Colibri Loader an Beliebtheit in dunklen Cyber-Märkten zu gewinnen. Die kontinuierliche Anpassung der Cybersicherheitsverteidigung scheint vielleicht herausfordernd, kann jedoch effizienter werden, wenn man die Vorteile der kollaborativen Verteidigung nutzt. Treten Sie bei SOC Primes Detection as Code-Plattform bei und erhalten Sie sofortigen Zugriff auf den globalen Pool von Erkennungsinhalten, der ständig aktualisiert wird, um den aufkommenden Bedrohungen standzuhalten.

 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten