Hacker, die Locky-Ransomware auf den Systemen des Opfers installieren möchten, verwenden die XOR-Verschleierung und kehren die Bytes auf den Nutzdaten um, um der Erkennung durch Netzwerksicherheitstools zu entgehen.
Nach Untersuchungen der Sicherheitsfirma Proofpoint hat die Verwendung von Malware-Loadern wie RockLoader in Verbindung mit der Verwendung von schädlichen Javascript-Dateien dazu geführt, dass Locky eine der größten Bedrohungen unter der per E-Mail verteilten Ransomware bleibt.
Forscher des Unternehmens beobachteten kürzlich einen Locky-Distributor, der weitere Anstrengungen unternahm, um seine Ransomware schwer fassbarer und effektiver zu machen.
“Diese Kampagnen zeigen weiterhin den Trend, dass Bedrohungsakteure die Bereitstellungsmechanismen verschieben und neue Ebenen der Verschleierung und Umgehung hinzufügen, um Sicherheitsmaßnahmen zu umgehen. Im obigen Beispiel war die anfängliche Nutzlast tatsächlich der RockLoader-Malware-Loader, der dann versuchte, Locky von einem hoch entwickelten zu installieren Befehls- und Kontrollarchitektur (C & C) “, sagten Forscher von Proofpoint in einem Blogbeitrag.
Die XOR-Verschleierung verschleiert den Code der böswilligen Ransomware als etwas, das den Eindruck erweckt, Teil des ursprünglichen Binärcodes zu sein.
“Letzte Woche haben wir jedoch beobachtet, dass ein Locky-Akteur (Affiliate-ID 1) die XOR-Verschleierung verwendet und die Bytes auf den Nutzdaten umkehrt, um der Erkennung durch Netzwerksicherheitstools zu entgehen”, so die Forscher.
Diese Technik hat sich als schnell und effektiv erwiesen, was sie zu einer beliebten Wahl unter Bedrohungsakteuren gemacht hat.
“Während diese Art der Verschleierung besonders effektiv gegen Netzwerksicherheitsprodukte sein kann, die hauptsächlich ausführbare Dateien scannen, die in das Netzwerk gelangen, können sie auch zur Sandbox-Umgehung verwendet werden”, sagten sie.
Die Forscher empfahlen den Benutzern, Sicherheitsformen zu verwenden, um den Techniken von Locky entgegenzuwirken, zumal es schwieriger als je zuvor ist, erkannt zu werden.
Ausgewählte Ressourcen
Werden Sie ein digitaler Dienstleister
So transformieren Sie Ihr Unternehmen vom Netzwerkkern zum Edge
jetzt downloaden
Optimale Geschäftsergebnisse mit der Cloud
Bewertung der besten Ansätze für die Einführung hybrider Clouds
jetzt downloaden
Virtualisierung, die Entscheidungen ermöglicht, keine Kompromisse
Nutzen Sie die Virtualisierungstechnologie, die für Ihre Hybridinfrastruktur geeignet ist
jetzt downloaden
E-Mail-Sicherheitsbedrohungsbericht 2020
Vier wichtige Trends vom Speerfischen bis zum Diebstahl von Ausweisen
jetzt downloaden
