LONDON (IT BOLTWISE) – Eine neue Bedrohung für Windows-Systeme hat die Aufmerksamkeit von Cybersicherheitsexperten auf sich gezogen. Diese Malware nutzt beschädigte DOS- und PE-Header, um Erkennungsmechanismen zu umgehen und sich unbemerkt auf infizierten Systemen zu halten.
In der Welt der Cybersicherheit ist es eine ständige Herausforderung, mit den immer raffinierteren Methoden von Angreifern Schritt zu halten. Jüngste Entdeckungen von Fortinet zeigen, dass eine neue Art von Malware, die auf Windows-Systemen operiert, durch die Manipulation von DOS- und PE-Headern wochenlang unentdeckt bleiben konnte. Diese Header sind entscheidend für die Erkennung und Ausführung von Programmen unter Windows, da sie Informationen über die ausführbare Datei bereitstellen.
Die DOS-Header sorgen für die Rückwärtskompatibilität mit MS-DOS, während die PE-Header Metadaten enthalten, die für das Laden und Ausführen des Programms unter Windows notwendig sind. Durch die Beschädigung dieser Header wird die Analyse der Malware erheblich erschwert, was es den Angreifern ermöglicht, ihre Aktivitäten im Verborgenen fortzusetzen.
Forscher des FortiGuard Incident Response Teams, darunter Xiaopeng Zhang und John Simmons, berichteten, dass die Malware in einem kompromittierten System mehrere Wochen aktiv war. Die Angreifer nutzten eine Kombination aus Skripten und PowerShell, um die Malware innerhalb eines Windows-Prozesses auszuführen. Obwohl es Fortinet nicht gelang, die Malware selbst zu extrahieren, konnten sie einen Speicherabzug des laufenden Malware-Prozesses sowie einen vollständigen Speicherabzug des kompromittierten Systems erhalten.
Die Malware operiert innerhalb eines dllhost.exe-Prozesses und ist eine 64-Bit-PE-Datei mit beschädigten DOS- und PE-Headern. Diese Strategie erschwert die Analyse und Rekonstruktion der Nutzlast aus dem Speicher. Trotz dieser Hindernisse gelang es Fortinet, die Malware in einer kontrollierten Umgebung zu analysieren, indem sie die Umgebung des kompromittierten Systems nachbildeten.
Einmal ausgeführt, entschlüsselt die Malware Informationen über die Command-and-Control-Domain (C2), die im Speicher gespeichert sind, und stellt dann eine Verbindung zum Server her. Die Kommunikation mit dem C2-Server erfolgt über das TLS-Protokoll, was zusätzliche Sicherheit für die Angreifer bietet. Die Malware fungiert als Remote-Access-Trojaner (RAT) mit der Fähigkeit, Screenshots zu erfassen, Systemdienste zu manipulieren und als Server für eingehende Verbindungen zu agieren.
Diese mehrschichtige Architektur ermöglicht es der Malware, das kompromittierte System effektiv in eine Plattform für Fernzugriffe zu verwandeln, die es den Angreifern erlaubt, weitere Angriffe zu starten oder verschiedene Aktionen im Namen des Opfers durchzuführen. Die Entdeckung dieser Malware unterstreicht die Notwendigkeit, die Sicherheitsmaßnahmen kontinuierlich zu verbessern und auf dem neuesten Stand zu halten, um solchen Bedrohungen entgegenzuwirken.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Laboringenieur*in im Bereich Virtuelle Infrastruktur für Big Data und Künstliche Intelligenz - Kennziffer: 418a/2024 I
IT-Revisor für aufsichtsrechtliche Anforderungen nach DORA mit Erfahrungen in Cloud und KI (m/w/d)
Praktikant (m/w/d) im Bereich Innovations - Optimierung kapazitiver Sensorsysteme durch KI
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Windows-Malware umgeht wochenlang Erkennung durch beschädigte Header" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Windows-Malware umgeht wochenlang Erkennung durch beschädigte Header" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue Windows-Malware umgeht wochenlang Erkennung durch beschädigte Header« bei Google Deutschland suchen, bei Bing oder Google News!