Andrea Danti - Fotolia

F

Warum erkennt der Trojaner Ursnif Mausbewegungen?

Kriminelle verwenden jetzt auch die Position des Mauszeigers und seine Bewegungen, um sich vor einer Entdeckung durch Antivirus-Software und Sandboxen zu schützen.

Derzeit verbreitet sich eine neue Variante des trojanischen Pferdes Ursnif vor allem per E-Mail. Sie nutzt die Bewegungen der Maus zur Entschlüsselung aus und um sich zu verstecken. Wie kann das funktionieren?

Genau wie Sicherheitsforscher und Hersteller, die die Sicherheit ihrer Produkte kontinuierlich verbessern wollen, suchen Cyberkriminelle ebenfalls laufend nach neuen Tricks und Kniffen, um die ihnen entgegenstehenden Schutzmaßnahmen zu umgehen. Das Ganze läuft wie bei einem Katz- und Mausspiel ab. Kontinuierlich und teilweise auch sehr kreativ versuchen die Ganoven, neue Angriffsmethoden zu finden oder bestehende zu verbessern. Eine neue Variante des Trojaners Ursnif greift nun auf die Bewegungen des Mauszeigers zurück, um der Entdeckung durch Sandboxing zu entgehen.

Sandboxen werden genutzt, um aus dem Internet heruntergeladene Dateien in einer geschützten Umgebung auszuprobieren, bevor sie auf dem Endpoint ausgeführt werden. Dazu werden die Dateien in eine virtuelle Maschine übertragen und dort ausgeführt. So lässt sich ihr echter Einsatzzweck herausfinden. Weil dadurch Schädlinge aufgespürt werden können, suchen die Kriminellen ihrerseits ständig nach Möglichkeiten, diese Schutzmaßnahmen auszutricksen.

In der Vergangenheit haben die Kriminellen bereits verschiedene Tricks eingesetzt, um eine Sandbox zu erkennen. Dazu zählen zum Beispiel die Suche nach VMware-typischen Schlüsseln in der Registrierungsdatenbank, virtuellen Adaptern sowie ungewöhnlich niedrigen Werten bei CPU und RAM. Außerdem bauten sie mehrere Stunden lang dauernde Pausen ein, um nicht aufzufallen.

Durch diese Untätigkeit lassen sich Sandboxen teilweise austricksen, da ihre Scans aus Zeitgründen nicht mehrere Stunden dauern können. Auf diese Weise gelangten immer wieder Schädlinge an Sandboxen vorbei in fremde Netzwerke, wo sie dann teilweise erheblichen Schaden anrichteten.

Sandbox-Erkennung durch Trojaner

Der Ursnif-Trojaner greift nun auf einen neuen Trick zurück. Er ruft die Positionen des Mauszeigers ab, um so zu erkennen, ob er in einer Sandbox ausgeführt wird. Dort wird der Mauszeiger nämlich meist nicht bewegt. Ursnif, der durch die Forcepoint Security Labs entdeckt wurde, verwendet die Unterschiede zwischen den Positionen sogar dazu, einen kryptografischen Key zu erstellen, um sich damit dann selbst zu „entschlüsseln“. Findet dieser Prozess innerhalb einer Sandbox statt, in der der Mauszeiger nicht bewegt wird, scheitert die Entschlüsselung und der Schädling wird nicht ausgeführt und also auch nicht erkannt. Dadurch stellt er sicher, dass er nicht aufgespürt werden kann.

Dieser besondere Erfindungsreichtum führt dazu, dass die Kriminellen immer wieder neue Wege finden, um auch an modernsten Schutzmaßnahmen vorbeizukommen. Man sollte sich deswegen auch nie auf nur eine Technik verlassen, um sich vor neuen Bedrohungen zu schützen. Ursnif zeigt, dass Sandboxen nicht in jedem Fall gegen Malware und erfinderische Angreifer helfen. Ursnif belegt außerdem, wie wichtig es ist, dass Sicherheitsmaßnahmen in mehreren aufeinander aufbauenden Schichten erfolgen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So werden Sandboxen und Container gegen Malware eingesetzt

Cyberangriffe per Sandboxing erkennen

Sandbox-Sicherheit weist Mängel auf

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close