Ausnutzung von Schwachstellen
Windows Installer mit bösartigen Skripts
Forscher von Trend Micro haben MSI-Dateien entdeckt, die andere Dateien herunterladen und ausführen und dabei traditionelle Sicherheitslösungen umgehen.
Save to Folio
Originalbeitrag von Llallum Victoria, Threats Analyst
Windows Installer nutzt Microsoft Software Installation (MSI)-Paketdateien für die Installation von Programmen. Jede Package-Datei hat eine Art relationale Datenbank, die die erforderlichen Daten und Anleitungen für die Installation oder das Entfernen von Programmen enthält. Die Forscher von Trend Micro entdeckten nun MSI-Dateien, die andere Dateien herunterladen und ausführen und dabei die traditionellen Sicherheitslösungen umgehen.
Angreifer können die jeweiligen Aktionen in diesen Dateien ausnutzen, um bösartige Skripts auszuführen und Schadsoftware abzulegen, die einen System-Shutdown anstoßen kann, oder Finanzsysteme an bestimmten Orten ins Visier nimmt. Eine technische Analyse der bösartigen MSI-Dateien und auch der missbrauchten Aktionen liefert der Originalbeitrag.
Gegenmaßnahmen und Lösungen
Die Forscher stellten fest, dass der Missbrauch von MSI-Paketen vor allem dazu dient, um nicht erwünschte Anwendungen zu installieren und eher seltener für das Ablegen von Schadsoftware. Auf die Installation von Malware mithilfe von MSI-Paketen und maßgeschneiderten Aktionen sollte dennoch geachtet werden, denn die Hintermänner können herkömmliche Sicherheitslösungen umgehen. Die Schadsoftwareautoren testen in diesem Fall möglicherweise verschiedene Methoden zur Auslieferung von Malware. Aufgrund der von den Forschern entdeckten portugiesischen Spam-Mails, Site-Umleitungen und Ordnerpfaden, scheinen sie sich derzeit auf Ziele in Brasilien und Portugal zu konzentrieren.
Generell sollten Nutzer die Installation unbekannter Dateien oder das Anklicken von URLs meiden, die möglicherweise zu einer Umleitung auf Sites mit Downloads bösartiger Dateien führen. Auch müssen Systeme stets auf dem aktuellen Sicherheitsstand gehalten werden und mit Lösungen geschützt sein, die gegen mögliche Exploits verteidigen können.
Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™; Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.
Eine Liste der Indicators of Compromise (IoCs) für diese Bedrohung umfasst der Anhang.
Zusätzliche Analysen von Henry Alarcon Jr., John Rey Cañon und Jay Nebre