Einleitung

Seit einigen Monaten arbeite ich hin und wieder an diesem Verfahren, das es einem ermöglicht, auch an ansonsten sehr robust konfigurierten Proxies vorbeizukommen, aber auch Endpoint-Basierte Schutzmechanismen zu umgehen, deren primäre verteidigung die Quelle eines Dateidownloads ist. Der grundsätzlich Ablauf des Verfahrens ist relativ einfach. Am besten lässt es sich an einem Beispiel verstehen:

1. Stufe - Seltsame E-Mail

Der Benutzer hat diese Mail bekommen: Die meisten Benutzer werden diesen Anhang vermutlich öffnen, da sie nichts verwerfliches daran sehen.

DISCLAIMER

Das Herunterladen und ausführen von Malware, auch zum Zwecke der Analyse, ist gefährlich. Ich übernehme keinerlei Haftung für etwaige Schäden bei Nachahmung!

Einführung

In diesem Blogeintrag möchte ich einen kleinen Einblick in die Analyse bzw. das reverse-eingineering von Malware geben. Hier anhand einer Beispielmalware, die über Mehrere Stufen letztendlich “NetSupport Manager” als Remote Access Tool (RAT) installiert.

ESXiArgs ist eine vermutlich neue Ransomware-Familie, die ESXi-Server angreift und darauf laufende VMs (teilweise) verschlüsselt. Der wahrscheinlichste Angriffsvektor ist derzeit CVE-2021-21974, ein Heap-Overflow -> RCE Exploit. Benannt ist die Malware danach, dass sie dem Namen verschlüsselter Dateien “.args” anhängt.

Laut ONYPHE sind 2,112 IPs kompromittiert (Stand 5.2.2023):

Was ist passiert?

Auf den betroffenen ESXi-Servern wurde vermutlich unter Ausnutzung von CVE-2021-21974 eine reverse shell installiert. In dem Sample der Backdoor, das ich analysiert habe, wurde auf port 8008 eine Webshell gestartet:

Webbrowser-Sicherheit an sich hat sich in den letzten Jahrzehnten seit ihrer Erfindung und Verbreitung massiv verbessert. Einst waren die größten Gefahren, dass eine Website über einen Exploit in der Browser-Engine direkten Zugriff auf das lokale Dateisystem erlangt. Mittlerweile ist diese Gefahr zwar noch vorhanden, aber bei weitem seltener. Die häufigsten Angriffe auf Browser betreffen nicht mehr den Browser an sich, sondern die Inhalte, die darin dargestellt werden. Da mittlerweile ein Großteil unseres Lebens digital ist und sich dieses digitale Leben zumindest am Desktop und Laptop großteils im Webbrowser abspielt, sind diese Inhalte für Angreifer interessanter den je.
In diesem Blogbeitrag zeige ich ein paar Mittel, um das alltägliche Browsen im Internet sicherer zu machen.
Mein Browser ist zwar auf Englisch eingestellt, ich werde jedoch in diesem Blogbeitrag jeweils die deutschsprachigen Informationen verlinken.