Exploit Kits umgehen erweiterten Windows-Schutz
Das populäre Exploit-Kit Angler kann selbst speziell gehärtete Windows-Systeme erfolgreich attackieren und mit Schad-Software infizieren.
Mit Tools wie Microsofts EMET kann man ein Windows-System gegen Angriffe härten. Doch die Angreifer schlafen nicht. FireEye hat jetzt erstmals ein Exploit-Kit gesichtet, das ganz gezielt die zusätzlichen Schutzmechanismen von EMET umgeht, um sein Ziel zu erreichen: Das System des Opfers mit Malware wie Erpressungs- oder Online-Banking-Trojanern zu infizieren.
Exploit-Kits werden im Untergrund gehandelt und zum Teil auch als Malware-As-A-Service-Angebote vermietet. Seit einigen Jahren zeichnet sich dabei Angler immer wieder als technisch weit entwickelt aus. Wie FireEye dokumentiert, legen dessen Entwickler jetzt erneut nach und attackieren auch speziell geschützte Windows-Systeme.
Angler mit Anti-Anti-ROP
Ein konkretes Beispiel dafür ist der zusätzliche Schutz, den EMET der Data Execution Prevention (DEP) angedeihen lässt. DEP wird gewöhnlich durch eine Technik namens Return Oriented Programming umgangen, die sich den Exploit-Code aus bereits vorhandenen Code-Schnippseln zusammenstellt. Deshalb enthält EMET spezielle Anti-ROP-Vorkehrungen.
Die Angler-Entwickler umgehen in ihrem Exploit diesen Anti-ROP-Schutz. Dazu rufen sie die in Flash beziehungsweise Silverlight eingebauten Speicherverwaltungsfunktionen auf, um Speicherbereiche als ausführbar zu markieren (PAGE_EXECUTE_READWRITE). FireEye erklärt in seinem Blog-Beitrag auch, wie Angler weitere EMET-Techniken wie Export Address Table Filtering (EAF/EAF+) umgeht.
Dass man EMET-Sicherheitsmechanismen umgehen kann, ist durchaus bekannt. Allerdings war dies vor allem die Domäne von hochspezialisierten Exploits, wie sie für gezielte Angriffe, etwa im Rahmen von Advanced Persistent Threats (APTs) zum Einsatz kamen. Dass jetzt ein Feld-Wald-und-Wiesen-Exploit-Kit wie Angler solche Fähigkeiten an den Tag legt, gibt dem Massengeschäft mit Malware eine neue, besorgniserregende Qualität.
Quelle: http://heise.de/-3235262
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Montag, 13. Juni 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Montag, 13. Juni 2016
- Detlef: Professionelle Beratung. Man nahm s... Montag, 13. Juni 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Montag, 13. Juni 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Montag, 13. Juni 2016