Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Steganografie: Wie Malware verdeckt kommuniziert

19.11.2015

 zur Newsdatenbank home

In einem Vortrag von den Sicherheitsforschern Christian Dietrich und Pierre-Mar Bureau auf der Black Hat Europe in Amsterdam erläutern sie, dass Malware-Entwickler sich mittlerweile Steganografie zunutze machen und ihre Schad-Software kommuniziert über verdeckte Kanäle. Über unverdächtigen Netzwerkverkehr wie DNS können infizierte Computer Informationen mit Command-and-Control-Servern austauschen.

Für Kriminelle soll das Einbetten der Kommunikation in legitimen Netzwerkverkehr den Vorteil haben, dass automatisierte Sicherheitsmechanismen nicht anspringen und der Informationsaustausch nicht geblockt wird. Daher ist die Chance auf eine Entdeckung auf Grund der verdeckten Kommunikation laut Dietrich und Bureau sehr gering, selbst wenn ein Analyst den Netzwerkverkehr begutachtet.

Die Malware-Familien Gozi Neverquest und Stegoloader als Beispiel setzen, den Sicherheitsforschern zufolge, auf verdeckte Kommunikation. Die dafür relevanten Daten sollen sich dabei im least significant bit (LSB) von digitalen Bildern verstecken.

Seit Anfang 2015 soll die Malware Gozi Neverquest, die für Finanzbetrug eingesetzt wird und Daten in Finanzeinrichtungen abzieht, auf Steganografie setzen. Sie tarnt dabei eine URL, und falls die Command-and-Control-Server nicht erreichbar sind, läd sie von ihr Konfigurationsdateien herunter.

Stegoloader ist eine modulare Malware, die Informationen abzieht. Mit Steganografie verschleiern die Entwickler den Download von Code für das Hauptmodul. Die Kryptologen erläutern, dass die Schad-Software zudem die Umgebung analysiert und eine PNG-Datei mit dem Code, der zusätzlich mit RC4 geschützt sein soll, erst dann herunterläd, wenn klar ist, dass es sich um keinen Honeypot oder ähnliches handelt.

Um Informationen verdeckt an Command-and-Control-Servern zu schicken, soll die Malware Feederbot DNS-Anfragen missbrauchen. Laut Dietrich und Bureau imitiert Feederbot innerhalb der DNS-Anfrage die Google.com-Domain, um sich zu tarnen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89