Forscher bei Uptycs haben über einen starken Anstieg von Vorfällen berichtet, bei denen Cyberkriminelle bei ihren Angriffen Windows Regsvr32 verwenden.
Hacker verbreiten Trojaner wie Lokibot und Qbot, indem sie Bibliotheken in Windows Regsvr32 erstellen. Angeblich beginnen sie diese Operation, indem sie bösartige Dateien über Microsoft-Dateien verbreiten und erreichen schließlich Regsvr32, da dessen Datenverkehr größtenteils legitim ist und von Sicherheitssoftware nicht erkannt wird.
LoLBins zum Angreifen nutzen
Um der Entdeckung durch Sicherheitssysteme zu entgehen, nutzen Hacker innovative Wege, um sich durchzuschleusen. Und die neueste von Uptycs-Forschern entdeckte Vorgehensweise ist provokant, da sie legitime Softwaretools verwendet, um in ein Zielsystem einzudringen und gewünschte Funktionen auszuführen.
Ihren Angaben zufolge verwenden Hacker in ihren Angriffsvektoren häufig LoLBins, bei denen es sich um legitime und native Dienstprogramme handelt, die vom Betriebssystem zum Ausführen verschiedener Computerumgebungen verwendet werden. Microsoft Regsvr32 ist ein solches Ding, das Hacker ausnutzen, um gewünschte Bibliotheken zu registrieren und die Registrierung aufzuheben.
Forscher stellten fest, dass Hacker bösartige OCX-Dateien im Regsvr32 registrieren, die verschiedene bösartige Aufgaben ausführen. Diese werden über speziell gestaltete Microsoft Office-Dokumente an das Zielsystem übermittelt. In ihrem Bericht sagt das Uptycs Threat Research-Team, festgestellt zu haben
Und diese Dateien werden entpackt, um Trojaner zu installieren, meist Qbot und Lokibot, die mit verschiedenen Fähigkeiten ausgestattet sind, um Daten vom infizierten System zu stehlen. Die ersten Schaddateien, mit denen die Kampagne ausgeführt wird, werden über Microsoft Excel, Microsoft Word, Rich Text Format-Daten oder Composite Document bereitgestellt.
Obwohl es für die Sicherheitssysteme schwierig ist, den Datenverkehr von Regsvr32 zu prüfen und zu unterscheiden, können manuelle Sicherheitsteams wie folgt vorgehen, um die bösartigen Aktionen aufzudecken:
- Suchen Sie nach Eltern-/Kindprozessbeziehungen, bei denen Regsvr32 mit dem Elternprozess von Microsoft Word oder Microsoft Excel ausgeführt wird.
- Außerdem kann es identifiziert werden, indem nach Regsvr32-Ausführungen gesucht wird, die die Datei scrobj.dll laden, die wiederum ein COM-Scriptlet ausführt.
