Wie Malware-Schreiber ihre Software schützen

Es ist lange kein Geheimnis mehr, was man mit verschiedensten Tools im Netz erreichen kann. Denken wir nur an den Fall des Blaster-B Authors Jeffrey Lee Parson zurück: Er hat sich eine Kopie des Blaster-Wurms eingefangen und ihn mit seinem Backdoor-Programm kombiniert und schliesslich freigesetzt. Das Ergebnis war ein neuer Wurm, welcher sich schnell verbreitete und nicht sofort entdeckt wurde.

Was ich damit sagen will: Die Vielzahl meiner Virus-Samples welche ich selbst fange oder über die mwcollect Alliance beziehe sind duplikate welche verschleiert wurden. Nur… wie?

Eine weit verbreitete Methode besteht darin, einen Packer zu verwenden. Ihre Hauptaufgabe besteht darin, die Executeable zu komprimieren. Eine Vielzahl dieser Packer wurde auf alten Plattformen wie dem Amiga entwickelt, wo noch Platz eine Rolle spielte.

Wird die Exe aufgerufen, wird sie in den Speicher entpackt und läuft normal ab. Es gibt viele kommerzielle Packer welche primär dazu verwendet werden, den Code vor Decompiling zu schützen. Unsere AV Freunde erkennen solche Executeables als ‘compressed with a suspicious packer’ und stellen sie unter Umständen sogar in Quarantäne.

Exe Scramblers verhalten sich ähnlich den Packern und haben den Entpacker bzw descrambler gleich mitgeliefert. Es ist durchaus denkbar, dass selbst geschriebene Scrambler aufgrund von ihrer sehr geringen Verbreitung über Jahre hinweg unentdeckt bleiben.

Mit Hilfe von Binders, Joiners oder Wrapper ist es möglich, mehrere Executeables zu kombinieren. Damit ist es möglich Anwendungen versteckt auszuführen.

Gesagt sei, dass man so mit (so gut wie) keiner Erfahrung einen Trojaner in ein System einschleusen kann, ohne auch nur eine einzige Zeile Code zu schreiben, was doch durchaus ein neues Bild des unbekannten Angreifers aus dem Netz schafft.

Author:

Leave a Reply

Your email address will not be published. Required fields are marked *