ZURÜCK ZU NACHRICHTEN
Eilmeldung

Gootloader-Malware nutzt 1.000-teilige ZIP-Archive für Tarnungstaktiken

2 Min. LesezeitQuelle: BleepingComputer

Sicherheitsforscher entdecken neue Umgehungstechnik der Gootloader-Malware: fragmentierte ZIP-Archive mit bis zu 1.000 Teilen zur Umgehung von Schutzmechanismen.

Gootloader-Malware nutzt fragmentierte ZIP-Archive für Tarnung

Sicherheitsforscher haben eine neue Evasionstechnik identifiziert, die von der Gootloader-Malware eingesetzt wird – einem First-Stage-Payload, der häufig für den initialen Zugriff auf Unternehmensnetzwerke genutzt wird. Die Malware verwendet nun fehlerhaft konstruierte ZIP-Archive, die in bis zu 1.000 Teile aufgespalten sind, um herkömmliche Erkennungsmechanismen zu umgehen.

Technische Details der Umgehungstechnik

Gootloader, bekannt für seinen Einsatz in SEO-Poisoning-Angriffen, hat bisher komprimierte Archive zur Verbreitung schädlicher Payloads genutzt. Diese neueste Variante führt jedoch eine fragmentierte ZIP-Struktur ein, bei der das Archiv absichtlich in mehrere kleinere Dateien aufgeteilt wird. Dieser Ansatz nutzt Schwachstellen in Sicherheitstools aus, die möglicherweise nicht in der Lage sind, das vollständige Archiv zu rekonstruieren oder zu scannen, wodurch die Malware der Erkennung entgeht.

Wesentliche Merkmale der neuen Methode sind:

  • Zusammengefügte ZIP-Archive: Der Payload wird in über 1.000 Teile aufgespalten, die jeweils als separate Datei erscheinen.
  • Fehlerhafte Struktur: Die Archive sind gezielt so gestaltet, dass sie Standardvalidierungsprüfungen umgehen.
  • Verdeckte Ausführung: Nach der Reassemblierung führt das ZIP-Archiv den Gootloader-Payload aus, der dann die Infektionskette fortsetzt.

Auswirkungen auf Sicherheitsmaßnahmen

Die Verwendung fragmentierter Archive stellt Endpoint-Protection-Plattformen (EPP) und Sandboxing-Lösungen vor erhebliche Herausforderungen, da diese möglicherweise aufgeteilte Dateien nicht effektiv analysieren können. Unternehmen, die auf signaturbasierte Erkennung oder statische Analyse setzen, könnten eine verringerte Wirksamkeit gegen diese Variante feststellen.

Darüber hinaus erschwert die Technik Incident-Response-(IR)-Maßnahmen, da Sicherheitsteams Schwierigkeiten haben könnten, die vollständige Angriffskette zu identifizieren und zu rekonstruieren. Da Gootloader eine zentrale Rolle im Initial Access Brokering (IAB) spielt, könnte diese Weiterentwicklung zu einem Anstieg von Ransomware-Angriffen und Datenexfiltration führen.

Empfehlungen für Sicherheitsteams

Um die mit dieser neuen Gootloader-Variante verbundenen Risiken zu mindern, sollten Sicherheitsexperten folgende Maßnahmen ergreifen:

  • Erweiterte Archivprüfung: Sicherstellen, dass Sicherheitstools fragmentierte Archive rekonstruieren und analysieren können.
  • Verhaltensbasierte Erkennung implementieren: Ungewöhnliche Dateizusammenführungen oder Reassemblierungsaktivitäten überwachen.
  • Threat Intelligence aktualisieren: Indicators of Compromise (IOCs) in Bezug auf die neuesten Taktiken von Gootloader integrieren.
  • Mitarbeiter schulen: Sensibilisierung für SEO-Poisoning und die Risiken bösartiger Downloads verstärken.

Da sich Gootloader ständig weiterentwickelt, müssen Unternehmen ihre Abwehrmaßnahmen anpassen, um dateibasierte Umgehungstechniken und mehrstufige Angriffsvektoren effektiv zu bekämpfen.

Teilen

TwitterLinkedIn