String-Verschleierung von Pikabot erkennen

B2B Cyber Security ShortNews

Beitrag teilen

Ein Cybersecurity-Forschungsteam hat ein IDA-Plugin entwickelt, das die String-Verschleierung des Malware-Loaders Pikabot automatisch entschlüsseln kann. Die von der Malware eingesetzten Code-Verschleierungstechniken der Verschlüsselung binärer Zeichenketten einschließlich der Adressen von Command-and-Control-Servern (C2) erschwerten bisher die Entdeckung von Pikabot und dessen technische Analyse.

Pikabot erlangte nach der Zerschlagung von Qakbot im August 2023 Berühmtheit und entwickelte sich zu einer bedeutenden Bedrohung. Seine Verschlüsselungsmethode beinhaltete fortschrittliche String-Verschlüsselungstechniken, die eine Kombination aus AES-CBC- und RC4-Algorithmen verwendeten, was die Entschlüsselung zu einer komplexen Aufgabe für die Sicherheitsexperten machte. Die Sicherheitsanalysten von Zscaler veröffentlichten jetzt ein IDA-Plugin inklusive Quellcode, das die Entschlüsselung der verschleierten Strings von Pikabot automatisiert und den Analyseprozess erleichtert. Obwohl Pikabot Anfang 2024 seine bisherige Verschleierungsmethode zugunsten einfacherer Algorithmen aufgegeben hat, bleibt das Plugin ein wertvolles Werkzeug für die Cybersicherheitsgemeinschaft, um die Auswirkungen von Malware-Loadern besser zu verstehen und effektiver einzudämmen.

Anzeige

Entschlüsselung der Zeichenketten von Pikabot

Das Plugin nutzt den IDA-Mikrocode zur Entschlüsselung von Zeichenketten und folgt dabei einer Reihe von Schritten, die in der technischen Analyse des Zscaler ThreatLabz-Teams beschrieben sind. Dieser Prozess umfasst unter anderem die Identifizierung des AES-Schlüssels und des Initialisierungsvektors (IV) sowie die Extraktion des RC4-Schlüssels. Die Komplexität dieser Schritte unterstreicht die Raffinesse der Verschleierungstechnik von Pikabot und die Bedeutung des Plugins. Das Plugin wurde für IDA ab Version 8 getestet und kann durch Kompilieren des Quellcodes mit dem IDA SDK ausgeführt werden. Sobald ein Pikabot-Beispiel in IDA geladen ist, kann der User Strings innerhalb bestimmter Funktionen oder im gesamten Beispiel entschlüsseln und das Plugin kommentiert die entschlüsselten Zeichenketten direkt in der dekompilierten Ausgabe. Der Quellcode des IDA-Plugins ist auf GitHub verfügbar und lädt zur Zusammenarbeit und Weiterentwicklung innerhalb der Forschungsgemeinschaft ein. Dieser Open-Source-Ansatz spiegelt das Engagement von Zscaler ThreatLabz wider, die Cybersicherheitsabwehr zu verbessern und den kollektiven Kampf gegen Cyberbedrohungen zu unterstützen.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

BSI: Zero-Day Angriffe auf Ivanti Connect Secure

Das BSI warnt: Es gibt kritische Schwachstellen Ivanti-Produkten Connect Secure (ICS), Policy Secure und ZTA Gateway. Dazu hat der Hersteller ➡ Weiterlesen

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen