Statement

Wie sich die Loki-Malware verbirgt

Redis, HeadCrab, Malware

Die zunehmende Anzahl von Cyberangriffen stellen Unternehmen und Einzelpersonen gleichermaßen vor enorme Herausforderungen. Angesichts dessen, ist der Austausch von Bedrohungsdaten in Form von Erkenntnissen, Trends und Mustern von entscheidender Bedeutung.

Der Austausch von Informationen ist unerlässlich, um neue und alte Bedrohungen wirksam zu bekämpfen. Unabhängige Sicherheitsforscher auf der ganzen Welt tragen zu verschiedenen Repositories bei, die eine Schlüsselrolle dabei spielen, anderen Sicherheitsforschern und -analysten die Entwicklung von Erkennungsregeln und Reaktionstaktiken zu erleichtern, um neuen Bedrohungen immer einen Schritt voraus zu sein. Eine dieser gefährlichen Bedrohungen ist die Malware Loki, die zu den Informationsdiebstahl-Trojanern zählt und gezielt auf Windows-Systeme abzielt.

Anzeige

Beim Durchsuchen der jüngsten Uploads in MalwareBazaar – einer umfassenden Datenbank mit bekannten Malware-Samples – wurde ein Loki-Malware-Sample entdeckt, das zu einer bisher nicht untersuchten Malware-Familie gehört. Loki ist darauf spezialisiert, sensible Daten wie Anmeldeinformationen, Zugangsdaten zu Kryptowährungs-Wallets und andere persönliche Informationen zu exfiltrieren. Die Gefahr, die von Loki ausgeht, beruht nicht nur auf ihrem Datenzugriffsvermögen, sondern auch auf den ausgeklügelten Verschleierungstechniken, die eine Erkennung durch herkömmliche Sicherheitslösungen erschweren.

Dabei verwendet Loki verschiedene Techniken, um ihre bösartige Aktivität zu verbergen. Ein bedeutender Mechanismus, den Loki einsetzt, ist die Nutzung von sogenannten Command-and-Control-Servern (C2), die es der Malware ermöglichen, kontinuierlich Anweisungen zu empfangen und mit dem Angreifer zu kommunizieren. Dies macht die Malware besonders widerstandsfähig, da sie so in Echtzeit auf Sicherheitsmaßnahmen reagieren und neue Anweisungen umsetzen kann. Indem Loki mehrere Ebenen der Verschlüsselung und Kommunikationswege nutzt, bleibt sie oft unbemerkt auf infizierten Systemen aktiv und kann dort Daten über einen längeren Zeitraum sammeln, bevor ein Alarm ausgelöst wird.

Bei der Analyse des Samples sind den Forschern einige Dinge aufgefallen. Die ursprüngliche HTA-Datei enthielt mehrere Ebenen der URL-Kodierung. Nach der Dekodierung wurde festgestellt, dass die Nutzdaten mit Base64-Kodierung und einer Zeichenersetzungstechnik weiter verschleiert wurden.

Anzeige

Um sich gegen Bedrohungen wie Loki zu schützen, sind gezielte Sicherheitsmaßnahmen erforderlich.

  • Die Implementierung einer umfassenden Überwachungsstrategie, sowie restriktive Richtlinien, die die Ausführung unbekannter Skripte und verdächtiger Dateitypen einschränken sind grundlegend für den Schutz vor Malware-Typen wie Loki.
  • Auch regelmäßige Updates von Betriebssystemen und Anwendungen schließen bekannte Sicherheitslücken und minimieren das Risiko von Angriffen.
  • Der Einsatz von fortschrittlichen EDR-Tools sowie eine sorgfältige Protokollierung und Überwachung unterstützen eine schnelle Reaktion im Fall eines Angriffs und helfen dabei, das Ausmaß eines Vorfalls zu begrenzen.

Fazit

Cyberbedrohungen wie Loki sind ein erhebliches Risiko in der aktuellen Cybersicherheitslandschaft. Sie agieren teilweise nicht nur versteckt, sondern nutzen auch fortlaufend neue Angriffspfade, um Sicherheitsvorkehrungen gezielt zu umgehen. Aus diesem Grund sind umfassende Vorkehrungen zur Erkennung dieser Bedrohungen, sowie Sicherheitsvorgaben zur Bekämpfung dieser, unerlässlich. Eine gut durchdachte Sicherheitsstrategie stärkt die Verteidigungsfähigkeit moderner IT-Systeme und hilft dabei, der ständigen Weiterentwicklung von Cyberbedrohungen einen Schritt voraus zu sein.

Anish Bogati Logpoint

Anish

Bogati

Security Researcher

Logpoint

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.