Wie man ZLoader-Angriffe erkennt und sich dagegen verteidigt

Startseite » Wie man ZLoader-Angriffe erkennt und sich dagegen verteidigt

Das Microsoft 365 Defender Threat Intelligence-Team hat Details und eine Warnung zum ZLoader-Trojaner veröffentlicht. Der ZLoader-Trojaner, der für seine Fähigkeit bekannt ist, sich von Kampagne zu Kampagne skalieren und ändern zu können, stammt vermutlich von dem Zeus-Banking-Trojaner ab, der erstmals 2007 entdeckt wurde.

Laut Microsoft ist ZLoader das Werkzeug der Wahl für Angreifer – es verfügt über Funktionen zur Umgehung der Verteidigung, wie das Deaktivieren von Sicherheits- und Antivirus-Tools und das Verkaufen des Zugriffs als Dienst an andere verbundene Gruppen. Betreiber monetarisieren häufig den Zugriff auf Infektionen, indem sie ihn an andere verbundene Gruppen verkaufen, die dann den Kaufzugriff verwenden, um ihre eigenen böswilligen Ziele zu verfolgen.

Zu seinen Fähigkeiten gehören das Erfassen von Screenshots, das Sammeln von Cookies, das Stehlen von Anmeldeinformationen und das Durchführen von Aufklärung, das Initiieren von Persistenzmechanismen, der Missbrauch legitimer Sicherheitstools und das Bereitstellen von Fernzugriff für Angreifer.

ZLoader wurde mit Ransomware-Infektionen wie Ryuk, DarkSide und BlackMatter in Verbindung gebracht.

Die Mehrzahl der ZLoader-Angriffe richtete sich gegen die Vereinigten Staaten, China, Westeuropa und Japan. Microsoft warnt davor, dass aufgrund des modularen Charakters einiger Ladefunktionen und der ständigen Weiterentwicklung von Techniken verschiedene ZLoader-Kampagnen möglicherweise nicht gleich aussehen.

Verwandte: Ransomware-Loader verbreitet sich über Google Ads

Frühere ZLoader-Kampagnen waren ziemlich unkompliziert, mit Malware, die über böswillige Office-Makros an E-Mails angehängt und dann zum Bereitstellen von Modulen für Funktionen verwendet wurde. Andere Kampagnen schleusen schädlichen Code in legitime Prozesse ein, deaktivieren Antivirus-Lösungen und führen letztendlich zu Ransomware.

ZLoader-Betreiber haben auch ihre Methodik aktualisiert, um die Malware über gezielte bösartige Google-Anzeigen zu verbreiten. Sie verwenden schädliche Anzeigen in Suchmaschinen wie Google, um Benutzer zum Besuch schädlicher Websites zu verleiten. Microsoft bemerkte auch, dass ZLoader-Kampagnen das Potenzial haben, sich als ein bestimmtes Unternehmen oder Produkt auszugeben, wie z. B. Java, Zoom, TeamViewer und Discord.

So verhindern Sie ZLoader-Infektionen

Der beste Rat, um ZLoader-Infektionen zu verhindern, besteht darin, einfach das Herunterladen von Anhängen in E-Mails von unbekannten Absendern sowie das Klicken auf gesponserte Werbung in Links und Suchmaschinenergebnissen zu vermeiden, zumindest anstatt sich für nicht gesponserte Ergebnisse aus verifizierten und zuverlässigen Quellen zu entscheiden.

Organisationen sollten über eine gute Credential-Hygiene und Netzwerksegmentierung verfügen. Best Practices erhöhen die Kosten für Angreifer, die ihr Geschäft stören, bevor sie ihr Ziel erreichen.

Entsprechend MicrosoftVerteidiger können zusätzlich die folgenden Gegenmaßnahmen anwenden, um die Angriffsfläche der Umgebung zu verringern und die Auswirkungen dieser Bedrohung und ihrer Nutzlasten abzuschwächen:

  • Konfigurieren Sie Microsoft Defender für Office 365 zu Überprüfen Sie die Links beim Klicken erneut. Safe Links bietet Analyse und Umschreibung eingehender E-Mail-URLs im E-Mail-Stream sowie Überprüfung von URLs und Links in E-Mails und an anderen Stellen per Klick. Der Scan sicherer Links wird zum regulären Scan hinzugefügt Spam- und Malware-Schutz in eingehenden E-Mail-Nachrichten in Exchange Online Protection (EOP). Das Scannen sicherer Links kann dazu beitragen, Ihr Unternehmen vor schädlichen Links zu schützen, die bei Phishing- und anderen Angriffen verwendet werden.
  • Konfigurieren Sie Microsoft Defender für Office 365 zu sprengen Sie Anhänge über sichere Anhänge. Sichere Anhänge bieten eine zusätzliche Schutzebene für E-Mail-Anhänge, indem eine Datei in einer virtuellen Umgebung überprüft wird, bevor sie an den Posteingang gesendet wird.
  • Überprüfe dein Anti-Spam-Richtlinie von Office 365 und dein E-Mail-Flussregeln für autorisierte Absender, Domains und IP-Adressen. Seien Sie besonders vorsichtig Wenn Sie diese Einstellungen verwenden, um Spamfilter zu umgehen, berücksichtigt Office 365 diese Einstellungen, selbst wenn zulässige Absenderadressen vertrauenswürdigen Organisationen zugeordnet sind, und lässt potenziell schädliche Nachrichten möglicherweise durch. Untersuchen Sie Systemüberschreibungen im Threat Explorer um festzustellen, warum Angriffsnachrichten Empfängerpostfächer erreichten.
  • Konfigurieren Sie Exchange Online, um es zu aktivieren Automatische Null-Stunden-Bereinigung (ZAP) als Reaktion auf neu erworbene Bedrohungsinformationen. ZAP erkennt und neutralisiert nachträglich bösartige Phishing-, Spam- oder Malware-Nachrichten, die bereits an Postfächer zugestellt wurden.
  • Zum Aufleuchten Netzwerkschutz um Verbindungen zu bösartigen Domänen und IP-Adressen zu blockieren.
  • Zum Aufleuchten Einbruchschutzfunktionen um Angreifer daran zu hindern, Sicherheitsdienste herunterzufahren.
  • Zum Aufleuchten Cloud-basierter Schutz und automatische Musterübermittlung an Microsoft Defender Antivirus. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu identifizieren und zu stoppen.
  • Aktivieren Sie Folgendes Regeln zur Reduzierung der Angriffsfläche um Aktivitäten im Zusammenhang mit dieser Bedrohung zu blockieren oder zu überwachen:
    • Blockieren Sie die Ausführung ausführbarer Dateien, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder Trustlist-Kriterium
    • Verhindern, dass alle Office-Apps untergeordnete Prozesse erstellen
    • Verhindern Sie, dass Office-Apps ausführbare Inhalte erstellen
    • Blockieren Sie ausführbare Inhalte von E-Mail-Clients und Webmail
    • Verhindern Sie, dass Office-Apps Code in andere Prozesse einfügen
    • Blockieren Sie den Diebstahl von Anmeldeinformationen des Subsystems der lokalen Windows-Sicherheitsautorität (lsass.exe)
    • Blockieren Sie Prozesserstellungen von PsExec- und WMI-Befehlen
    • Verwenden Sie erweiterten Ransomware-Schutz
    • Verhindern Sie, dass JavaScript oder VBScript heruntergeladene ausführbare Inhalte startet
    • Blockieren Sie die Ausführung potenziell verschleierter Skripts