Menü
c't Magazin

Wie Malware heimlich das Kommando übernimmt

Mit der Verschleierungstechnik "DOSfuscation" verbergen Cyber-Angreifer schädliche Windows-Kommandozeilenbefehle geschickt vor Virenscannern und Code-Analysten.

Von
Drucken Kommentare lesen 8 Beiträge
Trojaner

(Bild: dpa, Sebastian Kahnert/Archiv)

Inhaltsverzeichnis

Der folgende Text enthält einen Kommandozeilenbefehl. Können Sie ihn entziffern?

%TEMP:~-8,-7%%ProgramFiles:~9,1%%windir:~-4,1%;/%TmP:~ -8, 1%"s^et ohL=e.de&&set IP=p^^ing&&,set uOn= he^^is&&ca^ll ;seT SK1=%IP%%uOn%%ohL%&&cAll %SK1%"

Falls Sie jetzt ratlos den Kopf schütteln, ist das nicht weiter verwunderlich. Denn die "DOSfuscation"-Technik verschleiert cmd.exe- und PowerShell-Befehle derart gekonnt, dass Malware-Analysten und Antivirenprogramme bisweilen Schwierigkeiten haben, sie überhaupt als solche zu identifizieren. Das zeigt etwa ein Blogeintrag des AV-Herstellers G Data von Mitte 2018. "Als wir das Sample das erste Mal angeschaut haben, dachten wir zuerst, wir hätten die Datei falsch exportiert", kommentierte ein Analyst des Unternehmens den wohl ersten DOSfuscation-Fund in freier Wildbahn.

Seitdem veröffentlichen Antiviren-Hersteller und unabhängige Forscher immer wieder Schadcode-Analysen, in denen obfuskierte, oder besser: "DOSfuskierte" Kommandozeilenbefehle auftauchen. Meist werden sie von Makrocode in Word-Dokumenten gestartet, um zusätzlichen Schadcode, darunter etwa den berüchtigten Trojaner Emotet, aus dem Internet nachzuladen. DOSfuscation ist zwar komplex, für Angreifer aber ganz leicht auf beliebige Befehle anwendbar – dank des Frameworks "Invoke-DOSfuscation", das bereits seit 2016 frei bei GitHub verfügbar ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • mit der Kompetenz von heise online, c't, iX, Technology Review, Mac & i, Make, c't Fotografie
  • einmal anmelden - alle Inhalte aller Fachredaktionen lesen - auf allen Geräten
  • erster Monat gratis, danach monatlich 9,95 €
  • jederzeit kündbar
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+
Anzeige