Wie Malware heimlich das Kommando übernimmt

Mit der Verschleierungstechnik "DOSfuscation" verbergen Cyber-Angreifer schädliche Windows-Kommandozeilenbefehle geschickt vor Virenscannern und Code-Analysten.

Artikel verschenken

8

(Bild: dpa, Sebastian Kahnert/Archiv)

01.02.2019, 10:43 Uhr

Lesezeit: 13 Min.

c't Magazin

Von

Olivia von Westernhagen

Wie Malware heimlich das Kommando übernimmt
- Schema F
- Zeichensalat
Schleifenmagie
DO it %yourself%

Artikel in c't 4/2019 lesen

Der folgende Text enthält einen Kommandozeilenbefehl. Können Sie ihn entziffern?

%TEMP:~-8,-7%%ProgramFiles:~9,1%%windir:~-4,1%;/%TmP:~ -8, 1%"s^et ohL=e.de&&set IP=p^^ing&&,set uOn= he^^is&&ca^ll ;seT SK1=%IP%%uOn%%ohL%&&cAll %SK1%"

Falls Sie jetzt ratlos den Kopf schütteln, ist das nicht weiter verwunderlich. Denn die "DOSfuscation"-Technik verschleiert cmd.exe- und PowerShell-Befehle derart gekonnt, dass Malware-Analysten und Antivirenprogramme bisweilen Schwierigkeiten haben, sie überhaupt als solche zu identifizieren. Das zeigt etwa ein Blogeintrag des AV-Herstellers G Data von Mitte 2018. "Als wir das Sample das erste Mal angeschaut haben, dachten wir zuerst, wir hätten die Datei falsch exportiert", kommentierte ein Analyst des Unternehmens den wohl ersten DOSfuscation-Fund in freier Wildbahn.

Seitdem veröffentlichen Antiviren-Hersteller und unabhängige Forscher immer wieder Schadcode-Analysen, in denen obfuskierte, oder besser: "DOSfuskierte" Kommandozeilenbefehle auftauchen. Meist werden sie von Makrocode in Word-Dokumenten gestartet, um zusätzlichen Schadcode, darunter etwa den berüchtigten Trojaner Emotet, aus dem Internet nachzuladen. DOSfuscation ist zwar komplex, für Angreifer aber ganz leicht auf beliebige Befehle anwendbar – dank des Frameworks "Invoke-DOSfuscation", das bereits seit 2016 frei bei GitHub verfügbar ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

, !!!Aufmacher: Bild von einem Wohnzimmer oder anderem Raum, an dem Blumentöpfe und andere Bilddetails mit Labels beschriftet sind

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wie Malware heimlich das Kommando übernimmt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierungsoftware: Alternativen zu VMware

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierungsoftware: Alternativen zu VMware

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.