Mit der Verschleierungstechnik "DOSfuscation" verbergen Cyber-Angreifer schädliche Windows-Kommandozeilenbefehle geschickt vor Virenscannern und Code-Analysten.
Falls Sie jetzt ratlos den Kopf schütteln, ist das nicht weiter verwunderlich. Denn die "DOSfuscation"-Technik verschleiert cmd.exe- und PowerShell-Befehle derart gekonnt, dass Malware-Analysten und Antivirenprogramme bisweilen Schwierigkeiten haben, sie überhaupt als solche zu identifizieren. Das zeigt etwa ein Blogeintrag des AV-Herstellers G Data von Mitte 2018. "Als wir das Sample das erste Mal angeschaut haben, dachten wir zuerst, wir hätten die Datei falsch exportiert", kommentierte ein Analyst des Unternehmens den wohl ersten DOSfuscation-Fund in freier Wildbahn.
Seitdem veröffentlichen Antiviren-Hersteller und unabhängige Forscher immer wieder Schadcode-Analysen, in denen obfuskierte, oder besser: "DOSfuskierte" Kommandozeilenbefehle auftauchen. Meist werden sie von Makrocode in Word-Dokumenten gestartet, um zusätzlichen Schadcode, darunter etwa den berüchtigten Trojaner Emotet, aus dem Internet nachzuladen. DOSfuscation ist zwar komplex, für Angreifer aber ganz leicht auf beliebige Befehle anwendbar – dank des Frameworks "Invoke-DOSfuscation", das bereits seit 2016 frei bei GitHub verfügbar ist.
Das war die Leseprobe unseres heise-Plus-Artikels "Wie Malware heimlich das Kommando übernimmt".
Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!