Durch die Operation Endgame konnten im Mai viele bekannte Malware Loader ausgeschaltet werden. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden beschlagnahmt und über 50.000 Infektionen beseitigt. Diese großangelegte Aktion gegen eine C2-Infrastruktur hatte allerdings nur kurzfristige Wirksamkeit. SmokeLoader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.
Die Forscher vom Zscaler ThreatLabz-Team haben deshalb das Anti-Malware-Tool SmokeBuster entwickelt, um die SmokeLoader-Malware – auch unter dem Namen Dofoil bekannt – auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. SmokeBuster unterstützt 32-Bit- und 64-Bit-Instanzen von SmokeLoader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die SmokeLoader-eigene Deinstallationsfunktion. Bei der SmokeLoader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig.
Deinstallationsfunktionen von SmokeBuster
Schließen der SmokeLoader Mutex-Vorgehensweise Schließen der SmokeLoader Vorgehensweise von offenen Dateien, was benötigt wird, um benutzte Dateien zu löschen Löschen der ausführbaren Datei von SmokeLoader, von Plugins und geplanten Aufgaben Löschen von Installationsverzeichnissen Beenden von SmokeLoader Threads ( oder explorer.exe Prozessen für Version 2017) Zuordnung von SmokeLoader explorer.exe aufheben Beenden des SmokeLoader Plugin-Prozesses
SmokeBuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, SmokeLoaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die SmokeLoader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von SmokeLoader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt SmokeBuster durch ein Remapping der SmokeLoader Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen.
Kommentare