Decoy Dog: Malware-Toolkit bleibt in den meisten Fällen unerkannt
Mit dem Malware-Toolkit Decoy Dog haben es Hacker auf Unternehmen abgesehen. Obwohl etablierte Erkennungsmethoden umgangen werden, lassen sich die Aktivitäten durch die Analyse des DNS-Traffics erkennen. Firmen sollten die von Decoy Dog verwendeten Domains blockieren.
Die Sicherheitsbedrohung wurde von der Threat Intelligence Group, die zum IT-Sicherheitsunternehmen Infoblox gehört, entdeckt. Das Malware-Toolkit ist unter dem Namen Decoy Dog bekannt und soll sich über russische Server verbreitet haben. Mit der Software nehmen Hacker Unternehmen weltweit ins Visier und stellen DNS-Tunnel her, damit die Kommunikation mit den Kommandoservern nicht direkt entdeckt wird. Das Toolkit liefert den Remotezugriffs-Trojaner Pupy RAT aus, der die Steuerung eines infizierten Systems und ein Zugriff auf das verbundene Netzwerk ermöglicht.
Aufgrund des betriebenen Aufwands, damit das Toolkit nicht entdeckt wird, dürfte Decoy Dog hauptsächlich von staatlichen Akteuren eingesetzt werden. Erst eine genaue Analyse der übertragenen DNS-Abfragen hat einen individuellen Fingerabdruck zum Vorschein gebracht und den Sicherheitsforschern schlussendlich die Präsenz des Programms verraten. Die Hacker verwenden unterschiedliche Domains, die auf den ersten Blick in keinem Zusammenhang zueinander stehen.
Siehe auch:
Aufgrund des betriebenen Aufwands, damit das Toolkit nicht entdeckt wird, dürfte Decoy Dog hauptsächlich von staatlichen Akteuren eingesetzt werden. Erst eine genaue Analyse der übertragenen DNS-Abfragen hat einen individuellen Fingerabdruck zum Vorschein gebracht und den Sicherheitsforschern schlussendlich die Präsenz des Programms verraten. Die Hacker verwenden unterschiedliche Domains, die auf den ersten Blick in keinem Zusammenhang zueinander stehen.
Unternehmen sollen bekannte Domains sperren
Um zu verhindern, dass sich die Malware mit den Kommando-Servern verbindet, sollten Konzerne die genutzten Domains sperren. Eine Tabelle mit den Adressen lässt sich im Bericht der Sicherheitsforscher finden. Zudem hat Infoblox einige Anzeichen, mit denen ein Angriff erkannt werden kann, veröffentlicht. Die auf GitHub bereitgestellten Indikatoren lassen sich verwenden, um Blocklisten manuell zu aktualisieren.
Zusammenfassung
- Decoy Dog: Malware-Toolkit, das Unternehmen weltweit angreift
- Entdeckt von Threat Intelligence Group, die zu Infoblox gehört
- Mit Pupy RAT wird Remotezugriff auf infiziertes System ermöglicht
- DNS-Abfragen liefern Fingerabdruck des Programms
- Domains blockieren, um Verbindung zu Kommando-Servern zu verhindern
- Indikatoren auf GitHub, um Blocklisten zu aktualisieren
- Bericht der Sicherheitsforscher enthält Tabelle mit Adressen
Siehe auch:
- 100 Mio. Downloads: Android-Malware infiltriert 60 Play Store-Apps
- Emotet: Malware verbreitet sich nun über OneNote-Dokumente
- PureCrypter: Malware-Loader nimmt Regierungen via Discord ins Visier
- "HeadCrab"-Malware verwandelt Redis-Server in Monero-Miner
- SwiftSlicer: Russische Malware überschreibt wichtige Systemdateien
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!