Decoy Dog: Malware-Toolkit bleibt in den meisten Fällen unerkannt

Mit dem Malware-Toolkit Decoy Dog haben es Hacker auf Unternehmen abgesehen. Obwohl etablierte Erkennungsmethoden umgangen werden, lassen sich die Aktivitäten durch die Analyse des DNS-Traffics erkennen. Firmen sollten die von Decoy Dog verwendeten Domains blockieren.
Sicherheit, Internet, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Cybersecurity, Hacking, Internetkriminalität, Hacker Angriffe, Ransom
Die Sicherheitsbedrohung wurde von der Threat Intelligence Group, die zum IT-Sicherheitsunternehmen Infoblox gehört, entdeckt. Das Malware-Toolkit ist unter dem Namen Decoy Dog bekannt und soll sich über russische Server verbreitet haben. Mit der Software nehmen Hacker Unternehmen weltweit ins Visier und stellen DNS-Tunnel her, damit die Kommunikation mit den Kommandoservern nicht direkt entdeckt wird. Das Toolkit liefert den Remotezugriffs-Trojaner Pupy RAT aus, der die Steuerung eines infizierten Systems und ein Zugriff auf das verbundene Netzwerk ermöglicht.


Aufgrund des betriebenen Aufwands, damit das Toolkit nicht entdeckt wird, dürfte Decoy Dog hauptsächlich von staatlichen Akteuren eingesetzt werden. Erst eine genaue Analyse der übertragenen DNS-Abfragen hat einen individuellen Fingerabdruck zum Vorschein gebracht und den Sicherheitsforschern schlussendlich die Präsenz des Programms verraten. Die Hacker verwenden unterschiedliche Domains, die auf den ersten Blick in keinem Zusammenhang zueinander stehen.

Unternehmen sollen bekannte Domains sperren

Um zu verhindern, dass sich die Malware mit den Kommando-Servern verbindet, sollten Konzerne die genutzten Domains sperren. Eine Tabelle mit den Adressen lässt sich im Bericht der Sicherheitsforscher finden. Zudem hat Infoblox einige Anzeichen, mit denen ein Angriff erkannt werden kann, veröffentlicht. Die auf GitHub bereitgestellten Indikatoren lassen sich verwenden, um Blocklisten manuell zu aktualisieren.

Zusammenfassung
  • Decoy Dog: Malware-Toolkit, das Unternehmen weltweit angreift
  • Entdeckt von Threat Intelligence Group, die zu Infoblox gehört
  • Mit Pupy RAT wird Remotezugriff auf infiziertes System ermöglicht
  • DNS-Abfragen liefern Fingerabdruck des Programms
  • Domains blockieren, um Verbindung zu Kommando-Servern zu verhindern
  • Indikatoren auf GitHub, um Blocklisten zu aktualisieren
  • Bericht der Sicherheitsforscher enthält Tabelle mit Adressen

Siehe auch:


Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!