Certified Security Operations Center GmbH

6. Dezember 2018

CSOC-Event der Woche KW48 – Aktive .EXE-Erkennung

KW48: CSOC-Event der Woche – Aktive .EXE-Erkennung

Durchschnittliche CSOC-Gesamtevents pro Tag:  25.630
Detektionshäufigkeit:      2357

Eventbeschreibung: Aktive .EXE-Erkennung / Kritikalität = mittel (5 / 10)

Die in dieser Woche vorgestellten Events treten auf, sobald der Download einer .exe-Datei detektiert wird. Dateien mit der Endung .exe sind ausführbare Dateien, welche unter anderen mithilfe der Betriebssysteme Windows oder DOS gestartet werden können. EXE-Dateien beinhalten in der Regel legitime Programme und Werkzeuge, die zweckübergreifend genutzt werden. So ist es auch möglich, Schadcode darin zu verbergen, welcher für den Benutzer der betroffenen Datei in den meisten Fällen selbst bei der Ausführung unbemerkt bleibt.

Die aktive .EXE Erkennung des CSOC löst ein Event aus, sobald eine Datenübertragung detektiert wird, die ein bestimmtes, sogenanntes „MagicByte“ mit dem Inhalt „MZ“ enthält. Mithilfe der „MagicBytes“ wird für Betriebssysteme kenntlich gemacht, um welchen Dateitypen es sich handelt und wie mit der Datei verfahren werden soll. Aufgrund von häufig aufkommenden schädlichen Downloads von EXE-Dateien wird jeder erkannte Download, der von den eingesetzten Sensoren detektiert wird, eingehend auf Herkunft und Inhalt untersucht. Wird eine schädliche Datei erkannt, so wird der betroffene Kunde umgehend informiert, um die jeweilige Datei zu isolieren.

Im Regelfall werden viele schädliche EXE-Dateien von Antivirensoftware erkannt und zuverlässig isoliert. Häufig kommt es allerdings vor, dass auch hier unbekannte Dateien, für die noch keine Signatur existiert, aktiv werden.

Technische Beschreibung:

When assessing an application, one may run into files that have strange or unknown extensions or files not readily consumed by applications associated with those extensions. In these cases it can be helpful to look for tell-tale file format signatures and inferring how the application is using them based on these signatures, as well as how these formats may be abused to provoke undefined behavior within the application. To identify these common file format signatures one typically only need look as far as the first few bytes of the file in question.

error: