Zscaler SmokeBuster ist eine effektive Waffe gegen die Malware SmokeLoader und kann diese effektiv ausschalten. | Zscaler SmokeBuster is an effective weapon against the SmokeLoader malware. |
In der Operation Endgame konnten Strafverfolger im Mai 2024 viele bekannte Malware Loader ausschalten. Mehr als 1.000 Befehls- und Kontrolldomänen (C2) wurden damals beschlagnahmt und über 50.000 Infektionen beseitigt. Diese erste großangelegte Aktion gegen eine C2-Infrastruktur seit über zehn Jahren hatte allerdings nur kurzfristige Wirksamkeit, denn die Malware SmokeLoader wird weiterhin von unterschiedlichen Bedrohungsakteuren benutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten. SmokeLoader zielt beispielsweise bereits seit 2011 darauf ab, Payloads der zweiten Stufe zu übermitteln, die für Ransomware-Infektionen und Datendiebstahl sorgen.
Die Forscher vom Zscaler ThreatLabz-Team haben deshalb das Anti-Malware-Tool SmokeBuster entwickelt, um die SmokeLoader-Malware (auch unter dem Namen Dofoil bekannt) auf infizierten Systemen aufzuspüren und zu entfernen. Dabei haben die Forscher Fehler in neueren Versionen der Malware entdeckt, die die Performance eines infizierten Systems beeinträchtigen. Da SmokeLoader seit über zwei Jahren nicht mehr aktualisiert wurde, könnten Tools wie SmokeBuster, die Infektionen erkennen und beheben können, sein Ende beschleunigen. Dies ist besonders offensichtlich, da SmokeLoader inhärente Fehler enthält, die die Leistung eines infizierten Systems erheblich beeinträchtigen. SmokeBuster unterstützt 32-Bit- und 64-Bit-Instanzen von SmokeLoader und die Versionen 2017-2022. Das Tool ist mit Windows 7 bis Windows 11 kompatibel und bietet einen Deinstallationsbefehl, der robuster ist als die SmokeLoader-eigene Deinstallationsfunktion. Bei der SmokeLoader eigenen Deinstallationsroutine bleiben Artefakte im Speicher zurück und einige Versionen bereinigen die Disk oder Registry nicht vollständig. SmokeLoader besteht hauptsächlich aus zwei Komponenten: einem Stager und einem Hauptmodul. Die Aufgabe des Stagers besteht darin, das Hauptmodul zu entschlüsseln, zu dekomprimieren und in einen explorer.exe-Prozess zu injizieren. Das Hauptmodul führt die Kernfunktionen der Malware aus, einschließlich der Herstellung der Persistenz, der Kommunikation mit der C2-Infrastruktur und der Verarbeitung von Befehlen. Während der Entwicklung von SmokeBuster hat Zscaler festgestellt, dass SmokeLoader zahlreiche Fehler enthält. In den Versionen 2018 bis 2022 führen mehrere dieser Fehler dazu, dass SmokeLoader die Leistung eines infizierten Systems erheblich verlangsamt. Dies ist auf eine Kombination aus Codierungsfehlern in der Persistenz-Implementierung, den Überprüfungen auf das Vorhandensein laufender Infektionen und Fehlern bei der angemessenen Bereinigung von Threads und Prozessspeicher zurückzuführen. Die Deinstallationsfunktionen von SmokeBuster im Überblick:
SmokeBuster hat darüber hinaus ein Feature implementiert, das es Malware-Analysten ermöglicht, SmokeLoaders Threads zu beenden, auszusetzen oder aufzunehmen. Damit kann die SmokeLoader-Funktion aufgehoben werden, die die Malware-Erkennung durch Analyse-Tools behindert. Serienmäßig werden die meisten Versionen von SmokeLoader in der Sektion von PAGE_EXECUTE_READ in explorer.exe abgelegt. Als Folge davon sind Debugger nicht in der Lage, Software-Breakpunkte zu setzen oder den Code zu patchen. Hier setzt SmokeBuster durch ein Remapping der SmokeLoader Memory-Sektionen an und durchbricht diesen Prozess mit Hilfe von PAGE_EXECUTE_READWRITE-Berechtigungen. |
During Operation Endgame in May 2024, law enforcement was able to take down many known malware loaders. More than 1,000 command and control (C2) domains were seized and more than 50,000 infections were eliminated. However, this first large-scale operation against a C2 infrastructure in over a decade had only a short-term effect, as the SmokeLoader malware continues to be used by various threat actors to deliver payloads via new C2 infrastructure. For example, since 2011, SmokeLoader has been targeting second-stage payloads for ransomware infections and data theft.
Researchers from the Zscaler ThreatLabz team developed the SmokeBuster anti-malware tool to detect and remove the SmokeLoader malware (also known as Dofoil) from infected systems. The researchers discovered bugs in newer versions of the malware that degrade the performance of an infected system. Since SmokeLoader has not been updated in over two years, tools like SmokeBuster that can detect and fix infections could hasten its demise. This is especially true as SmokeLoader has inherent flaws that significantly degrade the performance of an infected system. SmokeBuster supports 32-bit and 64-bit instances of SmokeLoader and versions 2017-2022. It is compatible with Windows 7 through Windows 11 and provides an uninstall command that is more robust than SmokeLoader’s own uninstall feature. SmokeLoader’s own uninstaller leaves artifacts in memory and some versions do not completely clean the disk or registry. SmokeLoader consists of two main components: a stager and a main module. The task of the stager is to decrypt, decompress and inject the main module into an explorer.exe process. The main module performs the core functions of the malware, including establishing persistence, communicating with the C2 infrastructure, and processing commands. During the development of SmokeBuster, Zscaler discovered that SmokeLoader contains numerous bugs. In versions 2018 to 2022, several of these bugs cause SmokeLoader to significantly slow down the performance of an infected system. This is due to a combination of coding errors in the persistence implementation, the checks for the presence of running infections, and errors in the proper cleanup of threads and process memory. The uninstall features of SmokeBuster at a glance: – Close the SmokeLoader mutex procedure – Close the SmokeLoader open file handler needed to delete used files. – Delete the SmokeLoader executable, plugins and scheduled tasks – Delete installation directories – Terminate SmokeLoader threads (or explorer.exe processes for version 2017) – Remove the SmokeLoader explorer.exe association – Killing the SmokeLoader plugin process SmokeBuster has also implemented a feature that allows malware analysts to terminate, suspend or include SmokeLoader threads. This can be used to override the SmokeLoader feature that interferes with malware detection by analysis tools. By default, most versions of SmokeLoader are placed in the PAGE_EXECUTE_READ section of explorer.exe. As a result, debuggers are unable to set software breakpoints or patch the code. This is where SmokeBuster comes in, remapping the SmokeLoader memory sections and breaking this process using PAGE_EXECUTE_READWRITE permissions. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de