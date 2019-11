Die Schadsoftware Emotet tauchte 2014 erstmals als reiner Banking-Trojaner auf. Heute nutzen Cyberkriminelle die dynamische Malware für Identitätsdiebstahl, Network Spreading, E-Mail-Harvesting sowie das Auslesen von Kontakten und Adressbüchern. Globale Netzwerkforensik ermöglichte es, die Multi-Tier-Struktur des Emotet-Botnetzes zu mappen und in der Folge Cyberattacken proaktiv entgegenzuwirken. Der Fachartikel erklärt, warum dazu umfassende Netzwerkanalysen und das Identifizieren von Tier-2-C2-Servern nötig waren.

Die Emotet-Betreiber verlagern ihren Fokus darauf, Emotet zum Botnet-as-a-Service für Cyberkriminelle zu transformieren. Emotet verbreitet sich derzeit typischerweise über bösartige Links sowie Anhänge in Phishing-E-Mails. Bisher wurden Phishing-Kampagnen nur bei der Auslieferung von Emotet selbst beobachtet. Ein Rechner kann jedoch, sobald er kompromittiert wurde, mit weiteren Malware-Varianten infiziert werden. Die Emotet Command-&-Control-Infrastruktur (C2) ist komplex. Die Akteure betreiben permanent über hundert verschiedene C2-Server und aktualisieren im Laufe des Tages, welche C2-Server gerade aktiv sind. Die C2-Infrastruktur ist mehrstufig aufgebaut, was sie gegen Ausfälle einzelner C2-Server absichert.Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.