Lesezeit
2 Minuten
Emotet: Mapping eines mehrstufigen Botnetzes
Die Schadsoftware Emotet tauchte 2014 erstmals als reiner Banking-Trojaner auf. Heute nutzen Cyberkriminelle die dynamische Malware für Identitätsdiebstahl, Network Spreading, E-Mail-Harvesting sowie das Auslesen von Kontakten und Adressbüchern. Globale Netzwerkforensik ermöglichte es, die Multi-Tier-Struktur des Emotet-Botnetzes zu mappen und in der Folge Cyberattacken proaktiv entgegenzuwirken. Der Fachartikel erklärt, warum dazu umfassende Netzwerkanalysen und das Identifizieren von Tier-2-C2-Servern nötig waren.
Die Emotet-Betreiber verlagern ihren Fokus darauf, Emotet zum Botnet-as-a-Service für Cyberkriminelle zu transformieren. Emotet verbreitet sich derzeit typischerweise über bösartige Links sowie Anhänge in Phishing-E-Mails. Bisher wurden Phishing-Kampagnen nur bei der Auslieferung von Emotet selbst beobachtet. Ein Rechner kann jedoch, sobald er kompromittiert wurde, mit weiteren Malware-Varianten infiziert werden. Die Emotet Command-&-Control-Infrastruktur (C2) ist komplex. Die Akteure betreiben permanent über hundert verschiedene C2-Server und aktualisieren im Laufe des Tages, welche C2-Server gerade aktiv sind. Die C2-Infrastruktur ist mehrstufig aufgebaut, was sie gegen Ausfälle einzelner C2-Server absichert.
Umfassende Traffic-Analysen
Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.
Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:
Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.
Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.
Bots als C2-Server
Emotet setzt bei bestimmten Kompromittierungen ein Universal-Plug-&-Play-Modul (UPnP) ein, das es einem infizierten Gerät ermöglicht, als C2-Server zu agieren. Die meisten infizierten Geräte befinden sich hinter einem Router, der keine eingehenden Verbindungen zum infizierten Host zulässt. Das UPnP-Modul öffnet einen Port auf dem Router des Benutzers, der dann eingehende Verbindungen an einen Port auf dem infizierten Gerät weiterleitet. Über diese Bot C2-Server läuft nicht die eigentliche C2-Kommunikation, sondern sie dienen als Proxy und leiten die Kommunikation an einen Tier-1-C2-Server weiter.
ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink
Umfassende Traffic-Analysen
Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.
Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:
Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.
Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.
Bots als C2-Server
Emotet setzt bei bestimmten Kompromittierungen ein Universal-Plug-&-Play-Modul (UPnP) ein, das es einem infizierten Gerät ermöglicht, als C2-Server zu agieren. Die meisten infizierten Geräte befinden sich hinter einem Router, der keine eingehenden Verbindungen zum infizierten Host zulässt. Das UPnP-Modul öffnet einen Port auf dem Router des Benutzers, der dann eingehende Verbindungen an einen Port auf dem infizierten Gerät weiterleitet. Über diese Bot C2-Server läuft nicht die eigentliche C2-Kommunikation, sondern sie dienen als Proxy und leiten die Kommunikation an einen Tier-1-C2-Server weiter.
Im Gegensatz zu den Bot C2-Servern handelt es sich bei den Tier-1-C2-Servern typischerweise um kompromittierte Webhosts, die ihre C2-Kommunikation an einen Tier-2-Server weiterleiten. Die Emotet-Payloads sind typischerweise über 40 verschiedene C2-Server verteilt, die sowohl Bot-C2-Server als auch Tier-1-C2-Server beinhalten:
Im weiteren Verlauf dieses Beitrags bezeichnen wir Tier-1-C2-Server als kompromittierte Webhosts und die Bot-C2-Server als infizierte Geräte mit dem eingesetzten UPnP-Modul.
Die Black Lotus Labs beobachteten seit Mitte 2018 diese Verbreitungsstrategie allein auf Grundlage des Netzwerkverkehrs. Der Einsatz eines UPnP-Moduls wurde erstmals identifiziert, als validierte C2-Server begannen, mit anderen validierten C2-Servern über ihre C2-Ports zu kommunizieren. Stellt man die C2-zu-C2-Kommunikation als Grafik dar, so lassen sich zwei klar voneinander abgegrenzte C2-Cluster erkennen:
Diese beiden Infrastrukturen werden typischerweise in Epoche 1 und Epoche 2 unterschieden.
ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink