Fachartikel

Emotet: Mapping eines mehrstufigen Botnetzes

Die Schadsoftware Emotet tauchte 2014 erstmals als reiner Banking-Trojaner auf. Heute nutzen Cyberkriminelle die dynamische Malware für Identitätsdiebstahl, Network Spreading, E-Mail-Harvesting sowie das Auslesen von Kontakten und Adressbüchern. Globale Netzwerkforensik ermöglichte es, die Multi-Tier-Struktur des Emotet-Botnetzes zu mappen und in der Folge Cyberattacken proaktiv entgegenzuwirken. Der Fachartikel erklärt, warum dazu umfassende Netzwerkanalysen und das Identifizieren von Tier-2-C2-Servern nötig waren.
Für das Mapping eines mehrstufigen Botnetzes sind umfassende Traffic-Analysen nötig.
Die Emotet-Betreiber verlagern ihren Fokus darauf, Emotet zum Botnet-as-a-Service für Cyberkriminelle zu transformieren. Emotet verbreitet sich derzeit typischerweise über bösartige Links sowie Anhänge in Phishing-E-Mails. Bisher wurden Phishing-Kampagnen nur bei der Auslieferung von Emotet selbst beobachtet. Ein Rechner kann jedoch, sobald er kompromittiert wurde, mit weiteren Malware-Varianten infiziert werden. Die Emotet Command-&-Control-Infrastruktur (C2) ist komplex. Die Akteure betreiben permanent über hundert verschiedene C2-Server und aktualisieren im Laufe des Tages, welche C2-Server gerade aktiv sind. Die C2-Infrastruktur ist mehrstufig aufgebaut, was sie gegen Ausfälle einzelner C2-Server absichert.

Umfassende Traffic-Analysen
Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.

Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:


 
Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.

Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.
Bots als C2-Server
Emotet setzt bei bestimmten Kompromittierungen ein Universal-Plug-&-Play-Modul (UPnP) ein, das es einem infizierten Gerät ermöglicht, als C2-Server zu agieren. Die meisten infizierten Geräte befinden sich hinter einem Router, der keine eingehenden Verbindungen zum infizierten Host zulässt. Das UPnP-Modul öffnet einen Port auf dem Router des Benutzers, der dann eingehende Verbindungen an einen Port auf dem infizierten Gerät weiterleitet. Über diese Bot C2-Server läuft nicht die eigentliche C2-Kommunikation, sondern sie dienen als Proxy und leiten die Kommunikation an einen Tier-1-C2-Server weiter.

Im Gegensatz zu den Bot C2-Servern handelt es sich bei den Tier-1-C2-Servern typischerweise um kompromittierte Webhosts, die ihre C2-Kommunikation an einen Tier-2-Server weiterleiten. Die Emotet-Payloads sind typischerweise über 40 verschiedene C2-Server verteilt, die sowohl Bot-C2-Server als auch Tier-1-C2-Server beinhalten:

 
Im weiteren Verlauf dieses Beitrags bezeichnen wir Tier-1-C2-Server als kompromittierte Webhosts und die Bot-C2-Server als infizierte Geräte mit dem eingesetzten UPnP-Modul.

Die Black Lotus Labs beobachteten seit Mitte 2018 diese Verbreitungsstrategie allein auf Grundlage des Netzwerkverkehrs. Der Einsatz eines UPnP-Moduls wurde erstmals identifiziert, als validierte C2-Server begannen, mit anderen validierten C2-Servern über ihre C2-Ports zu kommunizieren. Stellt man die C2-zu-C2-Kommunikation als Grafik dar, so lassen sich zwei klar voneinander abgegrenzte C2-Cluster erkennen:

 
Diese beiden Infrastrukturen werden typischerweise in Epoche 1 und Epoche 2 unterschieden.
20.11.2019/ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink

Nachrichten

Zugriffe zentral verwalten [12.08.2020]

Mit den erweiterten Funktionalitäten des Secret Server von Thycotic sollen Unternehmen von einer erhöhten Cloud-Transparenz und plattformübergreifenden Kontrollen sowie mehr Sicherheit für remote-arbeitende Teams profitieren. Laut Hersteller haben bereits über 75 Prozent der Unternehmen mehrere Cloudplattformen im Einsatz, weshalb plattformübergreifende Sicherheit vonnöten ist. Zusätzlich zu den bereits vorhandenen Erkennungsfunktionen für AWS ermöglicht die neueste Version des Secret Servers, auch Google Cloud und Azure mit konsistenten PAM-Richtlinien und -Verfahren zu managen und abzusichern. [mehr]

WLAN in Gefahr [10.08.2020]

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm und MediaTek entdeckt. Hacker können diese Schwachstellen (CVE-2020-3702) ausnutzen, um den eigentlich verschlüsselten WLAN-Verkehr mitzulesen oder eigene Datenpakete einzuschleusen. Nach aktuellen Erkenntnissen handelt es sich um Router der bekannten Firmen D-Link und Asus. Doch nicht nur Router sonder auch Microsoft Azure Sphere, eine spezielle IoT-Umgebung für Unternehmen, ist betroffen. Das Development Kit für Azure Sphere hat einen MediaTek-Chip verbaut, der auch diese Schwachstelle aufweist.  [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen