Fachartikel

Emotet: Mapping eines mehrstufigen Botnetzes

Die Schadsoftware Emotet tauchte 2014 erstmals als reiner Banking-Trojaner auf. Heute nutzen Cyberkriminelle die dynamische Malware für Identitätsdiebstahl, Network Spreading, E-Mail-Harvesting sowie das Auslesen von Kontakten und Adressbüchern. Globale Netzwerkforensik ermöglichte es, die Multi-Tier-Struktur des Emotet-Botnetzes zu mappen und in der Folge Cyberattacken proaktiv entgegenzuwirken. Der Fachartikel erklärt, warum dazu umfassende Netzwerkanalysen und das Identifizieren von Tier-2-C2-Servern nötig waren.
Für das Mapping eines mehrstufigen Botnetzes sind umfassende Traffic-Analysen nötig.
Die Emotet-Betreiber verlagern ihren Fokus darauf, Emotet zum Botnet-as-a-Service für Cyberkriminelle zu transformieren. Emotet verbreitet sich derzeit typischerweise über bösartige Links sowie Anhänge in Phishing-E-Mails. Bisher wurden Phishing-Kampagnen nur bei der Auslieferung von Emotet selbst beobachtet. Ein Rechner kann jedoch, sobald er kompromittiert wurde, mit weiteren Malware-Varianten infiziert werden. Die Emotet Command-&-Control-Infrastruktur (C2) ist komplex. Die Akteure betreiben permanent über hundert verschiedene C2-Server und aktualisieren im Laufe des Tages, welche C2-Server gerade aktiv sind. Die C2-Infrastruktur ist mehrstufig aufgebaut, was sie gegen Ausfälle einzelner C2-Server absichert.

Umfassende Traffic-Analysen
Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.

Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:


 
Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.

Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.
Bots als C2-Server
Emotet setzt bei bestimmten Kompromittierungen ein Universal-Plug-&-Play-Modul (UPnP) ein, das es einem infizierten Gerät ermöglicht, als C2-Server zu agieren. Die meisten infizierten Geräte befinden sich hinter einem Router, der keine eingehenden Verbindungen zum infizierten Host zulässt. Das UPnP-Modul öffnet einen Port auf dem Router des Benutzers, der dann eingehende Verbindungen an einen Port auf dem infizierten Gerät weiterleitet. Über diese Bot C2-Server läuft nicht die eigentliche C2-Kommunikation, sondern sie dienen als Proxy und leiten die Kommunikation an einen Tier-1-C2-Server weiter.

Im Gegensatz zu den Bot C2-Servern handelt es sich bei den Tier-1-C2-Servern typischerweise um kompromittierte Webhosts, die ihre C2-Kommunikation an einen Tier-2-Server weiterleiten. Die Emotet-Payloads sind typischerweise über 40 verschiedene C2-Server verteilt, die sowohl Bot-C2-Server als auch Tier-1-C2-Server beinhalten:

 
Im weiteren Verlauf dieses Beitrags bezeichnen wir Tier-1-C2-Server als kompromittierte Webhosts und die Bot-C2-Server als infizierte Geräte mit dem eingesetzten UPnP-Modul.

Die Black Lotus Labs beobachteten seit Mitte 2018 diese Verbreitungsstrategie allein auf Grundlage des Netzwerkverkehrs. Der Einsatz eines UPnP-Moduls wurde erstmals identifiziert, als validierte C2-Server begannen, mit anderen validierten C2-Servern über ihre C2-Ports zu kommunizieren. Stellt man die C2-zu-C2-Kommunikation als Grafik dar, so lassen sich zwei klar voneinander abgegrenzte C2-Cluster erkennen:

 
Diese beiden Infrastrukturen werden typischerweise in Epoche 1 und Epoche 2 unterschieden.
20.11.2019/ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink

Nachrichten

Integrierte Sicherheit [4.06.2020]

Zyxel arbeitet künftig mit McAfee zusammen. Das Ergebnis dieser Kooperation ist eine integrierte One-Box- Sicherheitslösung speziell für kleine und mittelständische Unternehmen. Durch die Integration der Anti-Malware- Software von McAfee in die High-End-ATP-Firewall-Familie von Zyxel erhalten Firmen eine Malware-Erkennung und Web-Filterung in einem Gerät. [mehr]

Verschlüsselte Micro-SSD mit Anti-Malware-Quarantäne [29.05.2020]

Als hardwareverschlüsselte microSATA SSD eignet sich Sentry K300 von DataLocker für den sicheren Transport kritischer Daten. Im Zuge eines Firmware-Updates auf Version 6.3.1 stellt der Anbieter Nutzern zusätzliche Funktionen für den USB-Datenspeicher zur Verfügung, darunter die Laufwerks-Bereinigung und die Anti-Malware-Quarantäne. [mehr]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen