Fachartikel

Emotet: Mapping eines mehrstufigen Botnetzes

Die Schadsoftware Emotet tauchte 2014 erstmals als reiner Banking-Trojaner auf. Heute nutzen Cyberkriminelle die dynamische Malware für Identitätsdiebstahl, Network Spreading, E-Mail-Harvesting sowie das Auslesen von Kontakten und Adressbüchern. Globale Netzwerkforensik ermöglichte es, die Multi-Tier-Struktur des Emotet-Botnetzes zu mappen und in der Folge Cyberattacken proaktiv entgegenzuwirken. Der Fachartikel erklärt, warum dazu umfassende Netzwerkanalysen und das Identifizieren von Tier-2-C2-Servern nötig waren.
Für das Mapping eines mehrstufigen Botnetzes sind umfassende Traffic-Analysen nötig.
Die Emotet-Betreiber verlagern ihren Fokus darauf, Emotet zum Botnet-as-a-Service für Cyberkriminelle zu transformieren. Emotet verbreitet sich derzeit typischerweise über bösartige Links sowie Anhänge in Phishing-E-Mails. Bisher wurden Phishing-Kampagnen nur bei der Auslieferung von Emotet selbst beobachtet. Ein Rechner kann jedoch, sobald er kompromittiert wurde, mit weiteren Malware-Varianten infiziert werden. Die Emotet Command-&-Control-Infrastruktur (C2) ist komplex. Die Akteure betreiben permanent über hundert verschiedene C2-Server und aktualisieren im Laufe des Tages, welche C2-Server gerade aktiv sind. Die C2-Infrastruktur ist mehrstufig aufgebaut, was sie gegen Ausfälle einzelner C2-Server absichert.

Umfassende Traffic-Analysen
Viele Unternehmen, die sich derzeit mit dem Tracking von Emotet beschäftigen, überwachen eingehende Spam-E-Mails und extrahieren das C2-Skript durch das Ausführen der Binärdatei in einer Sandbox-Umgebung. Die Black Lotus Labs, das Threat Research und Operations Center des US-amerikanischen Kommunikationsdienstleisters CenturyLink, erweitern diesen Ansatz, indem sie Verbreitungsmuster des Botnetzes beobachten.

Hierzu verwenden die Cybersecurity-Experten – aufsetzend auf dem Seed bereits identifizierter C2-Server – Netflow-basierte Heuristiken, um Bots, die mit der C2-Infrastruktur kommunizieren, zu erkennen. Kommuniziert eine IP-Adresse häufig mit einem C2-Server über dessen C2-Port, so besteht eine hohe Wahrscheinlichkeit, dass es sich bei dieser IP-Adresse um einen Bot handelt. In den letzten sechs Monaten konnten die Black Lotus Labs so im Schnitt täglich 40.000 spezifische Emotet Bots identifizieren:


 
Die Black Lotus Labs nutzen mehrere markierte C2-Server und einen Pool bekannter Bots, um neue C2-Server proaktiv zu identifizieren. Die Cybersecurity-Experten lernen hierzu einen Machine Learning Classifier an. Da Bots sowohl mit vielen beliebten Hosts als auch mit C2-Servern kommunizieren, vertrauen die Spezialisten nicht nur auf das Ergebnis des Klassifizierungsverfahrens. Sie emulieren das Protokoll, um einen Emotet C2-Server zu validieren, und stellen so sicher, dass die IP-Adresse korrekt reagiert.

Die Black Lotus Labs konnten 2018 mit diesem Ansatz unbekannte C2-Server im Durchschnitt bereits eine Woche früher als herkömmliche Tracker identifizieren. Da die Emotet C2-Liste in der Binärdatei fest kodiert ist und sich die Infrastruktur des Botnetzes rasch ändert, müssen der Code und die C2-Liste, die auf einem infizierten Gerät ausgeführt werden, häufig aktualisiert werden. Wechseln Bots zu neuen C2-Servern, so registrieren die Algorithmen des Sicherheitsdienstleisters dies und erkennen die neuen C2-Server. Mitunter gelingt dies bereits, bevor Bots über Spam-Kampagnen in einer neuen Binärdatei verteilt werden.
Bots als C2-Server
Emotet setzt bei bestimmten Kompromittierungen ein Universal-Plug-&-Play-Modul (UPnP) ein, das es einem infizierten Gerät ermöglicht, als C2-Server zu agieren. Die meisten infizierten Geräte befinden sich hinter einem Router, der keine eingehenden Verbindungen zum infizierten Host zulässt. Das UPnP-Modul öffnet einen Port auf dem Router des Benutzers, der dann eingehende Verbindungen an einen Port auf dem infizierten Gerät weiterleitet. Über diese Bot C2-Server läuft nicht die eigentliche C2-Kommunikation, sondern sie dienen als Proxy und leiten die Kommunikation an einen Tier-1-C2-Server weiter.

Im Gegensatz zu den Bot C2-Servern handelt es sich bei den Tier-1-C2-Servern typischerweise um kompromittierte Webhosts, die ihre C2-Kommunikation an einen Tier-2-Server weiterleiten. Die Emotet-Payloads sind typischerweise über 40 verschiedene C2-Server verteilt, die sowohl Bot-C2-Server als auch Tier-1-C2-Server beinhalten:

 
Im weiteren Verlauf dieses Beitrags bezeichnen wir Tier-1-C2-Server als kompromittierte Webhosts und die Bot-C2-Server als infizierte Geräte mit dem eingesetzten UPnP-Modul.

Die Black Lotus Labs beobachteten seit Mitte 2018 diese Verbreitungsstrategie allein auf Grundlage des Netzwerkverkehrs. Der Einsatz eines UPnP-Moduls wurde erstmals identifiziert, als validierte C2-Server begannen, mit anderen validierten C2-Servern über ihre C2-Ports zu kommunizieren. Stellt man die C2-zu-C2-Kommunikation als Grafik dar, so lassen sich zwei klar voneinander abgegrenzte C2-Cluster erkennen:

 
Diese beiden Infrastrukturen werden typischerweise in Epoche 1 und Epoche 2 unterschieden.
20.11.2019/ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink

Nachrichten

TeamViewer integriert Patch-Management-Funktion [5.12.2019]

TeamViewer erweitert seine Software "Monitoring & Asset Management" um eine Patch-Management-Funktion. Damit sollen besonders kleine und mittelständische Unternehmen darin unterstützt werden, ihre Software auf dem aktuellen Stand zu halten. Häufig stellen veraltete Programme nämlich ein Einfallstor für Angreifer dar. [mehr]

Kritische Android-Schwachstelle gefährdet alle Nutzer [4.12.2019]

Eine neue Schwachstelle gefährdet alle Nutzer von Android bis einschließlich Version 10. Angreifer können ihre Malware-Apps dabei als legitimie Applikation tarnen um im Namen der vertrauten App beliebige Rechte auf dem System einfordern. Nutzer haben kaum eine Chance, den Vorgang zu erkennen, der auch auf nicht-gerooteten Geräten funktioniert. Einen Schutz gibt es bislang nicht. [mehr]

Hotelgäste im Visier [28.11.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen