Lesezeit
2 Minuten
Seite 2 - Emotet: Mapping eines mehrstufigen Botnetzes
Bot-C2-Server wechseln häufig IP-Adresse
Im Mai 2019 identifizierte und validierte das automatisierte Botnetz-Trackingsystem 310 C2-IP-Adressen. Im gleichen Monat wurden 208 dieser C2-Server auch über Bot-Finding-Heuristiken als Bots identifiziert. Die Analyse dieser identifizierten Bot C2-Server zeigt, dass die Mehrzahl der Bots in dynamischen Breitband-IP-Bereichen gehostet wird. DNS-Einträge sowie das Scannen der Historie über Dienste wie Shodan belegten, dass es sich bei diesen IP-Adressen um solche von regulären Internetnutzern und nicht um kompromittierte Webhosts handelt. Die anderen 102 C2-Server sind Hosting-Provider. Scans zeigen, dass die meisten dieser IPs verwundbare Webhosts sind. Innerhalb der letzten 30 Tage bestanden etwa zwei Drittel der aktiven Emotet-C2-Infrastruktur aus infizierten Geräten (Bot C2-Servern).
Die Black Lotus Labs beobachten hierbei nicht den gesamten Traffic der Tier-2-C2-Server, jedoch die Struktur des Traffics von Tier-1-C2-Servern, der das Netzwerk passiert. Basierend auf diesen Erkenntnissen der letzten 30 Tage kommunizierten 14 IPs mit 5.45.65[.]126 auf Port 80/TCP. Bei 13 davon handelte sich um validierte Tier-1-C2-Server. Der Traffic, der zu 212.8.242[.]201 beobachtet wurde, gestaltete sich ähnlich, wobei 23 IPs auf Port 80/TCP kommunizierten, von denen 22 validierte Tier-1-C2-Server waren.
Malware-Distribution-as-a-Service
Emotet ist dafür bekannt, weitere Malwarevarianten wie Trickbot, IcedID, QakBot, Gookit, Dridex und andere zu verbreiten. Mit Hilfe der zuvor beschriebenen Bot-Heuristiken lassen sich Emotet Infektionen mit den weiteren Malwarevertretern – basierend auf der Kommunikation mit dem infizierten Bot C2-Server – korrelieren. So kommunizierten in den letzten 30 Tagen mehr als 17.000 unterschiedliche Bot-IP-Adressen, die mit Emotet C2-Servern in Verbindung stehen, auch mit Trickbot C2-Servern. Trickbot zählt zu den häufigsten Malwarevarianten, die von Emotet verbreitet werden. Die am zweithäufigsten mit Emotet korrelierende Malwarefamilie ist Azorult. Die Security-Experten identifizierten zudem etwa hundert Bots, die mit Danabot in Verbindung stehen.
Dies könnte bedeuten, dass die Emotet-Akteure Payloads anderer Malwarevarianten auf den gleichen Geräten verbreiten, die sie über das UPnP-Modul als C2-Server nutzen. In der Regel möchten Botnetz-Betreiber ihre C2-Infrastruktur von anderen Malwarefamilien frei halten. Nicht so im Fall von Emotet. Von den 208 bereits erwähnten Bot-C2-Servern sind acht Prozent auch mit Trickbot infiziert. Die Vermutung liegt nahe, dass Bot-C2-Server erst später für andere Zwecke genutzt werden sollen. Die Black Lotus Labs haben jedoch C2-Server validiert, die am selben Tag sowohl von Emotet als auch Trickbot genutzt wurden.
Fazit
Die C2-Infrastruktur von Emotet lässt sich, unabhängig von Malware-Samples, mittels automatisiertem Botnet-Tracking allein über das Netzwerkmonitoring verfolgen. Bot-Heuristiken können zudem vorhersagen, mit welchen Malwarevarianten Emotet korreliert. Sie helfen dabei, den Malware-Distribution-as-a-Service-Ansatz von Emotet zu tracken.
ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink
Im Mai 2019 identifizierte und validierte das automatisierte Botnetz-Trackingsystem 310 C2-IP-Adressen. Im gleichen Monat wurden 208 dieser C2-Server auch über Bot-Finding-Heuristiken als Bots identifiziert. Die Analyse dieser identifizierten Bot C2-Server zeigt, dass die Mehrzahl der Bots in dynamischen Breitband-IP-Bereichen gehostet wird. DNS-Einträge sowie das Scannen der Historie über Dienste wie Shodan belegten, dass es sich bei diesen IP-Adressen um solche von regulären Internetnutzern und nicht um kompromittierte Webhosts handelt. Die anderen 102 C2-Server sind Hosting-Provider. Scans zeigen, dass die meisten dieser IPs verwundbare Webhosts sind. Innerhalb der letzten 30 Tage bestanden etwa zwei Drittel der aktiven Emotet-C2-Infrastruktur aus infizierten Geräten (Bot C2-Servern).
Über 80 Prozent der C2 IPs scheinen Bot C2-Server zu sein. Dies liegt wahrscheinlich daran, dass die Bot-C2-Server häufiger als die kompromittierten Webhosts ihre IP-Adressen wechseln. Die Black Lotus Labs berechneten für beide C2-Server Sets die durchschnittliche Dauer zwischen der ersten und letzten C2-Validierung. Für Tier-1 C2-Server betrug diese 38 Tage, für Bot C2-Server 17 Tage. Dies bedeutet, dass der C2-Server während dieses Zeitraums mindestens zweimal erreichbar war. Tier-1 C2-Server scheinen häufiger aktiv zu sein als Bot C2-Server. Kompromittierte Webhosts sind also viel häufiger online als Bot C2-Server. Das Bild zeigt die geografische Verteilung der Tier-1 C2-Server im Vergleich zu den Bot C2-Servern:
Identifizieren von Tier-2-C2-Servern
Die Sicherheitsexperten sind in der Lage, Tier-2-C2-Server allein über Korrelationen im Netzwerkverkehr zu identifizieren. Frühere Ansätze zur Identifizierung von Tier-2-C2-Servern erforderten einen direkten Zugang zu einem Tier-1-C2-Server mit Hilfe eines Hosting-Providers. Da die Tier-1-C2-Server ihren Traffic auf einen Tier-2-C2-Server proxysieren und es für jede Epoche typischerweise einen Tier-2-C2-Server gibt, lassen sich die Tier-2-C2-Server durch die Analyse der Gemeinsamkeiten zwischen den Tier-1-C2-Servern und mit wem diese kommunizieren, identifizieren. Die aktuellen Tier-2-C2-Server im Mai 2019 waren 5.45.65[.]126:80 (Epoche 1) und 212.8.242[.]201:80 (Epoche 2). Jeder Tier-2-C2-Server kommuniziert nur mit Tier-1-C2-Servern aus derselben Epoche. Dies bestätigt die anhaltende Trennung der beiden Epochen.Die Black Lotus Labs beobachten hierbei nicht den gesamten Traffic der Tier-2-C2-Server, jedoch die Struktur des Traffics von Tier-1-C2-Servern, der das Netzwerk passiert. Basierend auf diesen Erkenntnissen der letzten 30 Tage kommunizierten 14 IPs mit 5.45.65[.]126 auf Port 80/TCP. Bei 13 davon handelte sich um validierte Tier-1-C2-Server. Der Traffic, der zu 212.8.242[.]201 beobachtet wurde, gestaltete sich ähnlich, wobei 23 IPs auf Port 80/TCP kommunizierten, von denen 22 validierte Tier-1-C2-Server waren.
Malware-Distribution-as-a-Service
Emotet ist dafür bekannt, weitere Malwarevarianten wie Trickbot, IcedID, QakBot, Gookit, Dridex und andere zu verbreiten. Mit Hilfe der zuvor beschriebenen Bot-Heuristiken lassen sich Emotet Infektionen mit den weiteren Malwarevertretern – basierend auf der Kommunikation mit dem infizierten Bot C2-Server – korrelieren. So kommunizierten in den letzten 30 Tagen mehr als 17.000 unterschiedliche Bot-IP-Adressen, die mit Emotet C2-Servern in Verbindung stehen, auch mit Trickbot C2-Servern. Trickbot zählt zu den häufigsten Malwarevarianten, die von Emotet verbreitet werden. Die am zweithäufigsten mit Emotet korrelierende Malwarefamilie ist Azorult. Die Security-Experten identifizierten zudem etwa hundert Bots, die mit Danabot in Verbindung stehen.
Die Black Lotus Labs beobachteten, dass validierte C2-Server mit anderen Malware-Familien kommunizieren:
Nachdem wie beschrieben die validierte C2-Liste in Tier-1-C2-Server und Bot-C2-Server unterschieden wird, stellte sich heraus, dass dies lediglich bei Bot-C2-Servern der Fall ist.
Dies könnte bedeuten, dass die Emotet-Akteure Payloads anderer Malwarevarianten auf den gleichen Geräten verbreiten, die sie über das UPnP-Modul als C2-Server nutzen. In der Regel möchten Botnetz-Betreiber ihre C2-Infrastruktur von anderen Malwarefamilien frei halten. Nicht so im Fall von Emotet. Von den 208 bereits erwähnten Bot-C2-Servern sind acht Prozent auch mit Trickbot infiziert. Die Vermutung liegt nahe, dass Bot-C2-Server erst später für andere Zwecke genutzt werden sollen. Die Black Lotus Labs haben jedoch C2-Server validiert, die am selben Tag sowohl von Emotet als auch Trickbot genutzt wurden.
Fazit
Die C2-Infrastruktur von Emotet lässt sich, unabhängig von Malware-Samples, mittels automatisiertem Botnet-Tracking allein über das Netzwerkmonitoring verfolgen. Bot-Heuristiken können zudem vorhersagen, mit welchen Malwarevarianten Emotet korreliert. Sie helfen dabei, den Malware-Distribution-as-a-Service-Ansatz von Emotet zu tracken.
ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink