Fachartikel

Seite 2 - Emotet: Mapping eines mehrstufigen Botnetzes

Bot-C2-Server wechseln häufig IP-Adresse
Im Mai 2019 identifizierte und validierte das automatisierte Botnetz-Trackingsystem 310 C2-IP-Adressen. Im gleichen Monat wurden 208 dieser C2-Server auch über Bot-Finding-Heuristiken als Bots identifiziert. Die Analyse dieser identifizierten Bot C2-Server zeigt, dass die Mehrzahl der Bots in dynamischen Breitband-IP-Bereichen gehostet wird. DNS-Einträge sowie das Scannen der Historie über Dienste wie Shodan belegten, dass es sich bei diesen IP-Adressen um solche von regulären Internetnutzern und nicht um kompromittierte Webhosts handelt. Die anderen 102 C2-Server sind Hosting-Provider. Scans zeigen, dass die meisten dieser IPs verwundbare Webhosts sind. Innerhalb der letzten 30 Tage bestanden etwa zwei Drittel der aktiven Emotet-C2-Infrastruktur aus infizierten Geräten (Bot C2-Servern).

Über 80 Prozent der C2 IPs scheinen Bot C2-Server zu sein. Dies liegt wahrscheinlich daran, dass die Bot-C2-Server häufiger als die kompromittierten Webhosts ihre IP-Adressen wechseln. Die Black Lotus Labs berechneten für beide C2-Server Sets die durchschnittliche Dauer zwischen der ersten und letzten C2-Validierung. Für Tier-1 C2-Server betrug diese 38 Tage, für Bot C2-Server 17 Tage. Dies bedeutet, dass der C2-Server während dieses Zeitraums mindestens zweimal erreichbar war. Tier-1 C2-Server scheinen häufiger aktiv zu sein als Bot C2-Server. Kompromittierte Webhosts sind also viel häufiger online als Bot C2-Server. Das Bild zeigt die geografische Verteilung der Tier-1 C2-Server im Vergleich zu den Bot C2-Servern:


 
Identifizieren von Tier-2-C2-Servern
Die Sicherheitsexperten sind in der Lage, Tier-2-C2-Server allein über Korrelationen im Netzwerkverkehr zu identifizieren. Frühere Ansätze zur Identifizierung von Tier-2-C2-Servern erforderten einen direkten Zugang zu einem Tier-1-C2-Server mit Hilfe eines Hosting-Providers. Da die Tier-1-C2-Server ihren Traffic auf einen Tier-2-C2-Server proxysieren und es für jede Epoche typischerweise einen Tier-2-C2-Server gibt, lassen sich die Tier-2-C2-Server durch die Analyse der Gemeinsamkeiten zwischen den Tier-1-C2-Servern und mit wem diese kommunizieren, identifizieren. Die aktuellen Tier-2-C2-Server im Mai 2019 waren 5.45.65[.]126:80 (Epoche 1) und 212.8.242[.]201:80 (Epoche 2). Jeder Tier-2-C2-Server kommuniziert nur mit Tier-1-C2-Servern aus derselben Epoche. Dies bestätigt die anhaltende Trennung der beiden Epochen.

Die Black Lotus Labs beobachten hierbei nicht den gesamten Traffic der Tier-2-C2-Server, jedoch die Struktur des Traffics von Tier-1-C2-Servern, der das Netzwerk passiert. Basierend auf diesen Erkenntnissen der letzten 30 Tage kommunizierten 14 IPs mit 5.45.65[.]126 auf Port 80/TCP. Bei 13 davon handelte sich um validierte Tier-1-C2-Server. Der Traffic, der zu 212.8.242[.]201 beobachtet wurde, gestaltete sich ähnlich, wobei 23 IPs auf Port 80/TCP kommunizierten, von denen 22 validierte Tier-1-C2-Server waren.
Malware-Distribution-as-a-Service
Emotet ist dafür bekannt, weitere Malwarevarianten wie Trickbot, IcedID, QakBot, Gookit, Dridex und andere zu verbreiten. Mit Hilfe der zuvor beschriebenen Bot-Heuristiken lassen sich Emotet Infektionen mit den weiteren Malwarevertretern – basierend auf der Kommunikation mit dem infizierten Bot C2-Server – korrelieren. So kommunizierten in den letzten 30 Tagen mehr als 17.000 unterschiedliche Bot-IP-Adressen, die mit Emotet C2-Servern in Verbindung stehen, auch mit Trickbot C2-Servern. Trickbot zählt zu den häufigsten Malwarevarianten, die von Emotet verbreitet werden. Die am zweithäufigsten mit Emotet korrelierende Malwarefamilie ist Azorult. Die Security-Experten identifizierten zudem etwa hundert Bots, die mit Danabot in Verbindung stehen.

Die Black Lotus Labs beobachteten, dass validierte C2-Server mit anderen Malware-Familien kommunizieren:

 
Nachdem wie beschrieben die validierte C2-Liste in Tier-1-C2-Server und Bot-C2-Server unterschieden wird, stellte sich heraus, dass dies lediglich bei Bot-C2-Servern der Fall ist.

Dies könnte bedeuten, dass die Emotet-Akteure Payloads anderer Malwarevarianten auf den gleichen Geräten verbreiten, die sie über das UPnP-Modul als C2-Server nutzen. In der Regel möchten Botnetz-Betreiber ihre C2-Infrastruktur von anderen Malwarefamilien frei halten. Nicht so im Fall von Emotet. Von den 208 bereits erwähnten Bot-C2-Servern sind acht Prozent auch mit Trickbot infiziert. Die Vermutung liegt nahe, dass Bot-C2-Server erst später für andere Zwecke genutzt werden sollen. Die Black Lotus Labs haben jedoch C2-Server validiert, die am selben Tag sowohl von Emotet als auch Trickbot genutzt wurden.

Fazit
Die C2-Infrastruktur von Emotet lässt sich, unabhängig von Malware-Samples, mittels automatisiertem Botnet-Tracking allein über das Netzwerkmonitoring verfolgen. Bot-Heuristiken können zudem vorhersagen, mit welchen Malwarevarianten Emotet korreliert. Sie helfen dabei, den Malware-Distribution-as-a-Service-Ansatz von Emotet zu tracken.
20.11.2019/ln/Aatish Pattni, Director Security Solutions EMEA bei CenturyLink

Nachrichten

Zugriffe zentral verwalten [12.08.2020]

Mit den erweiterten Funktionalitäten des Secret Server von Thycotic sollen Unternehmen von einer erhöhten Cloud-Transparenz und plattformübergreifenden Kontrollen sowie mehr Sicherheit für remote-arbeitende Teams profitieren. Laut Hersteller haben bereits über 75 Prozent der Unternehmen mehrere Cloudplattformen im Einsatz, weshalb plattformübergreifende Sicherheit vonnöten ist. Zusätzlich zu den bereits vorhandenen Erkennungsfunktionen für AWS ermöglicht die neueste Version des Secret Servers, auch Google Cloud und Azure mit konsistenten PAM-Richtlinien und -Verfahren zu managen und abzusichern. [mehr]

WLAN in Gefahr [10.08.2020]

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm und MediaTek entdeckt. Hacker können diese Schwachstellen (CVE-2020-3702) ausnutzen, um den eigentlich verschlüsselten WLAN-Verkehr mitzulesen oder eigene Datenpakete einzuschleusen. Nach aktuellen Erkenntnissen handelt es sich um Router der bekannten Firmen D-Link und Asus. Doch nicht nur Router sonder auch Microsoft Azure Sphere, eine spezielle IoT-Umgebung für Unternehmen, ist betroffen. Das Development Kit für Azure Sphere hat einen MediaTek-Chip verbaut, der auch diese Schwachstelle aufweist.  [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen