Command & Control Server werden widerstandsfähiger

Originalbeitrag von Marco Dela Vega, Threats Researcher

Eine der Möglichkeiten, Schadsoftwareaktivitäten zu identifizieren, besteht über das Monitoring ihrer Kommunikation mit Command & Control-Servern. Dies gelingt nicht immer und so können viele für Jahre Online zu bleiben.

Schadsoftware benötigt Anweisungen von einem Angreifer, um gut zu funktionieren. Deshalb gibt es Command & Control-Server. Generell werden diese allerdings mit der Nutzung von Botnets in Verbindung gebracht. Doch das ist zu kurz gedacht, denn viele Bedrohungen erfordern C&C-Server, um korrekt zu funktionieren.

Früher waren C&C-Server auf IRC-Server beschränkt, die die Opfermaschinen über Chatroom-Befehle kontrollierten. Mittlerweile sind sie jedoch zum Standard für jede Schadsoftware geworden und übernehmen eine Form von Fernkontrolle mit folgenden Funktionen:

  • Befehle für die Ausführung von bösartigen Routinen ausgeben
  • Systeminformationen zum Zweck der Nachverfolgung
  • Senden von gestohlenen Informationen an externe Ablagen

Die Server wurden mit der Zeit verbessert, sodass sie länger genutzt werden können und widerstandsfähiger gegen Takedowns geworden sind. Auch sind sie besser geschützt vor Entdeckung und sie verschleiern ihren Ursprung.

Es gibt mehrere Methoden, um Sicherheitslösungen zu umgehen, und die Kontrolle über die Opfermaschinen länger aufrecht zu erhalten.

Eintauchen ins Deep Web

Das Deep Web (dazu gehören TOR, Freenet oder I2P) bietet seinen Nutzern Anonymität und ist deshalb bei verschiedenen Bedrohungsakteuren sehr beliebt, nicht zuletzt auch, weil es für den „normalen“ Internet-Nutzer nicht so leicht erreichbar ist. Der bösartige Verkehr auf Deep Web-Sites ist schwer zu entdecken und zu identifizieren. Einzelheiten liefert Trend Micros Whitepaper „Unter der Oberfläche: Das Deep Web erkunden“. http://www.trendmicro.de/media/wp/tl-forschungspapier-deep-web-whitepaper-de.pdf

Crypto-Ransomware nutzt immer häufiger das Deep Web, um die Bezahl-Sites zu verbergen. Doch neuere Varianten der Schadsoftware nutzen Tor und I2P auch für ihre C&C-Server, sowohl damit die Schadsoftware „nach Hause telefonieren“ kann als auch um Verschlüsselungs-Keys zu holen, die sie für die Ransomware braucht.

P2P: Direkte Verbindungen

Ein Peer-to-Peer (P2P)-Netzwerk ist ein verteiltes, virtuelles Netzwerk, bestehend aus Teilnehmern, die sich direkt miteinander statt über einen zentralen Server zu verbinden. Damit ist das Tracking, Blockieren und vom Netz nehmen schwieriger. P2P-Netzwerke bedeuten, dass sowohl die „Server“ als auch „Hosts“ in demselben Netzwerk sind und damit auch die Identifizierung der tatsächlichen Befehlsquelle sich erschwert. Die tatsächlichen C&C-Server wären dann ein weiterer Teilnehmer in einem infizierten Botnet und könnten neue Informationen an andere Teilnehmer weiterleiten.

Riesige Netzwerke lassen sich so aufsetzen und können dazu genutzt werden, um Update-Binaries zu verteilen, Konfigurationsdateien und gestohlene Daten weiterzuleiten. Diese Methode nutzen etwa Malware-Familien wie ZeroAccess, TDSS und Gameover ZeuS.

Nutzung von Cloud Services

Beim Aufsetzen eines C&C-Servers lassen sich auch Untergrund-Services einsetzen wie etwa Bulletproof Hosting, um von dort die Server zu betreiben. Angreifer wählen auch andere Optionen, die nicht so offensichtlich bösartig sind – etwa verschiedene Online-Dienste. Dazu gehören Dropbox, Facebook, Google Drive, Twitter und Yahoo Forums. So gab es etwa im Juni 2014 einen gezielten Angriff gegen eine Regierungsbehörde in Taiwan, die ein PlugX RAT nutzte, das seine C&C-Settings in Dropbox versteckte. Eine weitere gezielte Angriffskampagne setzte auf Google Drive, um die Callback-Kommunikation zu verwalten. In anderen Fällen bediente man sich der Dropbox für das Hosting der Malware und Pinterest als C&C-Kanal.

Auch sind Provider von Cloud-Infrastruktur eine potenzielle Gefahr. Angreifer können vorhandene Instanzen infizieren und dann die für einen C&C-Server benötigten Module installieren. In beiden Szenarien ist es praktisch nicht möglich, lang aktiv zu bleiben. Die Grafik zeigt die Top-Schadsoftwarefamilien, die C&C-Server nutzen, die auf Cloud-Infrastrukturdiensten gehostet werden.


Bild 1. Einige Malware-Familien, die C&C-Server auf Cloud Infrastrukturdiensten hatten

Die Nadel im Heuhaufen: Domain Generation Algorithm (DGA)

Botnets nutzen Domänen, die von DGAs erzeugt werden, um die Entdeckung ihrer Server-Infrastruktur zu erschweren. Diese Technik hatte DOWNAD/Conficker vor Jahren eingeführt und generierte damit 250 bis 50.000 Domänen täglich. Ziel der Technik ist es, herkömmliche Blacklisting-Lösungen zu überfordern.

Seither haben Malware-Autoren verschiedene Algorithmen für die massenhafte Generierung von Domänen erzeugt, die ihre tatsächlichen C&C-Server verbergen sollen. Die Malware-Familien, die DGA nutzten, wie etwa CRILOCK, PUSHDO, NIVDORT und Gameover ZeuS hatten im letzten Jahr die meisten C&C-Domänen im Einsatz.

C&C-Sserver mit mehreren Ebenen

Ein typischer C&C-Angriff verwendet eine „einfache“ Architektur, bei der die Opfer direkt mit den Servern kommunizieren. Das muss aber nicht immer sein. Server der ersten Ebene können auch lediglich ein Proxy sein, der die Befehle von einem zweiten Server, der weiter oben in der C&C-Kette angesiedelt ist, erhält.

Der Vorteil dieser Architektur besteht darin, dass die Server der höheren Ebenen viel schwerer zu entdecken sind. Nur wenn die Sicherheitsforscher in der Lage sind, den gesamten Netzwerkverkehr dieser Server zu identifizieren, können sie auch den Standort des tatsächlichen C&C-Servers finden.

Einsatz eines öffentlichen Registrars

Ein anderer möglicher Schritt im Setup eines C&C-Servers ist der Erwerb einer Domäne. Es ließe sich auch lediglich eine IP-Adresse nutzen, doch ist dabei die Identifizierung und das Blockieren dieser Server einfacher. Nachfolgende Liste umfasst die die Registrierung von C&C-Domänen beliebtesten Registrare. Es gibt keine Hinweise darauf, dass diese als Komplizen in die bösartigen Aktivitäten verwickelt sind:

  • com
  • DynaDot LLc
  • ENOM Inc
  • com
  • Internet AG
  • Melbourne IT
  • Network Solutions
  • Public Domain Registry
  • R01-RU
  • REGRU-RU
  • RU-CENTER
  • TLDS
  • com
  • Tucows, INC
  • Vitalwerks Internet Solutions

Bei der Registrierung ist es sehr schwierig festzustellen, ob eine Domäne für betrügerische Zwecke genutzt werden soll. Registrare mit aktiven Prozessen für die Missbrauchserkennung können dies erst dann feststellen, wenn die Domänen aktiv werden und C&C-Server den Domänennamen nutzen. Öffentlich registrierte Domänen werden daher häufig nur für kurze Zeit genutzt.

Außerdem werden Domain Privacy Services eingesetzt, um die Identifizierung der wahren Akteure zu erschweren. Es geht um legitime Services, die auch von vielen Site-Besitzern als Schutz vor Spam in Anspruch genommen werden (siehe Bild 2). Domänenvertraulichkeit in Kombination mit dynamischen Technologien wie Fast-Flux-Netzwerk macht die Nachverfolgung der Angreifer mit öffentlich verfügbaren Informationen nahezu unmöglich. Hinzu kommt, dass einige Registrare die erhaltenen Informationen nicht validieren.






Bild 2-4. WHOIS-Ergebnisse für URLs mit Domain Privacy

Nutzung kompromittierter Sites

Obige Grafik zeigt, dass Botnets, die mit ZeuS Malware Kits erstellt wurden, zu den häufigsten Einsatzarten von C&C-Servern, die von Cloud Providern gehostet werden, gehören. ZeuS verwendet auch kompromittierte Sites für einige Aspekte der C&C-Funktionalität.

ZeuS lädt eine verschlüsselte Konfigurationsdatei von seinen C&C-Servern herunter. Die Datei enthält alle Befehle und Informationen, die die Malware benötigt, um ihre Aktivitäten durchzuführen. Dies ist natürlich unabhängig von den Haupt-C&C Servern, die das Control Panel umfassen und nicht auf kompromittierten Sites liegen.

Es gibt mehrere Möglichkeiten, Sites zu kompromittieren. Dazu gehören einige sehr bewährte Wege:

  • Auf Web Services zielen, die immer noch Standardsettings nutzen, wie schwache Kennwörter für Managementkonsolen.
  • Öffentlichmachung/Durchsickern von Code, von Zugangsdaten und Informationen. Entwickler könnten beispielsweise ihren Sourcecode in ein öffentliches Repository hochladen, dass die Informationen auch für andere sichtbar macht.
  • Ausnützen bekannter Sicherheitslücken in Web Services. Es müssen dafür nicht Zero-Day-Lücken sein, auch alte und bereits gepatchte können hier perfekt genutzt werden, denn viele Websites verwenden ältere, nicht gepatchte Softwareversionen, die angreifbar sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .