Die Koobface-Saga

Originalartikel von Trend Micro

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich über das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natürlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen für die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) für ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Ein Gedanke zu „Die Koobface-Saga

  1. Pingback: So nicht – Aussagen macht man zuerst bei der Polizei, nicht im Internet! | Worldpresse – Nachrichten und Pressemitteilungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*