Drittanbieter APIs als C&C Infrastruktur

Originalbeitrag von Stephen Hilt und Lord Alfred Remorin, Senior Threat Researchers

Unternehmen und im Allgemeinen Personengruppen haben häufig bereits einen Wechsel in ihren Kommunkationsmethoden vollzogen – von E-Mail und IRC auf moderne Chat-Plattformen wie Slack, Discord und Telegram. Diese neueren Anwendungen haben nicht nur weniger Overhead sondern erlauben auch eine Integration anpassbarer Apps und Skripts über ihre APIs, sodass etwa Mitarbeiter ihre Arbeitsabläufe optimieren können. Leider haben auch Angreifer diesen Wechsel mitgemacht und attackieren diese Plattformen als C&C-Infrastrukturen, indem sie genau die Funktionalität angreifen, die die Plattformen so attraktiv machen. Details der von Trend Micro dazu durchgeführte Forschungsarbeit und deren Ergebnisse sind in dem Whitepaper „How Cybercriminals Abuse Chat Program APIs as Command-and-Control Infrastructure” zusammengefasst.


Bild 1. Ein typischer C&C-Server Flowchart

Dies ist noch nicht das schlimmste Szenario, sondern eines, das tatsächlich aus der Praxis gegriffen ist, zumeist mit Ransomware-Varianten. Die Funktionalität, die Zusammenarbeit und Integration für Unternehmensanwendungen bringen soll, deren anpassbare API, kann und wird von Angreifern missbraucht. Eine Variante, die vor allem dies tut, ist TeleCrypt. Sie nutzt Telegram, um mit ihren Autoren mitzuteilen, dass sie sich erfolgreich in ein neues System infiltriert hat und dieses infiziert und übermittelt auch andere Informationen zur Zahlung und Entschlüsselung.

Den Ernst der Lage zu Chat-Plattformen erschwert die Tatsache, dass es derzeit keine Möglichkeit gibt, die Nutzung zu sichern, ohne deren Funktionalität zu killen. Es gibt auch keinen Weg, zwischen bösartigen und harmlosen Verbindungen zu diesen Plattformen zu unterscheiden.

Unerwartet, aber nicht unlösbar

Dennoch ist die Sache nicht ganz hoffnungslos. Sichere Nutzungspraktiken können zumindest etwas Schutz gegen jede Bedrohung bieten, die über diese Anwendungen kommt. Eine Sicherheitslösung, die Netzwerke und Endpunkte schützt ist ebenfalls von essenzieller Bedeutung, um Schadsoftware daran zu hindern, Systeme innerhalb des Netzwerks zu infizieren.

Die technischen Details dieser Forschungsarbeit und deren Ergebnisse sind in dem Whitepaper „How Cybercriminals Abuse Chat Program APIs as Command-and-Control Infrastructure” zusammengefasst. Es umfasst auch eine tiefgehende Analyse der drei bekanntesten Chat-Plattformen in der Unternehmenskommunikation, einschließlich von Fallbeispielen mit Schadsoftware, die hier gefunden wurde.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*