Header Spoofing als Deckung für Malware-Kommunikation

Originalartikel von Roddell Santos, Threat Analyst

Spoofing ist häufig Teil von Webbedrohungen, sei es als DNS, legitime E-Mail-Benachrichtigung oder IP. Kürzlich haben die Trend Micro-Sicherheitsforscher eine neue Technik, Header Spoofing, entdeckt, die es noch schwieriger macht, die Bedrohung zu erkennen.

Man spricht von Header Spoofing, wenn eine URL zu einer bestimmten Domäne zu gehören scheint, doch tatsächlich von einer anderen, in den meisten Fällen bösartigen heruntergeladen wurde. Im Gegensatz zu anderen Spoofing-Techniken wird diese Aktion ohne jegliche Änderungen an Systemen oder Dateien durchgeführt. Stattdessen wird das Netzwerk-Paket modifiziert und dem Request Header die neue Domäne hinzugefügt, sobald sich der Schädling mit dem Server verbunden hat und kurz bevor die Daten gesendet werden. Dieses Verhalten haben die Forscher auch im Zusammenhang mit dem StealRat Botnet beobachtet, das neue Wege beim Spamming geht.

Die Schadsoftware TROJ_RODECAP.SM kann dies auch durchführen. Die Abbildung zeigt den GET-Befehl zum Link http://www.google.com/d/conh11.jpg und auch den Header der heruntergeladenen Datei.

Der Netzwerkverkehr zeigt, dass die Antwort von der Domäne {BLOCKED}.104.93 stammt, die in Russland registriert ist und keine Verbindung zu Google hat. Deshalb ist es möglich, dass Administratoren den Verkehr als harmlos einstufen, denn der angeblich angeforderte Link ist eine legitime Domäne und führt lediglich zu einer Bilddatei. Damit liefert diese Spoofing-Technik eine gute Möglichkeit, die Kommunikation zwischen dem Schädling und dem Remote-Server zu verbergen, sodass kein Verdacht geweckt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*