Neue Pushdo-Varianten fordern Antimalware-Lösungen heraus

Originalartikel von Spencer Hsieh, Threat Researcher

Die Command-and-Control (C&C) Serverkommunikation ist für Botnet-Betreiber bei der Kontrolle von Zombie-Computer sehr wichtig. Deshalb nutzen sie häufig Rootkits und andere Tricks, um sie vor den Sicherheitsspezialisten zu verstecken – eine schwierige Aufgabe, vor allem wenn es um den Netzwerkverkehr geht, der von außerhalb eines infizierten Computers überwacht wird. Doch im Laufe der Jahre haben die Bösen ihre diesbezüglichen Techniken verbessert.
Eine Möglichkeit, Nutzer vor der Gefahr der Botnets zu schützen, besteht darin, die C&C-Kommunikation zu erkennen und zu blockieren. Da dies auch die „Gegner“ wissen, haben sie verschiedene Wege entwickelt, die C&C-Kommunikation gegen Netzwerksicherheitsprodukte zu immunisieren. Ein Beispiel dafür stellt die neueste Welle der Pushdo-Varianten dar, die ihre C&C-Verkehrskanäle verbergen. Das berüchtigte Spamming-Botnetz Pushdo/Cutwail (auch bekannt für die Verteilung von ZeuS/ZBOT-Varianten) wurde bereits ein paarmal vom Netz genommen.

Pushdo versteckt sich im Verkehrsaufkommen

Die beste Möglichkeit, sich nicht erwischen zu lassen, besteht darin, die eigene Kommunikation in den normalen Verkehr zu mischen und möglichst unauffällig zu agieren. Diese Strategie haben die Pushdo-Autoren für die neuesten Varianten ihrer Schadsoftware gewählt.

Bild 1 zeigt, dass diese Varianten zahlreiche http-Anfragen absetzen, unter die sie auch die an den tatsächlichen C&C-Server mischen.


Bild 1. Auszüge aus dem PUSHDO Netzwerkverkehr

Die von Trend Micro analysierten Schädlingsmuster enthalten eine verschlüsselte Liste von 200 Domänen (Bild 2). Die Malware wählt zufällige 20 daraus aus und fragt entweder den Root-Pfad oder den Pfad von “?ptrxcz_[random]” ab. Einige dieser Domänen gehören großen Unternehmen oder renommierten Bidlungseinrichtungen, andere wiederum sind unbekannte Websites. Damit wird die Identifizierung des C&C-Servers über die Analyse des Netzwerkverkehrs schwieriger, denn die Unterscheidung der tatsächlichen C&C-Verbindungen von den vorgetäuschten ist harte Arbeit.


Bild 2. Entschlüsselte Liste der 200 Domänen

Ein Nebenprodukt der vorgetäuschten C&C-Verbindungen sind mögliche Distributed Denial-of-Service (DDoS)-Angriffe, die die Malware gegen die 200 Webserver auf der Liste fahren könnte. Dies ist zwar nicht die tatsächliche Absicht, aber die hohe Anzahl unnützer Anfragen frisst eine Menge Bandbreite dieser Websites.

Sandbox-Analysen sind ein sehr beliebtes Werkzeug für Malware-Untersuchungen. Viele Unternehmen haben irgendeine Art von Sandbox-System aufgesetzt, um unbekannte Schadsoftware zu erkennen und zu blockieren. Diese C&C-Fähigkeit des Täuschens stellt auch diese Systeme vor neue Herausforderungen. Bevor ein Server in die C&C-Blacklist eingetragen wird, muss ein System die Whitelist prüfen. Ist diese nicht richtig aufgesetzt, so kann sie False Positives enthalten, und damit werden legitime Websites für Nutzer unzugänglich.

Pushdo DGA macht die Dinge noch komplizierter

Des Weiteren beinhaltet Pushdo einen Algorithmus zur Generierung von Domänen (Domain Generation Algorithm, DGA). Diese Fähigkeit ist bei heutiger Botnet-Malware sehr beliebt, denn sie trägt dazu bei, dass die Schadsoftware gegen C&C-Takedowns resistent wird.

Pushdo nutzt Kalendertage als Grundlage für den DGA und generiert 30 Domänen für jeden Tag. Der Schädling versucht sich nicht nur mit Domänen für einen bestimmten Tag zu verbinden, sondern auch mit allen Domänen, die 30 Tage früher und 15 Tage später erzeugt wurden. Das bedeutet, dass die Malware jeden Tag Versuche startet, Verbindung zu 1380 Domänen aufzunehmen. Anscheinend sind die meisten davon derzeit geparkt und zeigen auf eine Werbeseite (Bild 3):



Bild 3. Screenshot einer von Pushdo generierten Domäne

Die DGA-Fähigkeit ist eine Herausforderung für die Verhaltens- und Sandox-Analyse. Der Einsatz von Sandbox-Analysen ohne Reverse Engineering der Malware, um den DGA zu finden, reicht meist nicht aus, um C&C-Kommunikation zu blockieren, da die Schadsoftware jeden Tag neue Domänen generiert.

Während der Analyse überwachten die Sicherheitsforscher die C&C-Server von Pushdo via Web Reputation Services Feedback. Bild 4 zeigt, dass es Verbindungsversuche zu einem der C&C-Server gab. Die Query-Anfragen kamen von unterschiedlichen Standorten, was darauf schließen lässt, dass es weitere Computer gibt, die mit diesem Schädling infiziert sind.


Bild 4. Anfragen an Trend Micro Web Reputation Service

Die herkömmlichen Abwehrmethoden gegen diese Malware, wie das Erkennen der Dateisignatur, reichen nicht mehr aus, um gegen die effektiven Taktiken der Kriminellen wie Polymorphismus und die Nutzung von Packers anzukommen.

Die Überwachung des Verhaltens einer Malware innerhalb einer Sandbox ist ein guter Ansatz, doch keine alleinige Lösung. Sie muss mit tiefgehenden Analysen und Tools wie Web Reputation Services kombiniert werden, um einen stabilen Schutz vor diesen neuen Gefahren zu liefern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*