SIMDA: Ausschalten eines Botnets

Originalartikel von Trend Micro

Die Zusammenarbeit von Trend Micro, INTERPOL und anderen privaten Organisationen hat der Sicherheitsindustrie einen weiteren Erfolg beschert – die Zerschlagung des SIMDA Botnets. Trend Micro trug zur Beendigung der Botnet-Aktivitäten Informationen bei, wie die IP-Adressen der beteiligten Server und statistische Informationen zur genutzten Schadsoftware.

SIMDA, die Schadsoftware hinter dem Botnet

Das Botnet baute bei seinem Vorgehen auf den Hintertürschädling SIMDA. Eine der bemerkenswerten Funktionalitäten des Schädlings besteht darin, dass er HOSTS-Dateien modifiziert und damit Nutzer auf bösartige Sites umleitet, wenn diese versuchen auf legale Sites zuzugreifen. Die Recherche der Bedrohungsforscher ergab, dass die Malware beliebte Sites anvisierte, so etwa Facebook, Bing, Yahoo und Google Analytics, und auch deren regionale Pendants, z.B. Yahoo Singapore, Bing Germany etc. Auf diese Weise wollten die Hintermänner möglichst viele Nutzer auf globaler Ebene treffen. Folgendermaßen sieht ein Sample-Screenshot einer modifizierten HOSTS-Datei aus:


Bild 1. Modifizierte HOSTS-Datei

Die Analysen zeigten auf, dass die Schadsoftware Informationen über das betroffene System sammelt. Zudem prüft sie das Vorhandensein von bestimmten Prozessen, einschließlich solcher, die für Malware-Analyse genutzt werden. Letzteres dient als Schutz vor einer Entdeckung.

Auch ergab die Recherche, dass die Botnet-Aktivitäten weltweit vorhanden waren. Die Umleitungsserver befanden sich in 14 Ländern, wie die Niederlande, Deutschland, Kanada, Russland und USA. Auch die Opfer waren dementsprechend weit gestreut. Die Daten aus dem Trend Micro™ Smart Protection Network™ listen mindestens 62 betroffene Länder auf, wie die USA, Australien, Japan, Deutschland und Italien. Die Grafik zeigt die Umleitungsserver in mehreren Ländern:

Bild 2. Umleitungs-IPs (Zum Vergrößern darauf klicken)

Botnets in der Bedrohungslandschaft

Botnets haben enge Beziehungen innerhalb der Bedrohungslandschaft. Für die meisten Cyberkriminellen ist das Erzeugen eines Botnets die Vorstufe zu anderen bösartigen Aktivitäten. Botnets können dazu verwendet werden, um Spam zu senden, Distributed Denial-of-Service (DDoS)-Angriffe auszuführen, Click-Betrug einzusetzen oder gezielte Domänen anzugreifen.

Um diese Angriffe zu lancieren, müssen die Cyberkriminellen permanent mit all ihren infizierten Computern (ihre Anzahl kann in die Tausende gehen) kommunizieren. Hier kommen die Command-and-Control (C&C)-Server ins Spiel. Mithilfe einer C&C-Infrastruktur können sie eine dedizierte Verbindung mit dem Netzwerk ihrer Opfer erhalten. Die globale Botnet-Karte von Trend Micro zeigt die Verbindung zwischen Bots und C&C-Servern und hebt den Standort der Server und ihrer infizierten Opfercomputer hervor.

Botnets schaden Nutzern in zweierlei Hinsicht: Sie setzen Bedrohungen auf den Systemen der Nutzer ab und machen sie zu ungewollten Komplizen ihrer bösartigen Aktivitäten. Als Teil eines Botnets hat der Anwender keine Kontrolle mehr über seinen Computer und der Botmaster kann bestimmen, was der infizierte Computer tun soll.

Vorgehen gegen Botnets

Cyberkriminelle nutzen verschiedene Tricks, um weitere Opfer ihren Botnets hinzuzufügen. Beispielsweise nützen sie Peer-to-Peer (P2P)-Netzwerke für die Verteilung der verschleierten Schadsoftware. Spam-Nachrichten sind ein weiteres Mittel für das Kapern von Computern.

Deshalb müssen Nutzer vorsichtig sein, wenn sie E-Mails oder Anhänge öffnen wollen. Dies sollte niemals geschehen, wenn die Absender nicht bekannt sind oder nicht verifiziert werden können. P2P-Netzwerke sind an sich nicht bösartig, doch sollte sich ein Nutzer darüber bewusst sein, dass es sich um Sites handelt, auf denen die Wahrscheinlichkeit, auf Schadsoftware zu treffen, größer ist. Es empfiehlt sich auch der Einsatz einer Sicherheitslösung, die über die einfache Malware-Entdeckung hinausgeht. Wichtig sind darüber hinaus Fähigkeiten wie Spam-Entdeckung und URL-Blockierung.

Es kann auch passieren, dass die während der Angriffs modifizierten HOSTS-Dateien dableiben, auch nachdem SIMDA entdeckt und vom Computer entfernt wurde. Diese verbliebenen Dateien wiederum können zu weiteren Infektionen führen. Deshalb sollten Nutzer per Hand nach HOSTS-Dateien suchen und jeden verdächtigen Record aus den Dateien entfernen.

Trend Micro schützt Anwender vor dem SIMDA-Botnet, denn die Lösungen erkennen Schadsoftwarevarianten wie BKDR_SIMDA.SMEP und BKDR_SIMDA.SMEP2 und andere. TROJ_HOSIMDA.SM ist die Bezeichnung, die Trend Micro den modifizierten HOSTS-Dateien gegeben hat. Alle damit in Verbindung stehenden URLs wurden geblockt. Anwender, die keine Trend Micro-Lösung im Einsatz haben, können Trend Micro Housecall zum Scannen nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*