SYSCON Backdoor nutzt FTP als C&C-Kanal

Originalbeitrag von Jaromir Horejsi, Threat Researcher

Üblicherweise stellen Bots die Kommunikationsleitung mit ihren Command-and-Control (C&C)-Servern über HTTP- oder andere TCP/IP-Verbindungen her. Doch nun fanden die Sicherheitsforscher von Trend Micro ein Botnet, das eine ungewöhnliche Methode wählt – einen FTP-Server, der als C&C-Server agiert.

Der Vorteil dieser Wahl liegt darin, dass sie vom Üblichen abweicht, sodass die Wahrscheinlichkeit, dass Admins oder Forscher sie entdeckt, geringer ist. Doch öffnet die Methode den C&C-Verkehr auch für Monitoring durch andere, einschließlich Sicherheitsforscher. Außerdem führt dieser spezielle Backdoor aufgrund eines Programmierfehlers der Angreifer nicht immer die richtigen Befehle aus.

Die Infektionskette

Die Infektionskette startet mit einem bösartigen Dokument mit Makros. Sie erwecken den Anschein, dass die Ziele Verbindung zum Roten Kreuz und zur World Health Organization haben. Auch erwähnen alle Nordkorea. Die Auslieferungsdokumente wurden als W2KM_SYSCON.A identifiziert.

Bild 1. Auslieferungsdokument mit Makros

Die Technik ist dieselbe wie bei der Sanny Malware-Familie Ende 2012. Technische Einzelheiten liefert der Originalbeitrag.

Fazit

Diese atypische Methode der C&C-Kommunikation über FTP ist interessant, auch wenn die Autoren wahrscheinlich nicht damit gerechnet hatten, dass ihre Aktionen und Daten der Opfer so einfach zu überwachen sind.

IT-Administratoren sollten sich dessen bewusst sein, dass Verbindungen zu externen FTP-Servern nicht nur Datenextraktion bedeuten kann, sondern auch C&C-Aktivitäten. Ist diese Art der Netzwerkaktivität nicht unbedingt erforderlich für Geschäftsfunktionen, so sollten sie geblockt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*