Schlagwort-Archive: Bot-Netz

Handlungsanleitung: Bin ich ein Opfer der Operation Ghost Click?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: flattop341 Flickr

Das FBI hat in Zusammenarbeit mit Trend Micro und anderen Industriepartnern in dem „größten Einsatz aller Zeiten gegen Cyberkriminelle“ ein Botnet zerschlagen, das in mehr als 100 Ländern mit einer Infrastruktur von über 100 Servern aktiv war und mehr als vier Millionen Opfer involvierte. Sechs Kriminelle sind in einer international koordinierten Aktion der Polizei verhaftet worden.

Das FBI hat inzwischen ein Online-Tool zur Verfügung gestellt, mit dem besorgte IT-Anwender prüfen können, ob die Einstellungen ihres DNS-Servers manipuliert wurden.

Als erstes müssen die Nutzer ihre aktuellen DNS-Server-Einstellungen herausfinden: Auf einem PC öffnet man dazu das Start-Menü mit einem Klick auf den Start-Button oder auf das Windows Icon unten links auf dem Bildschirm. In der Box „… durchsuchen“ lässt man nach „cmd“ suchen. Daraufhin öffnet sich ein schwarzes Fenster mit weißer Schrift. Hier wird „ipconfig/all“ angegeben. Der Eintrag „DNS Server“ enthält die gesuchten numerischen Adressen.

Auf einem Mac klickt der Anwender auf den Apple Icon oben links und wählt „System Preferences“ und dort „Network“ aus. Aus dem sich öffnenden Fenster wählt man dann die aktuell aktive Netzwerkverbindung aus der linken Spalte und rechts den DNS Tab. Hier finden sich die Adressen der DNS-Server, die der Computer nutzt.

Danach kann der Anwender prüfen, ob die notierten Adressen mit Servern übereinstimmen, die die Kriminellen in ihrer Operation Ghost Click genutzt haben. Dafür gibt es das Online-Tool des FBI. Der Nutzer muss lediglich die IP-Adressen eingeben und den Button „check ip“ anklicken.

Diejenigen, die eine Infektion ihres Computers befürchten, können mit Trend Micros kostenlosem Tool HouseCall das System scannen und säubern. Danach sollten sie das FBI über dieses Formular benachrichtigen und auch ihren Internet Service Provider davon in Kenntnis setzen, damit dieser die legitimen DNS-Einstellungen wieder herstellen kann.

Besuchen Sie unser kostenfreies Webinar zu „Operation Ghost Click“
 

Sieben Jahre mobile Schädlinge

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA

Schon 2004 gab es den ersten Schädling für Smartphones. Der Wurm Cabir war auf die Infektion von Symbian-Geräten zugeschnitten und verbreitete sich über Bluetooth (als .sis-Paket). Dieser Vorreiter vieler späterer Varianten sollte ursprünglich als Proof-of-Concept dienen, doch schnell griffen Kriminelle die Malware für ihre hinterhältigen Zwecke auf, und noch vor Jahresende waren neue, mächtigere Varianten im Einsatz.

Im selben Jahr noch entwickelten die „Bad Guys“ die Mittel, um mit bösartigem mobilen Code Geld zu verdienen: Der Trojaner Qdial, als Kopie des Spiels Mosquitos versteckt, verschickte SMS an Mehrwertdienste, so genannte Premium Rate Services, für die der Besitzer des Geräts zahlen musste. Es handelte sich dabei um Rufnummern aus Großbritannien, Deutschland, Niederlande und aus der Schweiz. Dieses „Geschäftsmodell“ entwickelte sich mit der Zeit auch auf den neueren Plattformen zur wichtigsten und einträglichsten Geldquelle für die Kriminellen.

Eine zweite mobile Schadsoftware tauchte ebenfalls noch 2004 auf: Skulls überschreibt Anwendungsdateien auf Mobilgeräten und ersetzt deren Icons durch eine Piratenflagge. Der Schädling zielte auf Nokia 7160 und auch weitere Symbian-Geräte. Er verbreitete sich über E-Mail oder Peer-to-Peer-File Sharing unter der harmlosen Bezeichnung eines “Extended Theme Manager”. Eine zweite Skulls-Variante beinhaltete auch den Cabir-Wurm für eine bessere Verbreitung. Diese Abart änderte den Icon in ein Puzzle-Spiel. Es war der Anfang eines Trends, wobei Cabir zur Verbreitung diente.

2005 entwickelte sich die mobile Schadsoftware bereits in Richtung Informationsdiebstahl, wenn auch noch nicht auf dem professionellen Niveau heutiger Malware. Pbstealer beruhte auf Cabir-Quellcode und kopierte alle Informationen aus dem Adressbuch eines infizierten Geräts und versuchte sie an jedwedes über Bluetooth verfügbare Gerät in der Nähe zu übertragen. Eine weitere Neuentwicklung in dem Jahr war ein Schädling namens Commwarrior, der sich über MMS-Nachrichten verbreitete statt der weniger effektiven Bluetooth-Technik.

Neben der auf Symbian ausgerichteten Malware gab es schon damals auch Windows CE-Angriffe, doch waren sie seltener, da das mobile Microsoft-Betriebssystem weniger verbreitet war als Symbian.

Ein weiterer für Kriminelle lohnender Bereich war die Entwicklung von Schadsoftware für J2ME (Java 2 Micro Edition). Diese Plattform half den Bad Guys bei der Lösung der Probleme mit unterschiedlichen Plattformen: Jedes Gerät, das eine Java Virtual Machine enthielt war nun für die Bösen von Interesse, sodass sich ihr Betätigungsfeld bedeutend erweitern ließ.

2009 bestand ein Großteil der mobilen Malware aus SMS-Trojanern, die für J2ME entwickelt worden waren. SMS-Betrug gibt es in vielen Formen, so etwa das Versenden von Nachrichten an Mehrwertdienste oder als Nachrichten an einen Empfänger mit der Aufforderung, eine bestimmte Nummer anzurufen, um eine nicht vorhandene Transaktion zu bestätigen.

Quelle: flickr

Schon ein Jahr später hatte sich die Angriffslandschaft infolge von zwei neuen Betriebssystemen (Android, iOS) radikal verändert. Der erste Trojaner für Android (ANDROIDOS_DROIDSMS.A) wurde im August 2010 gesichtet. Es war eine russische SMS-Betrugs-App, die Nachrichten an Mehrwertdienste schickte. Die neuen Fähigkeiten der modernen Smartphones bieten natürlich auch den Kriminellen mehr Chancen. Noch im selben Monat wurde ein weiterer Trojaner entdeckt, der sich als das Tap Snake-Spiel tarnte und GPS-Daten des infizierten Geräts over http versendete, die dann von einem weiteren Gerät mit einer GPS Spionage-App abgefangen werden konnten.

Gleichzeitig tauchte die erste Schadsoftware für iOS-Geräte auf. Der Ikee-Wurm konnte nur in Jailbroken-Apple-Geräte eindringen und nutzte ein Default SSH-Kennwort, um sich auf weiteren Jailbroken-Geräten auszubreiten. Der Wurm wurde bald auch mit rudimentären Botnet-Fähigkeiten ausgestattet. Bis heute wurde keine iOS-Malware im offiziellen App Store entdeckt und auch keine, die Geräte ohne Jailbreak infizieren kann.

Im Gegensatz zu dem Apple App Store ist das Android-Konzept offen auch für Drittanbieter und damit auch einem höheren Missbrauch ausgeliefert. Google bietet allerdings die Möglichkeit, über „Remote Kill“ eine bösartige App bei Missbrauch zu löschen. Im März dieses Jahres entdeckten die Sicherheitsfachleute die bislang größte Sammlung von Trojaner umfassenden Apps für Android, unter anderem solche, die Root-Zugang zum Gerät erlangen können, um neben persönlichen auch Informationen wie IMEI und IMSI über das Gerät abzugreifen.

2011 ist das Jahr der Reife der mobilen Schadsoftware, doch Kriminelle suchen immer noch weitere Möglichkeiten, die reichhaltige Funktionalität der Smartphones besser für ihre Zwecke auszunützen. Bemerkenswert ist auch die steigende Komplexität der Bedrohungen. So umfasst der ZeuS-Bankschädling auch mobile Elemente, um Bankauthentifizierungsdaten, die über SMS verschickt werden, abzufangen.

Weitere Einzelheiten finden sich im Whitepaper „A Brief History of Mobile Malware“.

Gezielter Hackerangriff auf japanische und US-amerikanische Rüstungsunternehmen

Originalartikel von Nart Villeneuve, Senior Threat Researcher

 

Trend Micro hat eine Reihe von gezielten Angriffen auf Rüstungsunternehmen in Japan, Israel, Indien und den USA aufgedeckt. Dieses kriminelle Netzwerk ist bereits seit Juli aktiv und hat insgesamt 32 Computer mehrfach infiziert. Die Sicherheitsforscher konnten jetzt acht Opfer identifizieren, die davon in Kenntnis gesetzt werden. Die Analyse des mehrstufigen Angriffs auf eines der Unternehmen zeigt, dass der gekaperte Computer über einen C&C-Server (Command-and-Control) gesteuert wird und gleichzeitig mithilfe eines Remote-Access-Trojaners (RAT), der speziell für dieses Unternehmen gebaut wurde, auch direkt manipuliert wird.

Die Angreifer versendeten E-Mails mit einem verseuchten PDF-Anhang (TROJ_PIDIEF.EED), der eine Schwachstelle in bestimmten Versionen von Adobe Flash und Reader ausnutzt, um seine bösartige Ladung auf dem Zielcomputer abzulegen. Diese Malware (BKDR_ZAPCHAST.QZ) nimmt dann Verbindung mit einem C&C-Server auf und wartet auf weitere Befehle.

In einer zweiten Stufe des Angriffs erhält der infizierte Computer den Befehl, Netzwerkinformationen und Dateinamen aus bestimmten Verzeichnissen an den C&C-Server zurückzugeben. Bestimmte Zielcomputer sollten auch veränderte DLLs (von Trend Micro als BKDR_HUPIG.B identifiziert) herunterladen, die eine spezifische Funktionalität für die kompromittierten Systeme enthalten.

Damit konnten die Angreifer ins Netzwerk eindringen. Um sich im Netz frei bewegen zu können, brachten sie den infizierten Computer zum Herunterladen von verschiedenen Werkzeugen, einschließlich solchen mit “Pass-the-Hash“-Technik  zum Knacken von Kennwörtern. Danach erhielt der Computer den Befehl, einen RAT-Schädling (BKDR_HUPIGON.ZXS und BKDR_HUPIGON.ZUY) herunter zu laden, mit dessen Hilfe die Angreifer die Echtzeitkontrolle über das System übernehmen können.

Der RAT, MFC-Hunter genannt, besteht aus drei Komponenten:

  • Server – wird auf dem Opfersystem installiert und verbindet sich mit dem “Hub”,
  • Hub – wird auf einem anderen System installiert und dient als Proxy-Verbindung zwischen Opfer und Angreifer,
  • MFC – der RAT-Client, den die Angreifer für die Kontrolle über den Computer des Opfers nutzen.


Infolge dieses Angriffsaufbaus können die Kriminellen zwei separate Kontrollmethoden einsetzen. Die erste ermöglicht es, Befehle aufzusetzen, die bei Verbindung des gekaperten Computers mit dem C&C-Server ausgeführt werden. Die zweite führt zur Echtzeitkontrolle über die infizierten Systeme.

Zwar haben die Kriminellen eine relative kleine Anzahl von Opfern angegriffen, doch fällt die Fokussierung auf Rüstungsunternehmen auf. Hinzu kommt, dass bestimmte Malware-Komponenten speziell auf ein Unternehmen ausgerichtet sind, und das zeigt, wie zielgerichtet die Angreifer sind.

 

 

Die SpyEye Schnittstelle CN 1, Teil 1

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

SpyEye ist eine Schädlingsfamilie, die Online-Zugangsdaten für Bankkonten stiehlt. Die Malware ist auch als ZeuS-Killer bekannt, denn sie verhindert, dass ihr Konkurrent ZeuS auf den betroffenen Systemen abläuft, denn die Malware will selbst das System übernehmen. Wir berichteten bereits im Februar „Ein neues Botnet betritt die Bühne“ darüber.

Weniger bekannt sind Einzelheiten zu der Schnittstelle, welche die Kriminellen nutzen. Sie besteht aus zwei Komponenten: Zum einen ist da die Frontend-Schnittstelle CN 1 oder “Main Access Panel”. Von hier aus kann der Bot Master mit den Bots interagieren. Sie zeigt Statistiken bezüglich der infizierten Maschinen.

Die zweite Komponente, SYN 1 oder “Formgrabber Access Panel” fungiert eher als Backend und sammelt und loggt Daten. Darüber hinaus erlaubt sie dem Bot Master, Abfragen zu den gesammelten Daten zu stellen und die gestohlenen Informationen über die Schnittstelle anzusehen.

Dieser erste Teil beschäftigt sich mit der ersten Komponente.

Der Screenshot zeigt das “Hack the Planet!”-Logo, das anzeigt, wie viele Bots gerade online sind und aus wie vielen Teilen das Botnet derzeit besteht: Es sind im Bild 2.392 Bots online zu sehen, insgesamt sind es etwas mehr als 18.000. Auf der linken Seite wird außerdem das Datum sowie Uhrzeit des Servers angezeigt.

Der erste Button oben links, “Create task for billing”, erlaubt zusammen mit dem so genannten Billinghammer-Plug-in die Kreditkarten, die von bestimmten Sites gesammelt wurden, zu belasten. Auf diese Weise kann ein Bot Master direkten finanziellen Nutzen aus den gestohlenen Daten ziehen, ohne ein zu hohes Risiko etwa durch den möglichen Einkauf bei Amazon einzugehen.

Über den Bots Monitoring Button wiederum lässt sich checken, wie viele Bots in jedem Land infiziert wurden. Zudem enthält die Liste Details wie Anzahl der Bots mit einer bestimmten Version von SpyEye oder Anzahl der täglich hinzu gekommenen Bots. Obiger Screenshot zeigt, dass aufgrund eines Fehlers beim Update der geografischen IP-Informationen keine Länder aufgelistet werden. Der Master hinter diesem Bot kann durchschnittlich etwa 1.500 Nutzer täglich infizieren und zu dem eigenen Botnetz hinzufügen.

Dieser Screenshot zeigt das Ergebnis des Full Statistics Button. Die meisten infizierten Maschinen laufen unter Windows XP, aber auch Windows 7 ist dabei. Etwa 80 Prozent der infizierten Nutzer sind mit Administratorenrechten angemeldet.

Der Create Task for Loader Button dient dazu, das Bot anzuweisen, Kontakt zu einer bestimmten Site aufzunehmen, um Clicks für mögliche Einnahmen durch Werbung zu generieren oder weitere Schädlinge herunter zu laden.

Der Update Bot Button spricht für sich selbst. Er wird dazu verwendet, um die Konfigurationsdateien und aktualisierte SpyEye-Binaries für die Bots hochzuladen.

Der Virtest Button schließlich ist einzigartig. Es handelt sich dabei um eine Website in Osteuropa, die es angemeldeten Nutzern ermöglicht, Binärdateien zu scannen und Exploit-Pakete darauf zu testen, ob Antivirus-Engines sie entdecken. Es ist ein bezahlter Service, für den Nutzer pro Scan zahlen. Sobald ein Nutzer seine aktualisierte Binärdatei hochlädt, erscheint der link zu Virtest.

Mit dem Settings Button lassen sich die meisten Einstellungen für alles, was im CN 1 Kontroll-Panel läuft, anzeigen. Unten auf der Seite gibt es einen Bereich für das Virtest-Login. Auch sind Bereiche für FTP-Backconnect und Socks 5 Backconnect vorhanden. Diese erlauben es dem Bot Master Rückverbindungen zum Bot aufzusetzen und verschiedene Aufgaben auszuführen.

Neues P2P Trojaner-Botnet entdeckt

Originalartikel von Oscar Abendan (Technical Communications bei Trend Micro)

Laut verschiedenen Berichten gibt es seit Kurzem ein neues Botnetz, das über TROJ_DLOADE.ATJ mehrere Systeme infiziert hat. Der Trojaner ist darauf ausgerichtet, weitere Malware herunter zu laden und zu installieren, besitzt jedoch anscheinend keine Distributed Denial-of-Service (DDoS) Fähigkeiten.

Nutzer sind dann gefährdet, diesen Schadcode herunterzuladen, wenn sie Sites unter der Domäne {BLOCKED}m.com or {BLOCKED}n.net besuchen. Der Trojaner lädt unter Umständen auch weitere Malware von besagter Domäne. Sobald er sich installiert hat, versucht er den Command-and-Control Server über den TCP Port 8090 zu kontaktieren, um sich dort anzumelden und auf Befehle zu warten. Er kann auch mit anderen Bots über eine Art von Peer-to-Peer (P2P) Verbindung über die Ports 7000 – 7010 kommunizieren, sowie Verbindung zu bestimmten bösartigen Sites aufnehmen, die derzeit nicht erreichbar sind.

Botnetze haben sich zur dauerhaftesten und gefährlichsten Bedrohung im Internet entwickelt, denn sie können großen Schaden anrichten, wie etwa Informationen stehlen und Malware-Infektionen auslösen, wie auch das Whitepaper “Botnet: Perpetrators of Crimeware” zeigt. Das Papier beschreibt die Entwicklung von Botnetzen sowie ihre Auswirkung auf die aktuelle Bedrohungslandschaft.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service.

Aktualisierung vom 16.04.:

TROJ_DLOADE.ATJ wurde nun von Trend Micro als BKDR_HELOAG.SM identifiziert. Der Schadcode erhält bestimmte IP-Adressen und Befehel von einem Host-Bot.