Botnetz-Melken: Malware frisch von der Quelle serviert

Neue Malware zu erhalten, ist für das Feintuning von Erkennungssystemen unabdingbar. Da uns Nutzer und Drittanbieter so viel Malware melden, kann es sich beim Suchen nach neuester Malware um die sprichwörtliche Nadel im Heuhaufen handeln. Avira Forscher haben ein automatisiertes Botnetz-Tracking-System entwickelt, bei dem Alibi-Clients genutzt werden, um Kommunikation und Malware direkt von Command & Control (C&C)-Servern der Botnetze zu erhalten. Avira „melkt“ die Bots automatisch und kommt damit an die Crème de la Crème: eine Auswahl von fast 100 % reiner und frischer Malware.

Alles beginnt mit dem regulären Vorgang zur Malware-Abwehr: Cyberkriminelle versuchen, Avira Nutzer zu infizieren; die Malware wird automatisch in unsere Cloud hochgeladen, bevor sie ausgeführt wird. Anschließend durchlaufen die Dateien eine einfache Blacklist, Cloud-geschützte allgemeine Erkennungsregeln und ein ständig verbessertes System mit künstlicher Intelligenz. Richtig interessant wird das Ganze, wenn einige Daten dann in das Botnetz-Tracking-System gelangen.

1. MALWARE AUFFINDEN

Los geht es mit „Autodump“ – Aviras automatisiertem System, das Tricks und Obfuskatoren Schicht für Schicht entfernt. Im Prinzip führt es die Malware in einer speziell gesteuerten virtuellen Maschine aus. So kann sich die Malware selbst entpacken, und bei bestimmten Ereignissen werden Memory-Dumps erstellt. Dabei halten wir Informationen über unser Analysesystem vor Cyberkriminellen geheim, damit diese unsere Rechner nicht identifizieren und keine neuen, evasiven Techniken entwickeln können. Zuletzt prüfen wir alle Dumps mit Yara-Signaturen, um interessante Dumps und die Malware-Familie zu identifizieren.

2. BOTNETZ-DETAILS EXTRAHIEREN

Gut gerüstet mit möglicherweise nützlichen Daten vom Autodump, durchlaufen die Beispiele dann den Extractor, der operationelle Details liefert. Wir haben spezielle Botnetz-Familien im Visier und suchen insbesondere Informationen über die Kommunikation mit ihren Malware-Servern. Dies ist eine unvollständige Liste von Dingen, nach denen wir suchen. Die Einzelheiten hängen stark vom Botnetz ab:

  • C&C-URLs
  • Schlüssel zur Kommunikationsverschlüsselung
  • Protokoll-Version
  • Kampagnen-ID
  • User-Agent-String
  • Größe der Konfigurationsdaten

Früher war es recht einfach, C&C-Daten zu extrahieren. Im Laufe der Zeit ist es komplizierter geworden, und der Extractor muss mittlerweile manuell angepasst werden. Das Positive daran: Wir erhalten nun eine vollständige Liste von C&C-Server-URLs und die Verschlüsselungsschlüssel.

botnet_02

3. BOTCHECKER-AGENTS AUF POSITION BRINGEN

Botchecker ist unser Baukastensystem zur Infiltration von Botnetzen, mit dem die C&C-Server dieser Botnetze überwacht werden. Dazu gehört ein Netzwerk von Software-Clients und einem zentralen Server, der die Malware Intelligence sammelt, eine Liste von C&Cs an unsere Client Agents verteilt und die zurückgesendeten Daten sammelt.

Wir legen den Schwerpunkt auf aktive Überwachung, bei der Clients wie infizierte Rechner handeln und sich – genau wie echte infizierte Rechner – mit C&C-Servern verbinden und Anfragen so stellen, wie es der C&C erwartet. Zu guter Letzt senden unsere Clients die gesammelten Informationen mit den neu heruntergeladenen Malware-Beispielen an den Botchecker-Server. Dieser steht unseren Nutzern dann für Sicherheits-Updates zur Verfügung. Zu diesen Daten gehören:

  • frische Malware-Beispiele
  • neue C&C-Server
  • Download-URLs
  • E-Mails, die für Spam genutzt werden sollen, Webinjects und ATS-Skripte
  • Liste erhaltener Befehle

Natürlich beobachten unsere Monitoring-Agents nur und führen keine schädlichen Aktionen durch, wenn das vom Bot-Master befohlen wird.

4. VOR ALLER AUGEN VERSTECKT

Um unsere Identität zu schützen, nutzen wir ein modulares Framework, wenn wir mit Botnetz-Protokollen arbeiten. Wenn Cyberkriminelle wissen, dass ein AV-Unternehmen das Botnetz überwacht, können sie dieses auf Blacklists setzten, das Protokoll ändern oder zu einem anderen C&C wechseln. Für Anfragen an den C&C können wir einen SOCKS-Proxy oder Tor als Gateway nutzen. Die Nachteile von Tor sind allerdings die Geschwindigkeit, die Probleme dabei, schnell eine neue IP zu erhalten, sowie die Möglichkeit, dass Cyberkriminelle alle Tor-Exit-Knoten zur Blacklist hinzufügen. Wenn wir mit einem HTTP-Botnetz kommunizieren, senden wir Anfragen genau so, wie es das Botnetz erwartet, und vermeiden dabei Header- und Value-Artefakte.

5. DEM GAMARUE-PAYLOAD AUF DIE SPUR KOMMEN

Das Gamarue/Andromeda-Botnetz ist ein gutes Beispiel dafür, welche Vorteile unser Netzwerk von gefälschten Botnetz-Clients hat. Obwohl es aufwendig ist, für die Analyse an eine PE-Datei des echten Payloads zu gelangen, ist der Bot weit verbreitet und stellt viele interessante Downloads zur Verfügung.

Andromeda nutzt seit Ende 2014 ein JSON-Protokoll, um mit den C&Cs zu kommunizieren. Nachdem die Antwort des C&Cs entschlüsselt ist, enthält das JSON-Objekt eine Befehlsliste für den Betroffenen. Diese kann Folgendes beinhalten:

  • ID 1: Datei auf die Festplatte herunterladen und mit CreateProcess ausführen.
  • ID 2: Datei auf die Festplatte und in die Registry herunterladen, mit LoadLibrary laden und die exportierte Funktion „aStart“ aufrufen.
  • ID 3: Datei herunterladen und sich selbst aktualisieren.
  • ID 6: Alle Plug-Ins aus der Registry löschen.
  • ID 9: Sich selbst deinstallieren.

Besonders interessant sind für uns die ersten drei Befehle, da sie uns neue Download-URLs, Malware-Beispiele und neuartige Gamarue-Beispiele mit neuen C&Cs liefern.

Kommunikationsmethode für Gamarue
Kommunikationsmethode für Gamarue

6. AVIRA BOTCHECKER-AGENTS ERZIELEN ERGEBNISSE

In den neun Monaten, in denen diese Version des Botchecker-Frameworks läuft, haben wir über 4.000 C&C-Server identifiziert und über 4.000 schädliche URLs bestätigt. Allein im Gamarue-Botnetz haben wir über 125 verschiedene Malware-Familien identifiziert. Obwohl die Erhaltung dieses Systems mehr Arbeit erfordert als die eines reinen Sandbox-Systems und gleichzeitig auf bestimmte Botnetz-Familien begrenzt ist, hat es zahlreiche Vorteile:

  • Wir können eine gesamte Liste der C&Cs extrahieren – auch dann, wenn sie bei Ausführung der Malware nicht erkenntlich sind.
  • Wir verstehen die Kommunikationsprotokolle sehr genau.
  • Wir erhalten die für die Kommunikation verwendeten Verschlüsselungsschlüssel.
  • Außerdem erhalten wir Malware-Downloads, die weder heruntergeladen noch als PE-Dateien gespeichert werden.
  • Wir können nachweisen, dass ein C&C tatsächlich ein Botnetz-Protokoll verwendet, auch wenn keine zusätzliche Malware heruntergeladen wird.
  • Die Verarbeitung von C&C-Kommunikation kann viel schneller und mit weniger Ressourcen stattfinden.

Mit dem Einsatz von Botchecker waren wir unter den Ersten in der Sicherheitsforschungs-Community, die zuvor unbekannte Malware-Beispiele identifiziert haben. Wir planen, in Zukunft mehr Botnetz-Protokolle zu implementieren und unseren Support für Dateien wie Konfigurationen und Webinjects zu verbessern. Darüber hinaus möchten wir mehr Informationen über die Zerstörung von Botnetzen zur Verfügung stellen.

Dieser Artikel ist auch verfügbar in: EnglischItalienisch