Komplexe Malware
Die Windows-Malware Mylobot soll Windows PCs für ein Botnet nutzen, wie zdnet.de, unter Berufung auf die Erkenntnisse der Sicherheitsforscher von Deep Instinct, kürzlich berichtete. Laut den Sicherheitsforschern soll der Fund aus der Produktionsumgebung eines Kunden stammen. Die Ursprünge und die Auslieferungsmethode der komplexen Malware sind laut den Sicherheitsexperten bislang unbekannt. Sie scheint nach Ansicht der Sicherheitspezialisten aber eine Verbindung zur Locky-Ransomware zu haben, eine der erfolgreichsten Formen von Malware der letzten Jahre.
Die Malware bietet Angreifern die vollständige Kontrolle über infizierte Opfer und die Möglichkeit, zusätzliche Nutzlasten bereitzustellen, wodurch die Geräte der Opfer von Trojanern, Keyloggern, DDoS-Angriffen und anderen bösartigen Programmen gefährdet werden.
Hochentwickeltes Botnet
Die hochentwickelte Natur des Botnetzes legt nahe, dass die dahinter stehenden Personen keine Amateure sind, wobei Mylobot verschiedene Techniken zur Vermeidung der Erkennung beinhaltet. Dafür nutzt sie:
- Anti-Sandboxing,
- Anti-Debugging,
- verschlüsselte Dateien und reflektierende EXE, also die Möglichkeit, EXE-Dateien direkt aus dem Speicher auszuführen, ohne dass sie lokal abgespeichert ist.
Die Technik ist nicht üblich und wurde erst 2016 entdeckt. Sie sorgt laut Deep Instinct dafür, dass entsprechende Malware so gut wie nicht zu erkennen und zu verfolgen ist.
Darüber hinaus verfügt Mylobot über einen Verzögerungsmechanismus, der zwei Wochen wartet, bevor er Kontakt mit den Befehls- und Kontrollservern des Angreifers aufnimmt – ein weiteres Mittel, um eine Erkennung zu vermeiden.
„Der Grund für 14 Tage Schlaf ist die Vermeidung von Netzwerk- und bösartigen Aktivitäten, um damit Sicherheitslösungen wie Endpunkterkennung, Bedrohungssuche und Sandboxing zu umgehen“,
sagte Tom Nipravsky von Deep Instinct.
Angriff auf breiter Basis
Zum einen fährt Mylobot Windows Defender und Windows Update herunter und blockiert gleichzeitig zusätzliche Ports auf der Firewall, um ungehindert agieren zu können. Zum anderen löscht Mylobot andere Malware, die zuvor auf dem Rechner installiert wurde, um sicherzustellen, dass die Angreifer die Kontrolle über das größte Netzwerk von infizierten Computern erlangen, um den größtmöglichen Nutzen aus dem Missbrauch der infizierten Computer zu ziehen.
Wie es weiter dazu heißt ergab die Analyse der Befehls- und Kontrolldomänen im Zusammenhang mit Mylobot b jedoch Verbindungen zu Locky-Ransomware und anderer Malware.
„Nach unseren Untersuchungen wurde die IP des C&C-Servers erstmals im November 2015 gesehen und ist mit DorkBot, Locky und Ramdo verbunden“,
sagte Nipravsky.
Gut ausgestattete Operation
Da die C&C-Server seit zweieinhalb Jahren aktiv Sind, deutet das darauf hin, dass diejenigen, die hinter Mylobot stehen, seit einiger Zeit aktiv sind – und Taktiken verwenden, was auf eine gut ausgestattete Operation hindeutet.
„Das Botnet versucht, eine Verbindung zu 1404 verschiedenen Domänen herzustellen – zum Zeitpunkt der Erstellung dieser Studie war nur eine davon lebendig. Das ist ein Indiz für große Ressourcen, um all diese Domains zu registrieren“,
sagt Nipravsky.
Autoren sind keine Amateure
Angreifer selbst und das eigentliche Ziel der Operation konnten die Forscher bisher nicht ermitteln. Allein aus der Komplexität des Systems schlussfolgern sie, dass es sich keinesfalls um Amateure handelt.
„Wir haben keinen Hinweis darauf gefunden, wer der Autor ist, aber basierend auf dem Code ist dies jemand, der weiß, was er tut“,
sagte Nipravsky.
Weiterführende Links:
deepinstinct.com: Meet MyloBot – A New Highly Sophisticated Never-Seen-Before Botnet That’s Out In The Wild
