Botnet

Botnetz-Angriff aus Indonesien: So nutzen Cyberkriminelle die Covid-19-Pandemie

Botnetz-Angriff aus Indonesien: So nutzen Cyberkriminelle die Covid-19-Pandemie

Imperva deckt Botnet-Aktivität auf

Architektur und Vorgehen der Botnet-Gruppierung KashmirBlack

Von „Special Coronavirus Deals“ über COVID-19-bezogene Spam-Kampagnen bis hin zu falschen WHO-Phishing Mails: Die Pandemie hat sich als ein Geschenk für Cyberkriminelle entpuppt. Jetzt treibt jedoch seit geraumer Zeit die KashmirBlack Botnet-Gruppierung die Zahl der Betrugsvorfälle in weltweit 33 Ländern in die Höhe – und die Angreifer kommen dabei weder aus den USA noch Russland – sondern Indonesien. Der Cyber Security-Spezialist Imperva hat mittlerweile genügend Beweise gesammelt, um die Botnet-Aktivität aufzudecken und zu stoppen. In diesem Beitrag geben die Sicherheitsspezialisten Sarit Yerushalmi und Ofir Shaty einen Einblick in die Architektur der Betrugsvorfälle und das Vorgehen der Cyberbetrüger.

Schadsoftware tarnen und Schwachstellen ausnutzen: Agiles Malwaredesign

Die Botnet-Gruppierung KashmirBlack nutzt (veraltete) CMS-Systeme wie WordPress als Eintrittspunkte, um automatisierte Schadprogramme auf fremden Rechnern zu installieren – und sein Botnetz zu erweitern. In diesem Moment befällt der Bot Millionen von Servern – und das täglich in mehr als 30 Ländern auf der Welt. Um seine Bots zu verbreiten und in die Systeme einzuschleusen greift das Schadprogramm auf jüngste Fortschritte in der agilen Softwareentwicklung und den sogenannten DevOps-Ansatz zurück. Bezeichnet wird damit ein Ansatz, der im Fall von KashmirBlack die gefährlichen Bots während ihrer Verbreitung kontinuierlich optimiert, damit sie getarnt und unentdeckt bleiben.

C&C-Server im Mittelpunkt der Attacken

Bei den Bot-Programmen handelt es sich jedoch um keine neue Schadsoftware. Was die Programme einzigartig macht, ist wie sie miteinander sowie der „Mutter“, dem sogenannten Command-and-Control-Server, kommunizieren. Von hier aus rufen sie ihre bösartigen Datenpakete ab, erhalten neue Anweisungen und können laufend modifiziert und optimiert werden. Insgesamt konnten die Spezialisten von Imperva neun Komponenten des Netzwerks identifizieren; jedem einzelnen kommt dabei eine wichtige Funktion zu. Gemein ist den Netzelementen jedoch das geteilte Ziel: Bösartige Skripte auf fremde Server zu schmuggeln und die Kontrolle zu übernehmen. Die Infographik veranschaulicht ihr Zusammenspiel:

Botnet flow diagram

Komplexe Netzstruktur für effektiven Befall

Der Kennerblick verrät, dass weder die Malware noch Art der Attacke neu sind – allein wie der Angriff aufgebaut und orchestriert ist, macht das Botnetz so einzigartig. Damit die Bots von ihrer C&C-Zentrale die Schadcodes erhalten und wiederum Reports erfolgter Angriffe auf Fremdserver zurückspielen können, benötigen sie zusätzliche Speicherorte. Diese „Repositories“ sind auf den ersten Blick „echte“ Websites, die jedoch gekapert wurden – denn je stärker das Botnetz wächst, desto mehr Speicherplatz braucht es online. Einmal angefunkt, verrät der „Load Balancer“ den Bots, welches Repository-Datenarchiv noch Kapazität hat und speichert die Schadcodes im css-Format zwischen.

Ein aktiver Bot, der den Opfer-Server einmal mit dem Schadskript befällt, fügt diesen Rechner automatisch seinem Botnetz hinzu, repliziert seinen Schadcode und kann sich von dort aus weiterverbreiten. Während des Angriffs kommuniziert er permanent mit der C&C-Mutter und tauscht Datenpakete aus: Aufgrund der schieren Größe des Netzwerks reicht auch hier der Speicherplatz der Domäne nicht mehr aus. Deshalb weicht der Bot zur Zwischenablage auf populäre C&C-Kontrolldomänen wie Pastebin, Github aber auch Dropbox-Server aus – wie das Team um Imperva erst kürzlich entdeckt hat.

Schaden ist Mittel zum Zweck: Crypto-Diebstähle und Konsequenzen für Unternehmen

Das Team um Imperva hat in monatelanger Arbeit fünf verschiedene Absichten hinter den Attacken identifizieren können, die neben der Verbreitung, der Platzierung von deaktivierten Bots in „Wartestellung“ und der Verunstaltung (Defacement) von Websites besonders auch das Crypto-Mining ins Zentrum rücken. Der Schadcode bemächtigt sich nämlich der Mining-Software XMRig um Monero Cryptocoins von einschlägigen Sites in eine virtuelle Geldbörse abzuführen.

Die Schäden durch die Angriffe sind mannigfaltig und reichen von gestörter Web-Performance bis hin zu Denial-of-Service-Serverausfällen. Sobald ein Server von der Schadsoftware befallen ist, besteht die Gefahr, dass der Bot weitere Server infiltriert – ein Teufelskreis, der zu erheblichen Schäden in Form von zuerst Daten- und dann Einnahmeverlusten bis zur Rufschädigung bei den betroffenen Unternehmen führt.

Schlussfolgerung und Empfehlung

Gemäß Hochrechnungen durch die Sicherheitsspezialisten handelt es sich bei KashmirBlack mit 230,000 Bots seit November 2019 um eine der gefährlichsten und reichweitenstärksten Bot-Netzwerke überhaupt. Die Gruppierung ist nach wie vor aktiv, und konnte aller Wahrscheinlichkeit nach stark von der digital umgestellten Arbeitskultur profitieren und ihre Attacken ausweiten. Stand heute werden ihre Eintrittspunkte und Schadaktivitäten durch Imperva eng überwacht und neue Angriffe gemonitort und protokolliert. Die meisten Schwachstellen sind den Betreibern von Fremdsoftware wie WordPress bekannt und mittlerweile in der Common Vulnerabilities and Exposures (CVE) offengelegt. Hierbei handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Um gegen eine erfolgte Bot-Attacke vorzugehen oder einer solche vorzubeugen, ist professionelle Security-Beratung unabdingbar. Folgende Schritte sind zudem zu erwägen:

Tipps

  • Bösartige Prozesse eliminieren
  • Bösartige Dateien vollständig entfernen
  • Bösartige Crontab-Jobs und Prozesse löschen
  • Nicht verwendete Plugins und Designs entfernen

Zudem sollte der Site-Administrator sicherstellen, dass die CMS-Kerndateien und Module von Drittanbietern immer aktuell und richtig konfiguriert sind. Darüber hinaus sollte der Zugriff auf sensible Dateien und Pfade wie install.php, wp-config.php und eval-stdin.php gesperrt sein. Sichere Passwörter sind angeraten, da sie die vorrangige Verteidigung gegen Brute-Force-Angriffe sind. In einer Welt, in der Cyberkriminalität weiter zunehmen wird, ist der Einsatz einer Web Application Firewall (WAF) dringend angeraten, um sicherzustellen, dass Ihre Website geschützt ist. Die führenden Lösungen von Imperva , einem Vorreiter im Bereich Data Security, sorgen für eine sichere Abhilfe. Mit der Übernahme von jSonar, dem Marktführer für moderne Datenbank-Sicherheitslösungen, baut Imperva sein Security-Portfolio aus und bietet integrierten Schutz bei der Sicherung von Daten über alle Kanäle und Anwendungsbereiche hinweg: einschließlich On-Premises, Cloud, Multi-Cloud sowie Database-as-a-Service (DBaaS).