Die Insikt Group ® von Recorded Future hat im Laufe des Jahres 2022 eine Studie zu bösartigen Command-and-Control-Infrastrukturen (C2) durchgeführt, die mithilfe proaktiver Scan- und Erfassungsmethoden identifiziert wurden. Alle Daten stammen von der Recorded Future ® -Plattform und sind auf dem Stand vom 1. September 2022.

Executive Summary

Recorded Future verfolgt die Erstellung und Änderung neuer bösartiger Infrastrukturen für eine Vielzahl von Post-Exploitation-Toolkits, benutzerdefinierter Malware und Open-Source-Remote-Access-Trojanern (RATs). Seit 2017 haben wir Erkennungen für 108 Familien erstellt, darunter RATs, Advanced Persistent Threat (APT)-Malware, Botnet-Familien und andere Standardtools. Wir haben im Jahr 2022 über 17.000 einzigartige Command-and-Control-Server (C2) beobachtet, das sind 30 % mehr als im letzten Jahr. Ähnlich wie im Jahr 2021 wurde unsere Sammlung im Jahr 2022 von Cobalt Strike-Teamservern, Botnet-Familien wie IcedID und QakBot sowie beliebten RATs wie PlugX dominiert.

Wichtige Urteile

• 32 % der erkannten Server (5.481 Server) wurden ausschließlich durch die Command-and-Control- Quelle von Recorded Future identifiziert.
• Wir haben eine durchschnittliche Vorlaufzeit von 33 Tagen zwischen der Erkennung eines C2-Servers durch unsere Scan-Bemühungen und seiner Meldung in anderen Quellen festgestellt.
• Die Gesamtzahl der erkannten C2-Server stieg um 30 % von 13.629 im Jahr 2021 auf 17.233 im Jahr 2022.
• PlugX wird weiterhin häufig verwendet, obwohl ShadowPad als dessen „Nachfolger“ angepriesen wird.
• Ähnlich wie im Jahr 2021 haben Botnet-Malware, hauptsächlich Emotet und QakBot, ihre C2-Infrastruktur weiter ausgebaut und waren das ganze Jahr über weit verbreitet.
• Verschiebungen in der vom russischen Staat geförderten C2-Infrastruktur können die Verfolgung bestimmter Operationen schwieriger machen als bei anderen staatlichen Einrichtungen.
• Wie erwartet verzeichnen die größten Hosting-Anbieter weiterhin die meisten C2-Server-Beobachtungen. Es gab jedoch Verschiebungen bei den Anbietern, die für C2-Server verwendet werden. Dazu gehört ein Anstieg von über 300 % beim Hosting bei Shenzhen Tencent Computer Systems, das diesen Anbieter in unserer Umfrage zum beliebtesten Anbieter für C2s machte, wobei China die USA als führendes Land für C2-Server-Hosting überholte.
• Für das Jahr 2021 prognostizierten wir eine vielfältigere C2-Umgebung, in der wir eine Zunahme der Erkennungen durch neue Werkzeuge erleben würden. Die von uns beobachtete Vielfalt resultierte jedoch eher aus einer größeren Verbreitung etablierter Werkzeuge als aus der Verwendung neuer Werkzeuge.

Hintergrund

Eine kürzere Vorlaufzeit bei der Benachrichtigung über die Identifizierung bald zu aktivierender bösartiger Command-and-Control-Server (C2) kann Verteidigern dabei helfen, Bedrohungen proaktiver zu neutralisieren. Bevor ein C2-Server betriebsbereit werden kann, muss ein Bedrohungsakteur mehrere Schritte unternehmen, wie in Abbildung 1 dargestellt. Zunächst muss die Server-Infrastruktur erworben werden, entweder durch einen Kompromiss oder einen legalen Kauf. Als Nächstes muss ein Domänenname erworben und registriert werden, sofern dieser für die C2-Kommunikation erforderlich ist. Anschließend muss die Software installiert, die Konfigurationen optimiert, Transport Layer Security (TLS)-Zertifikate registriert (sofern zutreffend) und Dateien zum Server hinzugefügt werden. Die Akteure müssen per Panel-Login, Secure Shell (SSH) oder Remote Desktop Protocol (RDP) darauf zugreifen und dann den Malware-Controller auf einem Port freigeben, um die Datenübertragung vom Opfer zu ermöglichen und Befehle an Infektionen zu verteilen. (Je nach Vorgang können auch zusätzliche Maßnahmen erforderlich sein.) Erst wenn diese Schritte abgeschlossen sind, kann der Server für böswillige Zwecke verwendet werden.

Abbildung 1: Lebenszyklus der C2-Waffe (Quelle: Recorded Future)

Beim Einrichten, Konfigurieren und Zugreifen auf den Server hinterlässt der Angreifer jedoch Artefakte, die erkennbar sind, bevor der Server in einer Phishing-Kampagne oder mit einem bösartigen Tool verwendet wird. Diese Artefakte bieten Verteidigern Erkennungsmöglichkeiten und umfassen auf dem Server bereitgestellte Softwareversionen, das Anmeldefenster, TLS-Zertifikatsmuster oder die von einer einfachen Abfrage zurückgegebene Standardnachricht.

Die Erkennung von C2-Servern von ihrer Erstellung bis zu ihrer Aktivierung bietet Einblicke in die Art und Weise, wie Angreifer bösartige Kampagnen durchführen. Das beinhaltet:

• Durch den Vergleich von C2-Erkennungen mit Einbruchsberichten im Zusammenhang mit diesen Familien kann ermittelt werden, wie viele Einbrüche erkannt werden und wie viele Ereignisse möglicherweise weiterhin unbekannt in der Öffentlichkeit bleiben.
• Durch die Messung der Geschwindigkeit der Servererstellung können Sie Einblicke in bevorstehende Aktivitätsspitzen oder -abnahmen gewinnen.
• Erfassung von Indikatoren und Informationen, die sonst nicht öffentlich zugänglich wären.

Ein Hinweis zur Sammlungsverzerrung

Recorded Future sammelt Informationen über C2-Server, die überwiegend auf Merkmalen bekannter Malware-Familien und deren serverseitiger Software basieren. Der Schwerpunkt dieser Sammlung liegt auf der Identifizierung bekannter Befehls- und Kontrollrahmen und deren Derivate oder unterstützende Infrastruktur und umfasst passive und aktive Internet-Scandaten. Wir überprüfen nur dann, ob es sich bei einer IP-Adresse um einen C2-Server handelt, wenn es Beweise für böswillige Aktivitäten von C2 gibt. Deshalb werden wir bei der Meldung von Servern mit bekannten Bedrohungen voreingenommen sein und bei der Datenerfassung eine Voreingenommenheit gegenüber diesen Servern zeigen. Diese Methode sollte nicht als Ersatz für die Identifizierung von Anomalien oder das Erkennen von ungewöhnlichem Datenverkehr innerhalb eines Netzwerks dienen.

Bedrohungsanalyse

Unsere Top-5-Beobachtungen zur C2-Familie werden nicht von einer einzelnen Malware-Kategorie dominiert, sondern weisen stattdessen einen Mix aus Post-Exploitation-Frameworks (Cobalt Strike), Remote-Access-Tools/Backdoors (PlugX, DarkComet) und Botnets (Emotet) auf.

Abbildung 2: 3-Jahres-Trends für die Top 5 C2s, beobachtet von Recorded Future (Quelle: Recorded Future)

Ein genauerer Blick auf die Top-5-Familien der letzten drei Jahre zeigt den kontinuierlichen Anstieg der Anzahl der von uns identifizierten Cobalt Strike-, Meterpreter- und PlugX-Server, trotz des Alters dieser Tools. Unsere Erkennung für Emotet ist seit etwa einem Jahr aktiv und der Anzahl der von uns beobachteten Erkennungen zufolge ist Emotet tatsächlich wieder voll einsatzfähig. DarkComet bleibt relevant, wie der Anstieg von ~47 % gegenüber dem Vorjahr zeigt. Jedes Jahr werden neue Malware- und Red-Teaming-Tools veröffentlicht. Allerdings beobachten wir, dass diese im Vergleich zu etablierten Tools der vorherigen Generation weniger genutzt werden, wie aus Abbildung 2 hervorgeht.

Abbildung 3: Gesamtzahl der C2-Erkennungen nach Malware-Familie aus Sicht von Recorded Future (Quelle: Recorded Future)

Wenn wir den Umfang auf die Top 20 der C2-Erkennungen ausweiten, sehen wir eine umfassendere C2-Umgebung, die neben gängigen Systemen wie PlugX, AsyncRAT, IcedID und DarkComet auch neue Familien wie Brute Ratel (BRc4) und BumbleBee umfasst. Für das Jahr 2021 prognostizierten wir, dass „sich das C2-Umfeld weiter diversifizieren wird. Da neue Malware-Familien und C2-Frameworks veröffentlicht werden, gehen wir davon aus, dass ein Teil von ihnen über Threat-Intelligence-Maßnahmen informiert ist, um ihre Server zu scannen und zu erkennen.“ Zwar haben wir im Jahr 2022 einen deutlichen Anstieg der Anzahl von C2s beobachtet, die wir für Tools außerhalb der Top 5 und Top 20 des letzten Jahres entdeckt haben, der größte Teil des Anstiegs in diesem Jahr ist jedoch auf die Verwendung „etablierter“ Tools wie PlugX, Remcos, DarkComet und QuasarRAT durch eine größere Anzahl von Akteuren zurückzuführen. Die Top 6 Tools in unserem Datensatz mit erhöhter Nutzung im Jahr 2022 im Vergleich zu 2021 waren:

1. PlugX (51 % Steigerung)
2. Remcos (51 % Steigerung)
3. DarkComet (44 % Steigerung)
4. QuasarRAT (40 % Steigerung)
5. Mythisch (33 % Steigerung)
6. AsyncRAT (24 % Steigerung)

Wir glauben, dass dieser hohe Einsatz von Standardtools darauf hinweist, dass es einem zunehmenden Prozentsatz von Bedrohungsakteuren mehr darum geht, sich unauffällig zu verhalten und nicht zuzuordnen, als darum, nicht entdeckt zu werden. Oder sie haben einfach festgestellt, dass ihre Ziele selbst diese wohlbekannten Tools wahrscheinlich nicht erkennen. Angesichts der Kosten und des erforderlichen Fachwissens für die Entwicklung maßgeschneiderter Tools ziehen es Bedrohungsakteure möglicherweise vor, Standardtools zu kaufen oder kostenlose Open-Source-Tools zu verwenden.

Beispielsweise bietet die Verwendung von BRc4 mehr Umgehungstechniken für Endpoint Detection and Response (EDR), birgt aufgrund der kleineren Benutzerbasis jedoch auch ein höheres Risiko hinsichtlich der Zuordnung. DarkComet hingegen ist möglicherweise nicht so heimlich oder ausweichend, ist jedoch ein Open-Source-RAT, das von vielen Bedrohungsakteuren verwendet wird.

Themen für gegnerische Infrastrukturen 2022

Bei der Gesamtbetrachtung unserer C2-Beobachtungen haben wir drei Topthemen für 2022 identifiziert:

1. PlugX bleibt trotz Nachfolger erfolgreich: PlugX wird immer noch häufig verwendet, obwohl ShadowPad als dessen „Nachfolger“ angepriesen wird.
2. Zurück zu den Bots (immer wieder): Zwar sind sie nicht ganz so weit verbreitet wie 2021, aber mehrere Botnetze sind immer noch sehr aktiv; Emotet, IcedID, QakBot, Dridex und TrickBot haben es 2022 alle in die Top 20 geschafft.
3. Russland, Brennen nach dem Lesen: Die Grenzen der Russland zugeschriebenen C2-Erkennungen.

PlugX bleibt trotz Nachfolger erfolgreich

In unserem Adversary Infrastructure-Bericht 2020 haben wir auf einen Artikel von Doctor Web verwiesen, in dem ShadowPad als Nachfolger von PlugX beschrieben wurde . Obwohl ShadowPad von mehreren staatlich geförderten chinesischen Gruppen zunehmend genutzt wird, konnten wir auch nach 2020 weiterhin PlugX-Infektionen beobachten (Recorded Future verfolgt die Infrastruktur, die die ShadowPad-Controller verwaltet, als AXIOMATICASYMPTOTE). Im Jahr 2022 wird PlugX weiterhin genutzt und hat sogar zugenommen, wie die folgende Grafik zeigt.

Abbildung 4: Anzahl der in den letzten 12 Monaten erkannten PlugX- und AXIOMATICASYMPTOTE-C2s (Quelle: Recorded Future)

PlugX wurde im letzten Jahrzehnt hauptsächlich von Bedrohungsakteuren mit Sitz in China verwendet. Wie Airbus 2015 berichtete , ist ein Hersteller einer früheren PlugX-Variante an die Öffentlichkeit gelangt. Dies deutet darauf hin, dass die Nutzung von PlugX im Vergleich zu ShadowPad, das vermutlich privat an eine begrenzte Anzahl staatlich geförderter chinesischer Bedrohungsakteure verkauft wird, weniger streng kontrolliert wird. Wir verfolgen aktiv PlugX-Varianten, die den Bedrohungsakteurgruppen RedDelta und RedFoxtrot zugeschrieben werden.

Zurück zu Bots (immer wieder)

Im Jahr 2021 stellten wir nach der Abschaltung von Emotet einen starken Anstieg der Botnet-Aktivität fest, wobei TrickBot, QakBot, Bazar, IcedID und Dridex die Mehrheit der von uns erkannten C2s ausmachten. Im Jahr 2022 dominierten Botnetze zwar nicht unsere C2-Daten, waren aber dennoch in unseren Top-5- und Top-20-Listen vertreten. Wie in Abbildung 5 dargestellt, sind Dridex, Emotet, IcedID, QakBot und TrickBot die Botnet-Familien mit den meisten C2-Erkennungen in diesem Jahr.

Abbildung 5: Vergleich der erkannten Dridex-, Emotet-, IcedID-, QakBot- und TrickBot-C2s (Quelle: Recorded Future)

TrickBot und Dridex
Wir beobachteten einen Anstieg der Anzahl der im Oktober 2021 erkannten TrickBot-C2s (194 aktive C2s), bevor die Malware einige Monate später inaktiv wurde. Auch die Aktivität von Dridex blieb stabil und lag zwischen 45 und 80 aktiven C2s pro Monat, bis es im Juni 2022 zu einem Anstieg kam (150 aktive C2s), bevor die Malware inaktiv wurde.

Die TrickBot-Aktivität steht im Einklang mit Berichten vom Anfang dieses Jahres, in denen darauf hingewiesen wurde, dass die TrickBot-Betreiber den Einsatz der TrickBot-Malware schrittweise einstellen. Bei Dridex korreliert die erhöhte Nutzung im März bis zum Spitzenwert im Juni mit Meldungen über die Verwendung von Dridex in RIG-Exploit-Kits. Der plötzliche Ruhezustand von Dridex könnte auch ein Hinweis darauf sein, dass das Botnetz aufgrund der Verbreitung von IcedID und QakBot und der Wiederauferstehung von Emotet insgesamt übertroffen wird.

QakBot
Die Anzahl der beobachteten QakBot-C2s war Ende letzten Jahres und bis in dieses Jahr hinein mit durchschnittlich 10 aktiven C2s pro Monat relativ gering. Seit März 2022 haben wir einen deutlichen Anstieg der Anzahl der erkannten QakBot C2s beobachtet, wobei der höchste Wert bei 90 aktiven C2s im September 2022 lag. Zuletzt wurde bei SentinelOne QakBot verwendet, um Black Basta-Ransomware zu verbreiten .

EisigeID
Bis Mai 2022 haben wir bei IcedID 30 bis 60 aktive C2s pro Monat beobachtet. Ab Mai sehen wir einen Anstieg auf 102 und einen weiteren stetigen Anstieg auf 178 aktive C2s im September 2022. Die folgenden wichtigen Ereignisse können zu diesen Preissteigerungen beitragen:

• Im April 2022 verschickte CERT-UA eine Warnung vor einer Massenverteilung von XLS-Dokumenten, die die IcedID-Malware installieren.
• Zuletzt wurde IcedID Berichten zufolge zum Herunterladen und Ausführen der Quantum Locker-Ransomware verwendet.

Emotet
Nach der Abschaltung der Emotet-Infrastruktur Anfang 2021 und einer langen Aktivitätspause gab es Spekulationen, dass Emotet seinen Betrieb dauerhaft einstellen könnte; dies erwies sich als falsch. Emotet kehrte Ende 2021 zurück, Berichten zufolge in Abstimmung mit der Conti-Ransomware-Operation. Das frühe Wiederaufleben von Emotet war Berichten zufolge auf eine Wiederverwendung der TrickBot-Infrastruktur zurückzuführen. Zufällig können wir in Abbildung 5 sehen, dass Emotet mit der gleichen Anzahl aktiver C2s beginnt, die wir für TrickBot verfolgt haben, kurz bevor dieser seinen Betrieb einstellte.

Obwohl das Volumen der Emotet-C2s Ende 2021 und Anfang 2022 relativ gering war, beobachteten wir im Mai 2022 einen starken Anstieg mit über 1.200 aktiven C2s. In einem Bericht von Netskope Threat Labs werden in diesem Zeitraum zwei aktive Kampagnen erwähnt, die LNK- Dateien und Microsoft Office-Dokumente zur Verbreitung von Emotet nutzten.

Im Juni fielen die Zahlen wieder auf einen niedrigen Wert, bis sie im Juli 2022 wieder anstiegen. Die Zahl der derzeit beobachteten aktiven Emotet-C2s entspricht mit etwas über 1.000 aktiven C2s im September 2022 fast dem Niveau des Anstiegs im Mai. Der jüngste Anstieg aktiver C2s von Emotet seit Juli 2022 unterstützt die neuesten Berichte zu Emotet:

• Emotet wird zum Laden der Quantum- und ALPHV-Ransomware verwendet.
• Proofpoint gab an, dass Emotet im November täglich „Hunderttausende“ Phishing-E-Mails verteilt und zum Laden und Ausführen von IcedID verwendet wird. Die zunehmende Verbreitung von IcedID über Emotet kann ebenfalls zum jüngsten Anstieg unserer IcedID-Erkennungen beitragen.

Russland, Brennen nach der Lektüre

Unseren Beobachtungen zufolge verwenden russische staatliche Akteure im Vergleich zu anderen staatlich geförderten Operationen häufig eine bessere Betriebssicherheit für die C2-Infrastruktur. Sie verwenden beispielsweise oft Methoden wie den Betrieb von C2-Servern auf 1:1-Basis und interagieren somit nur mit Implantaten einer einzigen Zielorganisation. Wir beobachten auch, dass ihre C2-Infrastruktur oft schnell abgetan wird, wenn öffentlich darüber berichtet wird. Einige vom russischen Staat gesponserte Akteure stehen zudem an der Spitze des allgemeinen Trends staatlicher Akteure, immer mehr auf die Verwendung gängiger Schadsoftware und beliebter C2-Frameworks umzusteigen. Wenn Bedrohungsakteure gängige Standardsoftware für Spionageoperationen ausnutzen, kann dies die Zuordnung für Forscher und Ermittler erschweren.

Im Gegensatz dazu gehen die China, dem Iran und einigen anderen Staaten zugeschriebenen Machenschaften hinsichtlich der Sicherheit ihrer Schadsoftware und ihrer Infrastruktur oft unvorsichtig vor. Sie verwenden spezielle C2s für zahlreiche Ziele und erst nach der Veröffentlichung, oder sie verwenden jahrelang im Wesentlichen dieselbe Schadsoftware (wie etwa PlugX), während sie diese auf mehrere operative Teams verteilen.

Häufige Veränderungen in der vom russischen Staat geförderten C2-Infrastruktur können die Verfolgung bestimmter Operationen erschweren. GRAVITYWELL, die Recorded Future-Bezeichnung für Servertechnologie und TLS-Zertifikatskonfiguration, die häufig zum Hosten der mit dem russischen Auslandsgeheimdienst (SVR) verknüpften WellMess-Hintertür verwendet wird, ist ein Beispiel für eine solche flüchtige Infrastruktur.

Wir haben GRAVITYWELL durch mehrere Phasen verfolgt. Zwischen diesen Phasen haben wir kurz nach der öffentlichen Bekanntgabe der GRAVITYWELL-Aktivitäten deutliche Veränderungen in der Infrastruktur beobachtet.

Im Juli 2020 veröffentlichte das britische National Cyber Security Centre (NCSC) einen Bericht über APT29-Operationen mit WellMess. Der Bericht umfasste die C2-Infrastruktur, die nachweislich in der Kampagne verwendet wurde. Im August 2020 wurde diese Infrastruktur durch einen neuen Satz C2s ersetzt, die anhand von TLS-Zertifikatsmustern identifiziert werden konnten, die sich von denen der vorherigen Phase der Kampagne unterschieden. Im Juli 2021 wurde ein RiskIQ-Bericht veröffentlicht, der mehr als 30 C2-Server identifizierte, die TLS-Zertifikatsdetails bereitstellten. Wie schon im Jahr zuvor wurden innerhalb eines Monats nach Veröffentlichung des Berichts Änderungen bei diesen C2s beobachtet.

Abbildung 6: Zeitleiste der öffentlichen Berichterstattung zu GRAVITYWELL und Infrastrukturänderungen (Quelle: Recorded Future)

Post-Exploitation-Frameworks

Es lässt sich nur schwer abschätzen, welcher Prozentsatz der von uns entdeckten Post-Exploitation-Frameworks in legitimen Red-Teaming-Operationen und welche von kriminellen oder Spionageelementen verwendet werden. Insgesamt können Volumenänderungen neben der Übernahme in verschiedene Betriebsabläufe auch auf verbesserte Signaturen und erhöhte Erhebungsbemühungen zurückzuführen sein.

Abbildung 7: C2-Beobachtungen für offensive Sicherheitstools in den letzten 3 Jahren (Quelle: Recorded Future)

Ein Vergleich der zehn wichtigsten offensiven Sicherheitstools, die wir im vergangenen Jahr beobachtet haben, mit den beiden Vorjahren zeigt eines ganz klar: Die Cobalt Strike C2-Aktivität nimmt weiterhin rasant zu. Cobalt Strike ist für eine Reihe von Akteuren eindeutig das bevorzugte offensive Sicherheitstool, und die Erkennungsrate von Cobalt Strike hat im letzten Jahr deutlich zugenommen. Wir führen die Verdoppelung auf die Vielzahl der Erkennungen, die Dauer ihrer Ausführung und die Anzahl der Akteure zurück, die Cobalt Strike verwenden.

Zu den weiteren Frameworks in unseren Top 10 mit erhöhtem Volumen zählen Covenant, Mythic und Metasploit/Meterpreter (diese beiden wurden in diesem Jahr kombiniert); bei keinem von ihnen ist der Sprung so stark gewachsen wie bei Cobalt Strike. Das Open-Source- Projekt von Covenant wurde seit 2021 nicht mehr aktualisiert, erfreut sich jedoch weiterhin zunehmender Nutzung. Mythic erhält weiterhin Updates seiner Codebasis. Einige Mythic-Infrastrukturen verweisen auf den Namen Botleggers Club, der auch in den Conti Leaks erwähnt wird, was darauf schließen lässt, dass zumindest einige Ransomware-Betreiber ihn verwendet haben.

Sowohl Brute Ratel (BRc4) als auch BeEF erhalten dieses Jahr eine lobende Erwähnung, da ihre Erkennungsraten noch nicht hoch genug waren, um es in die Top 10 zu schaffen. Der Entwickler hinter BRc4, der über einen Hintergrund in der EDR-Entwicklung verfügt, ist bestrebt, die Erkennung des Tools zu erschweren, indem er gezielt die Funktionsweise von EDRs beeinflusst, um eine Erkennung zu verhindern. Eine Version von BRc4 wurde geknackt und verbreitet sich auch in der kriminellen Unterwelt. Sie wurde auch bei der Verwendung durch die Black Basta-Ransomware-Bande beobachtet .

Globaler Maßstab

Wir haben im Jahr 2022 30 % mehr C2-Server (17.233) im Vergleich zu 2021 (13.268) entdeckt. Dies ist das Ergebnis der Entwicklung von Erkennungsfunktionen für neue Malware-Familien, von Verbesserungen bei der Erkennung bestehender Malware-Familien und einer verstärkten Nutzung von Tools, für die wir Erkennungsfunktionen haben, wie etwa Cobalt Strike, Meterpreter und PlugX.

Wir haben den Aufbau der C2-Infrastruktur bei 1.419 Hosting-Anbietern in 116 verschiedenen Ländern beobachtet. Dies stellt zwar einen Großteil der weltweiten Geografie dar, die missbrauchten Server machen jedoch nur einen kleinen Prozentsatz aller Betreiber autonomer Systeme (AS) aus, die über 70.000 Anbieter umfassen.

Abbildung 8: C2-Beobachtungen nach Land (identifiziert durch den Standort der autonomen Systemnummer [ASN]) (Quelle: Recorded Future)

• Wie schon im Jahr 2021 werden die größten Hosting-Anbieter am häufigsten für C2-Hosting missbraucht: Bei 24 AS-Betreibern (1 % der insgesamt beobachteten Anzahl autonomer Systeme [ASN]) wurden im Jahr 2022 mehr als 100 C2-Server entdeckt (im Gegensatz zu 20 AS-Betreibern im Jahr 2021).
• Während wir im Jahr 2022 1.419 einzelne AS-Betreiber beobachteten, die C2-Server hosteten, hostete die große Mehrheit (98 %) 100 oder weniger C2-Server. 1.225 AS-Anbieter (86 % aller beobachteten ASNs) hosteten 10 oder weniger C2-Server und 682 AS-Betreiber hosteten lediglich 1 C2-Server.
• China hostete im Jahr 2022 4.265 C2-Server, die USA lagen mit 3.928 auf Platz 2 und Hongkong mit 1.451 auf Platz 3. Auf diese Top-3-Länder entfallen 55 % aller erkannten C2-Server, auf die Top-10-Länder entfallen 88 % aller erkannten C2-Server.
• 18 der 116 beobachteten Länder, in denen C2-Server gehostet wurden, hosteten im Jahr 2022 nur einen C2-Server.
• Während der Anteil der C2-Server in den USA von 34 % auf 22 % sank, stieg der Anteil in China von 14 % auf 24 %, was vor allem auf die erhebliche Zunahme der C2-Erkennungen beim chinesischen Hosting-Anbieter Shenzhen Tencent Computer Systems zurückzuführen ist.
• Der Anteil der in Hongkong und den Niederlanden entdeckten C2-Server stieg von 3,3 % auf 8 % bzw. von 2,1 % auf 7 %.

Während es leichte Änderungen in der Rangfolge gab, blieb die Zusammensetzung der Top 10 der C2-Hosting-Anbieter nach Volumen seit 2021 weitgehend unverändert; lediglich das in Singapur ansässige BGPNET Global (AS64050) schied aufgrund eines Rückgangs von 181 auf 147 C2s aus und wurde durch Alibaba (US) Technology Co., Ltd. ersetzt. Insgesamt verzeichneten alle Top-10-C2-Hosting-Anbieter einen erheblichen Anstieg der Zahl der erkannten C2-Server, wobei vier von ihnen zwischen 2021 und 2022 einen Anstieg von über 50 % verzeichneten.

Tabelle 1: Top-C2-Hosting-Anbieter nach Volumen der C2-Server im Jahr 2022 und im Vergleich zu 2021

• Shenzhen Tencent Computer Systems mit Sitz in China verzeichnete einen Anstieg von 302 % bei den C2-Servern und hostete schließlich die meisten C2-Server aller von Recorded Future im Jahr 2022 beobachteten ASNs. Auf den Hosting-Anbieter entfielen 2.297 einzelne C2-Server (13 %). Die am häufigsten beobachtete Familie bei Shenzhen Tencent Computer Systems war Cobalt Strike mit 2.032 identifizierten Servern.
• Das nächstgrößte Unternehmen war DigitalOcean LLC mit Sitz in den USA, das im Jahr 2021 die Liste angeführt hatte. Der Hosting-Anbieter verzeichnete einen Zuwachs von 48 Prozent und hostete 1.421 einzelne C2-Server (8 Prozent). Die am häufigsten beobachtete Familie auf DigitalOcean LLC war Cobalt Strike mit 526 identifizierten Servern.

Tabelle 2 zeigt, dass die Top-5-Malware-Familien einen großen Prozentsatz der C2-Server bei den Top-10-Hosting-Anbietern ausmachten; unsere Top-5-Malware-Familien machten mindestens 80 % aller C2-Server aus, die bei der Hälfte der Top-10-Hosting-Anbieter erkannt wurden. Die Spalte „Top-Malware %“ gibt den Prozentsatz der C2-Erkennungen wieder, den die Top-5-Malware-Familien zu den gesamten C2-Erkennungen für den Hosting-Anbieter beigetragen haben.

Tabelle 2: Top-Malware-Familien von C2-Hosting-Anbietern im Jahr 2022

Cobalt Strike ist die Top-Malware-Familie bei allen Hosting-Anbietern in Tabelle 2, in vielen Fällen gefolgt von Meterpreter. AXIOMATICASYMPTOTE und PlugX sind normalerweise bei denselben Hosting-Anbietern zu finden. 26 % der BumbleBee-Erkennungen von Recorded Future erfolgten auf M247 Ltd und OVH SAS, während 57 % der Cerberus-Erkennungen auf der Infrastruktur der Microsoft Corporation gefunden wurden.

Zwar verfügen diese Hosting-Anbieter über die größte Zahl an C2-Servern, doch stellten die C2-Server nur einen verschwindend geringen Prozentsatz der Gesamtzahl der Server dar, die ihrer Gerichtsbarkeit unterstehen. Tabelle 3 zeigt die 10 Anbieter mit dem höchsten Prozentsatz an C2-Servern im Vergleich zu ihrem Gesamtbestand. Diese Schätzung basiert auf der Anzahl der vom AS angekündigten IPv4-Präfixe im Vergleich zu den im Jahr 2022 beobachteten bestätigten C2-Servern.

Tabelle 3: Hosting-Anbieter, die im Jahr 2022 den höchsten Prozentsatz an C2-Servern im Vergleich zur Gesamtzahl der Server gehostet haben

• Die einzigen beiden Hosting-Anbieter aus Tabelle 3, die bereits in der Liste der Top 10-Hosting-Anbieter mit dem höchsten Prozentsatz gehosteter C2-Server im Jahr 2021 enthalten waren, waren International Hosting Solutions LLP mit Sitz im Vereinigten Königreich und HDTIDC LIMITED mit Sitz in Hongkong. Verschiedene Bulletproof-Hosting-Anbieter wie Media Land LLC oder Host Sailor Ltd. sind aus der Liste herausgefallen.
• Basierend auf Open-Source-Daten sind die meisten Hosting-Anbieter aus Tabelle 3 entweder:
  • im Zusammenhang mit riskantem Web-Verkehr (wie beispielsweise bei UAB Cherry Servers, BL Networks oder KURUN CLOUD INC);
  • wurden zuvor von bestimmten Bedrohungsakteuren als bevorzugter Hosting-Anbieter angesehen (z. B. TAG-26 unter Verwendung von HDTIDC LIMITED); oder
  • sind bekannte Bulletproof-Hosting-Anbieter (z. B. Flyservers SA oder Chang Way Technologies Co. Limited).

Ausblick

Im Jahr 2023 würde man wahrscheinlich vorhersagen, dass Cobalt Strike und Botnetze immer noch den Großteil unserer C2-Beobachtungen ausmachen werden. Wir gehen zwar davon aus, dass Cobalt Strike auch im nächsten Jahr unter unseren Top-5-Erkennungen bleibt, prognostizieren jedoch keine weitere Verdoppelung. Wir glauben, dass die Nutzung von Cobalt Strike durch die Nutzung von BRc4 kannibalisiert wird. Infolgedessen prognostizieren wir, dass die Nutzung von BRc4 und die Erkennung von C2 zunehmen werden, da Bedrohungsakteure zunehmend auf BRc4 umsteigen, da es für EDR-Agenten weniger gut erkennbar ist und eine leistungsfähige Alternative zu Cobalt Strike darstellt. Es ist auch denkbar, dass es zu einer Zunahme von C2-Beobachtungen im Zusammenhang mit Nischen-C2-Tools wie Sliver, DeimosC2, Alchimist und Manjusaka kommen wird.

Wir sehen bereits, dass Malware-Familien wie Redline Stealer, QakBot und Nanocore trotz der Verwendung zufälliger und nicht standardmäßiger Ports erfolgreich sind. Dies verhindert herkömmliches, vollständiges Internet-Scannen, da es nicht möglich ist, alle möglichen nicht standardmäßigen Ports im gesamten IPv4-Bereich zu scannen. Obwohl man früher davon ausging, dass sie leichter zu erkennen seien, scheint die Verwendung von High-Ports immer noch ein geeigneter C2-Kommunikationskanal zu sein, und wir gehen davon aus, dass mehr C2-Betreiber High-Ports für ihre C2-Kommunikation verwenden werden.

Im Juni 2022 erläuterte ShadowServer seine Methodik zum Scannen des IPv6-Internetbereichs. Wir gehen davon aus, dass immer mehr Organisationen, darunter auch Recorded Future, ihre IPv6-Scans verstärken werden, was zu mehr IPv6-C2-Erkennungen führen wird. Obwohl nicht überall darüber berichtet wird, gibt es Schadsoftware, die über eine IPv6-Verbindung kommuniziert, wie zum Beispiel VirtualPie, über das Mandiant berichtet .