Bericht zur gegnerischen Infrastruktur 2022

Bericht zur gegnerischen Infrastruktur 2022

insikt-group-logo-aktualisiert-3-300x48.png
Anmerkung der Redaktion: Klicken Sie hier um den Bericht als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future hat im Laufe des Jahres 2022 eine Studie zu bösartigen Command-and-Control-Infrastrukturen (C2) durchgeführt, die mithilfe proaktiver Scan- und Erfassungsmethoden identifiziert wurden. Alle Daten stammen von der Recorded Future ® -Plattform und sind auf dem Stand vom 1. September 2022.

Executive Summary

Recorded Future verfolgt die Erstellung und Änderung neuer bösartiger Infrastrukturen für eine Vielzahl von Post-Exploitation-Toolkits, benutzerdefinierter Malware und Open-Source-Remote-Access-Trojanern (RATs). Seit 2017 haben wir Erkennungen für 108 Familien erstellt, darunter RATs, Advanced Persistent Threat (APT)-Malware, Botnet-Familien und andere Standardtools. Wir haben im Jahr 2022 über 17.000 einzigartige Command-and-Control-Server (C2) beobachtet, das sind 30 % mehr als im letzten Jahr. Ähnlich wie im Jahr 2021 wurde unsere Sammlung im Jahr 2022 von Cobalt Strike-Teamservern, Botnet-Familien wie IcedID und QakBot sowie beliebten RATs wie PlugX dominiert.

Wichtige Urteile

Hintergrund

Eine kürzere Vorlaufzeit bei der Benachrichtigung über die Identifizierung bald zu aktivierender bösartiger Command-and-Control-Server (C2) kann Verteidigern dabei helfen, Bedrohungen proaktiver zu neutralisieren. Bevor ein C2-Server betriebsbereit werden kann, muss ein Bedrohungsakteur mehrere Schritte unternehmen, wie in Abbildung 1 dargestellt. Zunächst muss die Server-Infrastruktur erworben werden, entweder durch einen Kompromiss oder einen legalen Kauf. Als Nächstes muss ein Domänenname erworben und registriert werden, sofern dieser für die C2-Kommunikation erforderlich ist. Anschließend muss die Software installiert, die Konfigurationen optimiert, Transport Layer Security (TLS)-Zertifikate registriert (sofern zutreffend) und Dateien zum Server hinzugefügt werden. Die Akteure müssen per Panel-Login, Secure Shell (SSH) oder Remote Desktop Protocol (RDP) darauf zugreifen und dann den Malware-Controller auf einem Port freigeben, um die Datenübertragung vom Opfer zu ermöglichen und Befehle an Infektionen zu verteilen. (Je nach Vorgang können auch zusätzliche Maßnahmen erforderlich sein.) Erst wenn diese Schritte abgeschlossen sind, kann der Server für böswillige Zwecke verwendet werden.

2022_Gegner-Infrastrukturbericht_Abbildung_1.png

Abbildung 1: Lebenszyklus der C2-Waffe (Quelle: Recorded Future)

Beim Einrichten, Konfigurieren und Zugreifen auf den Server hinterlässt der Angreifer jedoch Artefakte, die erkennbar sind, bevor der Server in einer Phishing-Kampagne oder mit einem bösartigen Tool verwendet wird. Diese Artefakte bieten Verteidigern Erkennungsmöglichkeiten und umfassen auf dem Server bereitgestellte Softwareversionen, das Anmeldefenster, TLS-Zertifikatsmuster oder die von einer einfachen Abfrage zurückgegebene Standardnachricht.

Die Erkennung von C2-Servern von ihrer Erstellung bis zu ihrer Aktivierung bietet Einblicke in die Art und Weise, wie Angreifer bösartige Kampagnen durchführen. Das beinhaltet:

Ein Hinweis zur Sammlungsverzerrung

Recorded Future sammelt Informationen über C2-Server, die überwiegend auf Merkmalen bekannter Malware-Familien und deren serverseitiger Software basieren. Der Schwerpunkt dieser Sammlung liegt auf der Identifizierung bekannter Befehls- und Kontrollrahmen und deren Derivate oder unterstützende Infrastruktur und umfasst passive und aktive Internet-Scandaten. Wir überprüfen nur dann, ob es sich bei einer IP-Adresse um einen C2-Server handelt, wenn es Beweise für böswillige Aktivitäten von C2 gibt. Deshalb werden wir bei der Meldung von Servern mit bekannten Bedrohungen voreingenommen sein und bei der Datenerfassung eine Voreingenommenheit gegenüber diesen Servern zeigen. Diese Methode sollte nicht als Ersatz für die Identifizierung von Anomalien oder das Erkennen von ungewöhnlichem Datenverkehr innerhalb eines Netzwerks dienen.

Bedrohungsanalyse

Unsere Top-5-Beobachtungen zur C2-Familie werden nicht von einer einzelnen Malware-Kategorie dominiert, sondern weisen stattdessen einen Mix aus Post-Exploitation-Frameworks (Cobalt Strike), Remote-Access-Tools/Backdoors (PlugX, DarkComet) und Botnets (Emotet) auf.

2022_Gegner-Infrastrukturbericht_Abbildung_2.png

Abbildung 2: 3-Jahres-Trends für die Top 5 C2s, beobachtet von Recorded Future (Quelle: Recorded Future)

Ein genauerer Blick auf die Top-5-Familien der letzten drei Jahre zeigt den kontinuierlichen Anstieg der Anzahl der von uns identifizierten Cobalt Strike-, Meterpreter- und PlugX-Server, trotz des Alters dieser Tools. Unsere Erkennung für Emotet ist seit etwa einem Jahr aktiv und der Anzahl der von uns beobachteten Erkennungen zufolge ist Emotet tatsächlich wieder voll einsatzfähig. DarkComet bleibt relevant, wie der Anstieg von ~47 % gegenüber dem Vorjahr zeigt. Jedes Jahr werden neue Malware- und Red-Teaming-Tools veröffentlicht. Allerdings beobachten wir, dass diese im Vergleich zu etablierten Tools der vorherigen Generation weniger genutzt werden, wie aus Abbildung 2 hervorgeht.

2022_Gegner-Infrastrukturbericht_Abbildung_3.png

Abbildung 3: Gesamtzahl der C2-Erkennungen nach Malware-Familie aus Sicht von Recorded Future (Quelle: Recorded Future)

Wenn wir den Umfang auf die Top 20 der C2-Erkennungen ausweiten, sehen wir eine umfassendere C2-Umgebung, die neben gängigen Systemen wie PlugX, AsyncRAT, IcedID und DarkComet auch neue Familien wie Brute Ratel (BRc4) und BumbleBee umfasst. Für das Jahr 2021 prognostizierten wir, dass „sich das C2-Umfeld weiter diversifizieren wird. Da neue Malware-Familien und C2-Frameworks veröffentlicht werden, gehen wir davon aus, dass ein Teil von ihnen über Threat-Intelligence-Maßnahmen informiert ist, um ihre Server zu scannen und zu erkennen.“ Zwar haben wir im Jahr 2022 einen deutlichen Anstieg der Anzahl von C2s beobachtet, die wir für Tools außerhalb der Top 5 und Top 20 des letzten Jahres entdeckt haben, der größte Teil des Anstiegs in diesem Jahr ist jedoch auf die Verwendung „etablierter“ Tools wie PlugX, Remcos, DarkComet und QuasarRAT durch eine größere Anzahl von Akteuren zurückzuführen. Die Top 6 Tools in unserem Datensatz mit erhöhter Nutzung im Jahr 2022 im Vergleich zu 2021 waren:

  1. PlugX (51 % Steigerung)
  2. Remcos (51 % Steigerung)
  3. DarkComet (44 % Steigerung)
  4. QuasarRAT (40 % Steigerung)
  5. Mythisch (33 % Steigerung)
  6. AsyncRAT (24 % Steigerung)

Wir glauben, dass dieser hohe Einsatz von Standardtools darauf hinweist, dass es einem zunehmenden Prozentsatz von Bedrohungsakteuren mehr darum geht, sich unauffällig zu verhalten und nicht zuzuordnen, als darum, nicht entdeckt zu werden. Oder sie haben einfach festgestellt, dass ihre Ziele selbst diese wohlbekannten Tools wahrscheinlich nicht erkennen. Angesichts der Kosten und des erforderlichen Fachwissens für die Entwicklung maßgeschneiderter Tools ziehen es Bedrohungsakteure möglicherweise vor, Standardtools zu kaufen oder kostenlose Open-Source-Tools zu verwenden.

Beispielsweise bietet die Verwendung von BRc4 mehr Umgehungstechniken für Endpoint Detection and Response (EDR), birgt aufgrund der kleineren Benutzerbasis jedoch auch ein höheres Risiko hinsichtlich der Zuordnung. DarkComet hingegen ist möglicherweise nicht so heimlich oder ausweichend, ist jedoch ein Open-Source-RAT, das von vielen Bedrohungsakteuren verwendet wird.

Themen für gegnerische Infrastrukturen 2022

Bei der Gesamtbetrachtung unserer C2-Beobachtungen haben wir drei Topthemen für 2022 identifiziert:

  1. PlugX bleibt trotz Nachfolger erfolgreich: PlugX wird immer noch häufig verwendet, obwohl ShadowPad als dessen „Nachfolger“ angepriesen wird.
  2. Zurück zu den Bots (immer wieder): Zwar sind sie nicht ganz so weit verbreitet wie 2021, aber mehrere Botnetze sind immer noch sehr aktiv; Emotet, IcedID, QakBot, Dridex und TrickBot haben es 2022 alle in die Top 20 geschafft.
  3. Russland, Brennen nach dem Lesen: Die Grenzen der Russland zugeschriebenen C2-Erkennungen.
PlugX bleibt trotz Nachfolger erfolgreich

In unserem Adversary Infrastructure-Bericht 2020 haben wir auf einen Artikel von Doctor Web verwiesen, in dem ShadowPad als Nachfolger von PlugX beschrieben wurde . Obwohl ShadowPad von mehreren staatlich geförderten chinesischen Gruppen zunehmend genutzt wird, konnten wir auch nach 2020 weiterhin PlugX-Infektionen beobachten (Recorded Future verfolgt die Infrastruktur, die die ShadowPad-Controller verwaltet, als AXIOMATICASYMPTOTE). Im Jahr 2022 wird PlugX weiterhin genutzt und hat sogar zugenommen, wie die folgende Grafik zeigt.

2022_Gegner-Infrastrukturbericht_Abbildung_4.png

Abbildung 4: Anzahl der in den letzten 12 Monaten erkannten PlugX- und AXIOMATICASYMPTOTE-C2s (Quelle: Recorded Future)

PlugX wurde im letzten Jahrzehnt hauptsächlich von Bedrohungsakteuren mit Sitz in China verwendet. Wie Airbus 2015 berichtete , ist ein Hersteller einer früheren PlugX-Variante an die Öffentlichkeit gelangt. Dies deutet darauf hin, dass die Nutzung von PlugX im Vergleich zu ShadowPad, das vermutlich privat an eine begrenzte Anzahl staatlich geförderter chinesischer Bedrohungsakteure verkauft wird, weniger streng kontrolliert wird. Wir verfolgen aktiv PlugX-Varianten, die den Bedrohungsakteurgruppen RedDelta und RedFoxtrot zugeschrieben werden.

Zurück zu Bots (immer wieder)

Im Jahr 2021 stellten wir nach der Abschaltung von Emotet einen starken Anstieg der Botnet-Aktivität fest, wobei TrickBot, QakBot, Bazar, IcedID und Dridex die Mehrheit der von uns erkannten C2s ausmachten. Im Jahr 2022 dominierten Botnetze zwar nicht unsere C2-Daten, waren aber dennoch in unseren Top-5- und Top-20-Listen vertreten. Wie in Abbildung 5 dargestellt, sind Dridex, Emotet, IcedID, QakBot und TrickBot die Botnet-Familien mit den meisten C2-Erkennungen in diesem Jahr.

2022_Gegner-Infrastrukturbericht_Abbildung_5.png

Abbildung 5: Vergleich der erkannten Dridex-, Emotet-, IcedID-, QakBot- und TrickBot-C2s (Quelle: Recorded Future)

TrickBot und Dridex
Wir beobachteten einen Anstieg der Anzahl der im Oktober 2021 erkannten TrickBot-C2s (194 aktive C2s), bevor die Malware einige Monate später inaktiv wurde. Auch die Aktivität von Dridex blieb stabil und lag zwischen 45 und 80 aktiven C2s pro Monat, bis es im Juni 2022 zu einem Anstieg kam (150 aktive C2s), bevor die Malware inaktiv wurde.

Die TrickBot-Aktivität steht im Einklang mit Berichten vom Anfang dieses Jahres, in denen darauf hingewiesen wurde, dass die TrickBot-Betreiber den Einsatz der TrickBot-Malware schrittweise einstellen. Bei Dridex korreliert die erhöhte Nutzung im März bis zum Spitzenwert im Juni mit Meldungen über die Verwendung von Dridex in RIG-Exploit-Kits. Der plötzliche Ruhezustand von Dridex könnte auch ein Hinweis darauf sein, dass das Botnetz aufgrund der Verbreitung von IcedID und QakBot und der Wiederauferstehung von Emotet insgesamt übertroffen wird.

QakBot
Die Anzahl der beobachteten QakBot-C2s war Ende letzten Jahres und bis in dieses Jahr hinein mit durchschnittlich 10 aktiven C2s pro Monat relativ gering. Seit März 2022 haben wir einen deutlichen Anstieg der Anzahl der erkannten QakBot C2s beobachtet, wobei der höchste Wert bei 90 aktiven C2s im September 2022 lag. Zuletzt wurde bei SentinelOne QakBot verwendet, um Black Basta-Ransomware zu verbreiten .

EisigeID
Bis Mai 2022 haben wir bei IcedID 30 bis 60 aktive C2s pro Monat beobachtet. Ab Mai sehen wir einen Anstieg auf 102 und einen weiteren stetigen Anstieg auf 178 aktive C2s im September 2022. Die folgenden wichtigen Ereignisse können zu diesen Preissteigerungen beitragen:

Emotet
Nach der Abschaltung der Emotet-Infrastruktur Anfang 2021 und einer langen Aktivitätspause gab es Spekulationen, dass Emotet seinen Betrieb dauerhaft einstellen könnte; dies erwies sich als falsch. Emotet kehrte Ende 2021 zurück, Berichten zufolge in Abstimmung mit der Conti-Ransomware-Operation. Das frühe Wiederaufleben von Emotet war Berichten zufolge auf eine Wiederverwendung der TrickBot-Infrastruktur zurückzuführen. Zufällig können wir in Abbildung 5 sehen, dass Emotet mit der gleichen Anzahl aktiver C2s beginnt, die wir für TrickBot verfolgt haben, kurz bevor dieser seinen Betrieb einstellte.

Obwohl das Volumen der Emotet-C2s Ende 2021 und Anfang 2022 relativ gering war, beobachteten wir im Mai 2022 einen starken Anstieg mit über 1.200 aktiven C2s. In einem Bericht von Netskope Threat Labs werden in diesem Zeitraum zwei aktive Kampagnen erwähnt, die LNK- Dateien und Microsoft Office-Dokumente zur Verbreitung von Emotet nutzten.

Im Juni fielen die Zahlen wieder auf einen niedrigen Wert, bis sie im Juli 2022 wieder anstiegen. Die Zahl der derzeit beobachteten aktiven Emotet-C2s entspricht mit etwas über 1.000 aktiven C2s im September 2022 fast dem Niveau des Anstiegs im Mai. Der jüngste Anstieg aktiver C2s von Emotet seit Juli 2022 unterstützt die neuesten Berichte zu Emotet:

Russland, Brennen nach der Lektüre

Unseren Beobachtungen zufolge verwenden russische staatliche Akteure im Vergleich zu anderen staatlich geförderten Operationen häufig eine bessere Betriebssicherheit für die C2-Infrastruktur. Sie verwenden beispielsweise oft Methoden wie den Betrieb von C2-Servern auf 1:1-Basis und interagieren somit nur mit Implantaten einer einzigen Zielorganisation. Wir beobachten auch, dass ihre C2-Infrastruktur oft schnell abgetan wird, wenn öffentlich darüber berichtet wird. Einige vom russischen Staat gesponserte Akteure stehen zudem an der Spitze des allgemeinen Trends staatlicher Akteure, immer mehr auf die Verwendung gängiger Schadsoftware und beliebter C2-Frameworks umzusteigen. Wenn Bedrohungsakteure gängige Standardsoftware für Spionageoperationen ausnutzen, kann dies die Zuordnung für Forscher und Ermittler erschweren.

Im Gegensatz dazu gehen die China, dem Iran und einigen anderen Staaten zugeschriebenen Machenschaften hinsichtlich der Sicherheit ihrer Schadsoftware und ihrer Infrastruktur oft unvorsichtig vor. Sie verwenden spezielle C2s für zahlreiche Ziele und erst nach der Veröffentlichung, oder sie verwenden jahrelang im Wesentlichen dieselbe Schadsoftware (wie etwa PlugX), während sie diese auf mehrere operative Teams verteilen.

Häufige Veränderungen in der vom russischen Staat geförderten C2-Infrastruktur können die Verfolgung bestimmter Operationen erschweren. GRAVITYWELL, die Recorded Future-Bezeichnung für Servertechnologie und TLS-Zertifikatskonfiguration, die häufig zum Hosten der mit dem russischen Auslandsgeheimdienst (SVR) verknüpften WellMess-Hintertür verwendet wird, ist ein Beispiel für eine solche flüchtige Infrastruktur.

Wir haben GRAVITYWELL durch mehrere Phasen verfolgt. Zwischen diesen Phasen haben wir kurz nach der öffentlichen Bekanntgabe der GRAVITYWELL-Aktivitäten deutliche Veränderungen in der Infrastruktur beobachtet.

Im Juli 2020 veröffentlichte das britische National Cyber Security Centre (NCSC) einen Bericht über APT29-Operationen mit WellMess. Der Bericht umfasste die C2-Infrastruktur, die nachweislich in der Kampagne verwendet wurde. Im August 2020 wurde diese Infrastruktur durch einen neuen Satz C2s ersetzt, die anhand von TLS-Zertifikatsmustern identifiziert werden konnten, die sich von denen der vorherigen Phase der Kampagne unterschieden. Im Juli 2021 wurde ein RiskIQ-Bericht veröffentlicht, der mehr als 30 C2-Server identifizierte, die TLS-Zertifikatsdetails bereitstellten. Wie schon im Jahr zuvor wurden innerhalb eines Monats nach Veröffentlichung des Berichts Änderungen bei diesen C2s beobachtet.

2022_Gegner-Infrastrukturbericht_Abbildung_6.png

Abbildung 6: Zeitleiste der öffentlichen Berichterstattung zu GRAVITYWELL und Infrastrukturänderungen (Quelle: Recorded Future)

Post-Exploitation-Frameworks

Es lässt sich nur schwer abschätzen, welcher Prozentsatz der von uns entdeckten Post-Exploitation-Frameworks in legitimen Red-Teaming-Operationen und welche von kriminellen oder Spionageelementen verwendet werden. Insgesamt können Volumenänderungen neben der Übernahme in verschiedene Betriebsabläufe auch auf verbesserte Signaturen und erhöhte Erhebungsbemühungen zurückzuführen sein.

2022_Gegner-Infrastrukturbericht_Abbildung_7.png

Abbildung 7: C2-Beobachtungen für offensive Sicherheitstools in den letzten 3 Jahren (Quelle: Recorded Future)

Ein Vergleich der zehn wichtigsten offensiven Sicherheitstools, die wir im vergangenen Jahr beobachtet haben, mit den beiden Vorjahren zeigt eines ganz klar: Die Cobalt Strike C2-Aktivität nimmt weiterhin rasant zu. Cobalt Strike ist für eine Reihe von Akteuren eindeutig das bevorzugte offensive Sicherheitstool, und die Erkennungsrate von Cobalt Strike hat im letzten Jahr deutlich zugenommen. Wir führen die Verdoppelung auf die Vielzahl der Erkennungen, die Dauer ihrer Ausführung und die Anzahl der Akteure zurück, die Cobalt Strike verwenden.

Zu den weiteren Frameworks in unseren Top 10 mit erhöhtem Volumen zählen Covenant, Mythic und Metasploit/Meterpreter (diese beiden wurden in diesem Jahr kombiniert); bei keinem von ihnen ist der Sprung so stark gewachsen wie bei Cobalt Strike. Das Open-Source- Projekt von Covenant wurde seit 2021 nicht mehr aktualisiert, erfreut sich jedoch weiterhin zunehmender Nutzung. Mythic erhält weiterhin Updates seiner Codebasis. Einige Mythic-Infrastrukturen verweisen auf den Namen Botleggers Club, der auch in den Conti Leaks erwähnt wird, was darauf schließen lässt, dass zumindest einige Ransomware-Betreiber ihn verwendet haben.

Sowohl Brute Ratel (BRc4) als auch BeEF erhalten dieses Jahr eine lobende Erwähnung, da ihre Erkennungsraten noch nicht hoch genug waren, um es in die Top 10 zu schaffen. Der Entwickler hinter BRc4, der über einen Hintergrund in der EDR-Entwicklung verfügt, ist bestrebt, die Erkennung des Tools zu erschweren, indem er gezielt die Funktionsweise von EDRs beeinflusst, um eine Erkennung zu verhindern. Eine Version von BRc4 wurde geknackt und verbreitet sich auch in der kriminellen Unterwelt. Sie wurde auch bei der Verwendung durch die Black Basta-Ransomware-Bande beobachtet .

Globaler Maßstab

Wir haben im Jahr 2022 30 % mehr C2-Server (17.233) im Vergleich zu 2021 (13.268) entdeckt. Dies ist das Ergebnis der Entwicklung von Erkennungsfunktionen für neue Malware-Familien, von Verbesserungen bei der Erkennung bestehender Malware-Familien und einer verstärkten Nutzung von Tools, für die wir Erkennungsfunktionen haben, wie etwa Cobalt Strike, Meterpreter und PlugX.

Wir haben den Aufbau der C2-Infrastruktur bei 1.419 Hosting-Anbietern in 116 verschiedenen Ländern beobachtet. Dies stellt zwar einen Großteil der weltweiten Geografie dar, die missbrauchten Server machen jedoch nur einen kleinen Prozentsatz aller Betreiber autonomer Systeme (AS) aus, die über 70.000 Anbieter umfassen.

2022_Gegner-Infrastrukturbericht_Abbildung_8.png

Abbildung 8: C2-Beobachtungen nach Land (identifiziert durch den Standort der autonomen Systemnummer [ASN]) (Quelle: Recorded Future)

Während es leichte Änderungen in der Rangfolge gab, blieb die Zusammensetzung der Top 10 der C2-Hosting-Anbieter nach Volumen seit 2021 weitgehend unverändert; lediglich das in Singapur ansässige BGPNET Global (AS64050) schied aufgrund eines Rückgangs von 181 auf 147 C2s aus und wurde durch Alibaba (US) Technology Co., Ltd. ersetzt. Insgesamt verzeichneten alle Top-10-C2-Hosting-Anbieter einen erheblichen Anstieg der Zahl der erkannten C2-Server, wobei vier von ihnen zwischen 2021 und 2022 einen Anstieg von über 50 % verzeichneten.

Top 10 C2-Hosting-Anbieter nach Volumen
Hosting-Anbieter
ASN
Land
C2s insgesamt (2021)
C2s insgesamt (2022)
Steigerung im Jahresvergleich
Shenzhen Tencent Computer Systems
AS45090
China
571
2297
3.02
DigitalOcean, LLC
AS14061
Vereinigte Staaten
968
1421
0,48
Amazon.com, Inc.
AS16509
Vereinigte Staaten
624
1156
0,85
Hangzhou Alibaba Werbegesellschaft, Ltd.
AS37963
China
574
1126
0,96
Die Constant Company, LLC
AS20473
Vereinigte Staaten
700
834
0,19
Microsoft Corporation
AS8075
Vereinigte Staaten
205
411
1
OVH SAS
AS16276
Frankreich
267
338
0,27
Linode, LLC
AS63949
Vereinigte Staaten
208
291
0,4
M247 GmbH
AS9009
Vereinigte Staaten
171
228
0,33
Alibaba (USA) Technology Co., Ltd.
AS45102
Vereinigte Staaten
95
192
1.02

Tabelle 1: Top-C2-Hosting-Anbieter nach Volumen der C2-Server im Jahr 2022 und im Vergleich zu 2021

Tabelle 2 zeigt, dass die Top-5-Malware-Familien einen großen Prozentsatz der C2-Server bei den Top-10-Hosting-Anbietern ausmachten; unsere Top-5-Malware-Familien machten mindestens 80 % aller C2-Server aus, die bei der Hälfte der Top-10-Hosting-Anbieter erkannt wurden. Die Spalte „Top-Malware %“ gibt den Prozentsatz der C2-Erkennungen wieder, den die Top-5-Malware-Familien zu den gesamten C2-Erkennungen für den Hosting-Anbieter beigetragen haben.

Top 5 Malware-Familien von C2-Hosting-Anbietern
Hosting-Anbieter
Top Familien
C2s insgesamt
Top-Malware in %
Shenzhen Tencent Computer Systems
Cobalt Strike, Meterpreter, AXIOMATICASYMPTOTE, Metasploit, PlugX
2178
95 %
Hangzhou Alibaba Werbegesellschaft, Ltd.
Cobalt Strike, Meterpreter, Sliver, PupyRAT, XtremeRAT
1041
92 %
DigitalOcean, LLC
Cobalt Strike, YerLoader, IcedID, Meterpreter, Mythisch
935
66 %
Amazon.com, Inc.
Kobaltschlag, Meterpreter, Koadic, Splitter, Gh0st RAT
668
58 %
Die Constant Company, LLC
Cobalt Strike, PlugX, AXIOMATICASYMPTOTE, Meterpreter, QakBot
669
80 %
Microsoft Corporation
Cobalt Strike, Cerberus, Meterpreter, DarkComet, Empire Powershell
290
71 %
M247 GmbH
Cobalt Strike, BumbleBee, IcedID, Meterpreter, PlugX
200
88 %
OVH SAS
Cobalt Strike, BumbleBee, IcedID, Meterpreter, NanoCore RAT
178
53 %
Alibaba (USA) Technology Co., Ltd.
Cobalt Strike, Meterpreter, XtremeRAT, AXIOMATICASYMPTOTE, CROSSWALK
159
83 %
Linode, LLC
Cobalt Strike, Meterpreter, AXIOMATICASYMPTOTE, Mythisch, PlugX
125
43 %

Tabelle 2: Top-Malware-Familien von C2-Hosting-Anbietern im Jahr 2022

Cobalt Strike ist die Top-Malware-Familie bei allen Hosting-Anbietern in Tabelle 2, in vielen Fällen gefolgt von Meterpreter. AXIOMATICASYMPTOTE und PlugX sind normalerweise bei denselben Hosting-Anbietern zu finden. 26 % der BumbleBee-Erkennungen von Recorded Future erfolgten auf M247 Ltd und OVH SAS, während 57 % der Cerberus-Erkennungen auf der Infrastruktur der Microsoft Corporation gefunden wurden.

Zwar verfügen diese Hosting-Anbieter über die größte Zahl an C2-Servern, doch stellten die C2-Server nur einen verschwindend geringen Prozentsatz der Gesamtzahl der Server dar, die ihrer Gerichtsbarkeit unterstehen. Tabelle 3 zeigt die 10 Anbieter mit dem höchsten Prozentsatz an C2-Servern im Vergleich zu ihrem Gesamtbestand. Diese Schätzung basiert auf der Anzahl der vom AS angekündigten IPv4-Präfixe im Vergleich zu den im Jahr 2022 beobachteten bestätigten C2-Servern.

Hosting-Anbieter mit dem höchsten Anteil gehosteter C2s
Hosting-Anbieter
ASN
Land
Top-Erkennung
% der gehosteten Server sind C2s
UAB Cherry Servers
AS59642
Litauen
Kobaltschlag
3,91 %
SteamVPS SRL
AS50578
Rumänien
EisigeID
2,73 %
KURUN CLOUD INC
AS395886
Vereinigte Staaten
Kobaltschlag
2,34 %
Flyservers SA
AS48721
Panama
Kobaltschlag
1,56 %
HDTIDC LIMITED
AS136038
Hongkong
Wandernde Gottesanbeterin
1,20 %
Internationale Hosting-Lösungen LLP
AS213354
Vereinigtes Königreich
YerLoader
1,17 %
Flyservers SA
AS209588
Panama
Kobaltschlag
0,95 %
Chang Way Technologies Co. Limited
AS57523
Hongkong
Kobaltschlag
0,91 %
BL-Netzwerke
AS399629
Vereinigte Staaten
Kobaltschlag
0,80 %
BlueVPS OU
AS62005
Estland
EisigeID
0,78 %

Tabelle 3: Hosting-Anbieter, die im Jahr 2022 den höchsten Prozentsatz an C2-Servern im Vergleich zur Gesamtzahl der Server gehostet haben

Ausblick

Im Jahr 2023 würde man wahrscheinlich vorhersagen, dass Cobalt Strike und Botnetze immer noch den Großteil unserer C2-Beobachtungen ausmachen werden. Wir gehen zwar davon aus, dass Cobalt Strike auch im nächsten Jahr unter unseren Top-5-Erkennungen bleibt, prognostizieren jedoch keine weitere Verdoppelung. Wir glauben, dass die Nutzung von Cobalt Strike durch die Nutzung von BRc4 kannibalisiert wird. Infolgedessen prognostizieren wir, dass die Nutzung von BRc4 und die Erkennung von C2 zunehmen werden, da Bedrohungsakteure zunehmend auf BRc4 umsteigen, da es für EDR-Agenten weniger gut erkennbar ist und eine leistungsfähige Alternative zu Cobalt Strike darstellt. Es ist auch denkbar, dass es zu einer Zunahme von C2-Beobachtungen im Zusammenhang mit Nischen-C2-Tools wie Sliver, DeimosC2, Alchimist und Manjusaka kommen wird.

Wir sehen bereits, dass Malware-Familien wie Redline Stealer, QakBot und Nanocore trotz der Verwendung zufälliger und nicht standardmäßiger Ports erfolgreich sind. Dies verhindert herkömmliches, vollständiges Internet-Scannen, da es nicht möglich ist, alle möglichen nicht standardmäßigen Ports im gesamten IPv4-Bereich zu scannen. Obwohl man früher davon ausging, dass sie leichter zu erkennen seien, scheint die Verwendung von High-Ports immer noch ein geeigneter C2-Kommunikationskanal zu sein, und wir gehen davon aus, dass mehr C2-Betreiber High-Ports für ihre C2-Kommunikation verwenden werden.

Im Juni 2022 erläuterte ShadowServer seine Methodik zum Scannen des IPv6-Internetbereichs. Wir gehen davon aus, dass immer mehr Organisationen, darunter auch Recorded Future, ihre IPv6-Scans verstärken werden, was zu mehr IPv6-C2-Erkennungen führen wird. Obwohl nicht überall darüber berichtet wird, gibt es Schadsoftware, die über eine IPv6-Verbindung kommuniziert, wie zum Beispiel VirtualPie, über das Mandiant berichtet .