>
Research (Insikt)

Im Gespräch mit RATs: Bewertung des Unternehmensrisikos durch Analyse von RAS-Trojaner-Infektionen

Veröffentlicht: 14. März 2019
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Recorded Future analysierte die Netzwerkkommunikation im Zusammenhang mit einer Auswahl von RAT-Befehls- und Kontrollservern über mehrere Malware-Familien hinweg, um Profile der gezielt angegriffenen Organisationen und Sektoren zu erstellen. Dieser Bericht basiert auf Daten der Recorded FutureⓇ-Plattform, VirusTotal, Farsight DNS, Shodan, GreyNoise und anderen OSINT-Techniken.

Dieser Bericht ist vor allem für Netzwerkschützer und Risikoexperten in Unternehmen von großem Nutzen, die sich über die Risiken Sorgen machen, die von ihrer Lieferkette zu Drittanbietern ausgehen. Weitere Informationen dazu, wie Sie Recorded Future zur Überwachung und Untersuchung von Drittanbieterrisiken nutzen können, finden Sie in unserem neuen Angebot zu Drittanbieterrisiken. Diese Bewertung nutzt die Daten hinter unseren neuen Risikoregeln für die Netzwerkverkehrsanalyse im Hinblick auf Drittanbieterrisiken, um umsetzbare Erkenntnisse zu generieren.

Executive Summary

Remote Access Trojaner (RATs) auf einem Unternehmenssystem können als wichtiger Dreh- und Angelpunkt für den seitlichen Zugriff auf Informationen innerhalb eines Unternehmensnetzwerks dienen. Durch die Analyse der Netzwerkmetadaten konnten die Analysten von Recorded Future RAT-Command-and-Control-Server (C2) identifizieren und – noch wichtiger – feststellen, welche Unternehmensnetzwerke mit diesen Controllern kommunizierten. Mit diesem Ansatz kann Recorded Future Einblicke in Drittorganisationen gewähren, auf die sich unsere Kunden möglicherweise verlassen, und so ein besseres Verständnis der potenziellen Risiken Dritter für ihre eigenen Daten ermöglichen.

Die Insikt Group nutzte das gemeinsame Projekt Recorded Future und Shodan Malware Hunter und die Recorded Future-Plattform, um zwischen dem 2. Dezember 2018 und dem 9. Januar 2019 aktive Malware-Controller für 14 Malware-Familien zu identifizieren. Anschließend konzentrierten wir unsere Analyse auf eine Teilmenge von Schadsoftware – Emotet, Xtreme RAT und ZeroAccess –, um ein Profil der RAT-Kommunikation von Drittorganisationen mit den Controllern zu erstellen.

Wichtige Urteile

  • Die Mehrheit der Emotet-Controller wurde auf IPs in lateinamerikanischen Ländern aufgelöst.
  • Ein erheblicher Anteil der infizierten Emotet-Hosts hatte seinen Sitz in Lateinamerika, was die Beobachtungen der Community bestätigt, dass es Ende 2018 zu einem Anstieg der Emotet-Aktivitäten kam, die auf südamerikanische Unternehmen abzielten. Zu den infizierten Wirten zählen Unternehmen aus den Bereichen Automobil, Finanzen, Energie, Bau, Einzelhandel und Unterhaltung, Logistik und Technologie.
  • Infizierte Xtreme RAT-Hosts wurden in folgenden Bereichen identifiziert:
    • Ein Videospielunternehmen und ein Versorgungsunternehmen in Europa
    • Telekommunikationsunternehmen im Nahen Osten, Südasien und Ostasien
    • Ein Industriekonglomerat und ein IT-Unternehmen in Ostasien

RAT-Unternehmensrisikobewertung-11-2.png

Hintergrund

Öffentliche und private Organisationen auf der ganzen Welt sind weiterhin Opfer digitaler Angriffe und Nachrichten über schwerwiegende Sicherheitsverletzungen sind beinahe an der Tagesordnung. In seinem Jahresbericht 2018 berichtete das britische NCSC, dass es zwischen dem 1. September 2017 und dem 31. August 2018 557 Vorfälle direkt bearbeitet habe, was das Ausmaß des Problems allein in Großbritannien verdeutlicht.

Bei Angriffen kommen häufig RATs zum Einsatz, die es Angreifern ermöglichen, unrechtmäßig die Kontrolle über ein Hostgerät zu erlangen. Bei RATs handelt es sich um funktionsreiche Software, die im Allgemeinen von Angreifern für Aktivitäten wie Keylogging, Dateiextraktion, Aufzeichnen von Audio- und Videodaten des Hosts und mehr verwendet wird.

Ein erheblicher Anteil dieser Angriffe wird mithilfe handelsüblicher RATs wie DarkTrack RAT, Xtreme RAT oder ZeroAccess durchgeführt. Die Motivationen der Angreifer reichen dabei von finanziellem Gewinn bis hin zur Steigerung der Glaubwürdigkeit innerhalb der Hacker-Communitys. Viele Administratoren von Hackerforen verlangen von neuen Mitgliedern einen Nachweis ihrer „Fähigkeiten“, um in das Forum aufgenommen zu werden. Die für die Verwendung herkömmlicher RATs erforderlichen relativ geringen technischen Kenntnisse und die umfangreiche Online-Dokumentation machen sie daher für unerfahrene Hacker äußerst attraktiv.

Am anderen Ende des Spektrums stehen staatlich unterstützte Advanced Persistent Threat (APT)-Gruppen und hochentwickelte kriminelle Gruppen, die möglicherweise ausgefeiltere Malware-Kampagnen durchführen, um ihre operativen Ziele zu erreichen. APTs verwenden weiterhin RATs, da sie einfach zu konfigurieren, zu ändern und zu verwenden sind. Zusammen mit ihrer relativen Effektivität gegenüber Antivirensoftware und der Möglichkeit, die Zuordnung durch „Verstecken im Rauschen“ zu erschweren, sorgt dies dafür, dass RATs weiterhin von APTs und Cyberkriminellen verwendet werden.

Cyberkriminelle sind häufig gezwungen, innovative Tools und Schadsoftware zu entwickeln, um ihre meist finanziell motivierten Ziele zu erreichen. Da RATs und andere von Cyberkriminellen eingesetzte Schadsoftware durch polizeiliche Maßnahmen gestört oder ihre Methoden durch koordinierte Brancheninitiativen entschärft werden, ist manchmal eine Änderung der Methodik oder sogar des Geschäftsmodells erzwungen. Dies war bei den Akteuren hinter Emotet der Fall.

Emotet hat sich von einem Banking-Trojaner, der auf europäische Bankkunden abzielte, zu einer modularisierten Plattform zur Bereitstellung von Malware entwickelt. Im Jahr 2018 wurden mehrere spektakuläre Kampagnen durchgeführt. Emotet ist ein sich selbst verbreitender Trojaner und eine besonders virulente Schadsoftware, die netzwerkwurmähnliche Eigenschaften aufweist und dadurch in der Lage ist, ein beträchtliches Botnetz aus infizierten Opfern aufzubauen.

Analytischer Ansatz

Die Forscher von Recorded Future identifizierten eine Vielzahl von RAT- und Emotet-Controllern, die aus Bedrohungslisten in der Recorded Future-Plattform abgeleitet wurden, und verwendeten Netzwerkmetadaten, um die Kommunikation der Opfer mit den RAT-C2-IPs zu identifizieren. Die Bedrohungslisten enthielten Daten von:

  1. Recorded Futures gemeinsam mit Shodan entwickelte Funktion Malware Hunter1
  2. Die Abuse.ch Feodo Malware-Familie (auch bekannt als Dridex oder Emotet/Heodo) Blockliste

Anmerkung des Herausgebers: Aufgrund technischer Einschränkungen des Erfassungsmechanismus spiegelt die Anzahl der mit Malware Hunter identifizierten C2s nicht die tatsächliche Anzahl der weltweit vorhandenen C2s für jede in dieser Untersuchung analysierte Malware-Familie wider. Daher konzentriert sich diese Analyse auf die Methodik zur Identifizierung infizierter Clients mithilfe von Recorded Future, um über Risiken Dritter zu informieren.

Für unsere Untersuchung haben wir im Zeitraum vom 2. Dezember 2018 bis 8. Januar 2019 nach aktiven Controllern für die folgenden Malware-Familien gesucht:

  • Bozok RAT
  • Nanokern
  • Giftiger Efeu
  • Caféini
  • NetBus
  • ProRAT
  • Dunkler Komet
  • njRAT
  • Xtreme RAT
  • DarkTrack RAT
  • Nukleare RAT
  • Nullzugriff
  • Emotet
  • Orcus RAT

Anschließend analysierten wir die Netzwerkkommunikation für eine Teilmenge dieser Controller aus Opferorganisationen. Durch die Filterung wurde vermieden, dass Organisationen, die Internet-Hosting-Dienste für andere Organisationen bereitstellen, als direkte Opfer identifiziert wurden. Internet-Scanner wurden, sofern erkennbar, weggelassen. Diese Analyse basiert auf der Beobachtung von Verbindungen, die auf eine bestimmte Art und Weise zu als bösartig identifizierten Servern hergestellt werden. Es besteht die Möglichkeit, dass solche Verbindungen von Forschern oder anderen Personen hergestellt wurden, die in Wirklichkeit keine Opfer sind.

RAT-Unternehmensrisikobewertung-1-1.png

Aufschlüsselung der aktiven C2s nach identifizierter Malware-Familie (Gesamtstichprobengröße der erkannten C2s: 481).

Wir haben unsere Analyse auf Emotet-, Xtreme RAT- und ZeroAccess-Controller konzentriert, um die RAT-Kommunikation mit wahrscheinlich infizierten Hosts innerhalb der Infrastruktur kommerzieller Organisationen zu profilieren.

Das Drittparteirisikomodul von Recorded Future

Nach der Einführung des Third-Party Risk-Moduls von Recorded Future haben wir zusätzliche Funktionen integriert, die es Unternehmen ermöglichen, die Cyberrisiken zu bewerten, die von Firmen in ihrer Lieferkette, von Partnern und von ihnen selbst ausgehen. Mit Third-Party Risk können Sie die Integrität Ihres Drittanbieter-Ökosystems überwachen, die von Unternehmen ausgehenden Risiken untersuchen und bei Änderungen in der Bedrohungsumgebung der für Sie interessanten Unternehmen Warnmeldungen erhalten. Die Analyse in diesem Bericht wurde unter Verwendung derselben Datenquellen durchgeführt, die wir zur Information über Risikofaktoren und Kennzahlen Dritter in unserem neuen Modul verwenden, insbesondere unsere Risikoregeln für die Netzwerkverkehrsanalyse.

RAT-Unternehmensrisikobewertung-2-1.png

Globale Verteilung von RAT C2s, ermittelt mithilfe des Malware Hunter-Projekts von Recorded Future und Shodan sowie der Feodo-Blockliste von Abuse.ch. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Emotet

Emotet ist ein fortschrittlicher, modularer Banking-Trojaner, der in erster Linie als Downloader oder Dropper für andere Banking-Trojaner fungiert. Emotet wurde ursprünglich für den Diebstahl von Finanzdaten entwickelt; mittlerweile wird es jedoch hauptsächlich als Downloader für andere Schadsoftware wie Trickbot und Qakbot verwendet. Emotet verwendet C2-Server, um Updates zu empfangen sowie zusätzliche Malware herunterzuladen und zu installieren. Die Betreiber von Emotet neigen dazu, nicht selektiv auf eine bestimmte Branche oder Region abzuzielen, sondern verbreiten sich nach Belieben, was zeigt, dass die Malware-Betreiber offenbar eher an großen Infektionsmengen interessiert sind, um Gewinne zu erzielen.
Emotet wurde ursprünglich 2014 als neuer Banking-Trojaner identifiziert und wird oft als Geodo oder Feodo bezeichnet. Die Malware war das Produkt einer natürlichen Weiterentwicklung des Banking-Trojaners Feodo (manchmal auch Cridex oder Bugat genannt), der weitere Nachkommen hervorbrachte. In den letzten 12 Monaten hat er sich jedoch von einer eigenständigen Bedrohung zu einem Verteiler anderer Trojaner entwickelt, wobei im Sommer 2018 zahlreiche große Kampagnen stattfanden. Die Malware ist insofern einzigartig, als sie eine Litanei von Open-Source-Bibliotheken und Code verwendet, genug, um einen Ordner in seinem Code-Verzeichnis als „Open Source“ zu bezeichnen. Eine Reihe von Emotet-Modulen enthält von Nirsoft entwickelte Dienstprogramme zum Auslesen und Sammeln von Passwörtern auf dem Opfercomputer.

Emotet fungiert seit Kurzem als Spam versendende Schadsoftware, die Zielsysteme infiziert, um anschließend andere Schadsoftware-Familien auf den Host zu laden. Die infizierten Hosts, die Spam verteilen und gelegentlich als Proxys für die C2-Server fungieren, stellen ein dezentrales Netzwerk dar, sodass Verteidiger nur schwer ihren Perimeter blockieren können.

Berichte haben ergeben, dass die Betreiber von Emotet wahrscheinlich mindestens zwei Emotet-Infrastrukturen parallel unterhalten, um vermutlich die Redundanz zu erhöhen und eine koordinierte Abschaltung durch die Strafverfolgungsbehörden zu erschweren.

Emotet: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Während unserer Untersuchungen haben wir 26 Organisationen identifiziert, deren Hosts mit Emotet infiziert sind. Diese Organisationen waren über eine Vielzahl von Branchen verteilt, darunter:

  • Automobilindustrie
  • Finanzen und Banken
  • Energie
  • Herstellung medizinischer Geräte
  • Konstruktion
  • Einzelhandel und Unterhaltung
  • Logistik, kommerzielle Dienstleistungen und Lieferungen
  • ES
  • Hilfsmittel

RAT-Unternehmensrisikobewertung-3-1.png

Das obige Diagramm zeigt uns die Aufschlüsselung der infizierten Hosts, die mit identifizierten Emotet-Controllern kommunizieren. Zwei Controller stechen hervor, mit denen über 40 infizierte Hosts kommunizieren konnten: die südkoreanische IP 115.88.75[.]245 und die US-amerikanische IP 192.155.90[.]90.

RAT-Unternehmensrisikobewertung-4-1.png

Emotet-C2s wurden zwischen dem 2. Dezember 2018 und dem 8. Januar 2019 bei aktiven Infektionen mit Unternehmensopfern identifiziert.

Die obige Tabelle identifiziert die IP-Adresse, das Land und den Internetdienstanbieter (ISP) jedes Emotet C2-Servers, der von Recorded Future eingehend analysiert wurde.

Anmerkung des Herausgebers: ISPs bieten Kunden Internetzugang und haben möglicherweise nicht die direkte Kontrolle über die Geräte und Systeme, die unter einer bestimmten IP-Adresse innerhalb eines dem ISP zugewiesenen Netzblocks verwendet werden.

Einer der aktivsten Emotet-C2s (gemessen an der Anzahl der einzelnen Unternehmensopfer, die laut unseren Forschungsdaten mit ihm kommunizierten) war die südkoreanische IP 115.88.75[.]245. Basierend auf unserem neuen Algorithmus, der zu einer neuen Risikoregel für Kunden entwickelt wurde, die die Recorded Future-Plattform verwenden, wurden IP-Adressen erkannt, die zu mindestens vier verschiedenen infizierten Unternehmen führten und mit C2 kommunizierten. Drei der infizierten Unternehmen befanden sich in Lateinamerika, wo es in jüngster Zeit zu einem sprunghaften Anstieg der Emotet-Infektionen kam, da dort eine leicht modifizierte Emotet-Verbreitungsmethode zum Einsatz kommt. Zwei der entdeckten Opfer waren Finanzunternehmen in Mexiko und Ecuador, das dritte war ein chilenischer Industriekonzern. Das letzte Opfer war ein kanadischer Hersteller medizinischer Geräte.

Zum Zeitpunkt dieser Untersuchung gab es für die südkoreanische C2-IP keine Domäne, die dorthin aufgelöst wurde. Die Daten von VirusTotal deuten jedoch darauf hin, dass von infizierten Opfern Verbindungen mit der IP-Adresse hergestellt wurden, die in der URL ausdrücklich als Host angegeben ist. Wir haben mehrere bösartige Microsoft Word-Dokumente identifiziert, die verschleierten VBA-2- Code als Makros enthielten, die PowerShell starten sollten, um dann eine Emotet-Nutzlast vom südkoreanischen C2 abzurufen und auszuführen.

RAT-Unternehmensrisikobewertung-5-1.png

Clustering von Emotet-C2s und kommunizierenden Opferorganisationen, erkannt mithilfe von Recorded Future-Risikoanalysen von Drittanbietern und Risikoregeln für die Netzwerkverkehrsanalyse.

Eine weitere Analyse der Emotet-C2s und der IPs der Opferorganisationen ergab, dass es mehrere unterschiedliche Aktivitätsgruppierungen gab, wie in der obigen Maltego-Grafik dargestellt. Das äußerst aktive südkoreanische C2, das zuvor der LG DACOM Corporation zugeordnet wurde, befand sich innerhalb eines stark vernetzten Aktivitätsclusters, der auf der linken Seite der Grafik dargestellt ist. Im Mittelpunkt dieses Clusters standen 17 erkannte Emotet-C2s, die größtenteils auf Infrastrukturen gehostet wurden, die zu Telekommunikationsdienstleistern und Hosting-Anbietern mit Sitz in Lateinamerika führten. Die in diesem Aktivitätscluster angegriffenen Organisationen waren auf der ganzen Welt ansässig, wobei ein erheblicher Anteil der Opferorganisationen in Lateinamerika und Europa ansässig war.

RAT-Unternehmensrisikobewertung-6-1.png

Primärer Cluster der Emotet-Aktivität, wobei sich die Mehrheit der C2s im lateinamerikanischen IP-Raum befindet.

Der zweitgrößte Aktivitätscluster, den wir beobachtet haben, konzentrierte sich auf einen Emotet-Controller, der auf der indischen IP 45.123.3[.]54 gehostet wurde und zu den Blue Lotus Support Services in Indien aufgelöst wurde. Der auf diese IP verweisende C2-Hostname war campus.miim.ac[.]in, was dem Marian International Institute of Management entspricht, einer Universität in Kerala, Indien. Unsere Analyse ergab, dass bei folgenden Unternehmen anhaltende Emotet-Infektionen im Zusammenhang mit diesem C2 vorliegen:

  • Ein japanischer Maschinenbauer
  • Ein chinesischer Technologiekonzern
  • Eine ecuadorianische Bank und ein US-amerikanisches Finanzberatungsunternehmen
  • Ein österreichischer Energieversorger
  • Kanadische und australische Kabelfernsehanbieter

Xtreme RAT

Xtreme RAT ist ein Commodity-RAT, das erstmals 2010 öffentlich gesichtet wurde. Der RAT ist kostenlos erhältlich und sein Quellcode ist durchgesickert, sodass Angreifer ihn beliebig modifizieren können, um die Netzwerkabwehr zu umgehen. Obwohl es den Trojaner bereits seit fast einem Jahrzehnt gibt und seine Nutzung offenbar geringer ist als in den Vorjahren, handelt es sich noch immer um einen wirksamen Trojaner, der laut zahlreichen Berichten für gezielte Angriffe und Cyberkriminalität eingesetzt wird . Dieser RAT verwendet ein Client-Server-System, das vom Autor in einer Umkehrung des üblichen Schemas definiert wurde. Der „Server“-Teil der Malware wird auf dem Computer des Opfers installiert und der „Server“ des Opfers stellt somit eine Verbindung mit dem „Client“ her, der in Wirklichkeit ein Controller ist, der auf einem oder mehreren Remote-C2-Systemen betrieben wird.

RAT-Unternehmensrisikobewertung-7-1.png

Die Heatmap von Recorded Future zeigt die während des Forschungszeitraums aktiven Xtreme RAT-Controller, die mithilfe des Recorded Future- und Shodan Malware Hunter-Projekts erkannt wurden. (Quelle: Aufgezeichnete Zukunft)

Xtreme RAT: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Wir haben unser neues Third-Party Risk-Modul eingesetzt, um Kommunikationsknoten mit aktiven Xtreme RAT-Controllern zu identifizieren, die wir zwischen dem 8. Dezember 2018 und dem 2. Januar 2019 beobachtet haben. Auch dieses Mal stellten wir fest, dass Unternehmens-IPs mit den Xtreme RAT-Controllern auf eine Art und Weise kommunizierten, die auf eine mögliche Infektion hindeutete.

Xtreme RAT C2 IP Land Registrant/Organisation
101.132.69[.]78 China Hangzhou Alibaba Werbegesellschaft., Ltd.
116.62.60[.]109 China Hangzhou Alibaba Werbegesellschaft., Ltd.
212.46.104[.]104 Deutschland HKN GmbH
196.200.160[.]201 Marokko CNRST (Centre National pour la Recherche Scientifique et Technique)
198.255.100[.]74 Vereinigte Staaten FDCServers
192.240.110[.]98 Vereinigte Staaten FDCServers

Drei einzelne Opfer kommunizierten mit einem marokkanischen Xtreme RAT C2, das auf 196.200.160[.]20,1 gehostet wurde. das zum Hostnamen ns2.marwan.ma aufgelöst wurde. Das geistige Eigentum ist beim Centre National pour la Recherche Scientifique et Technique (CNRST) registriert, einer technischen Universität in Rabat, Marokko. Zwei der infizierten Opfergeräte gelangten in die Infrastruktur multinationaler IT-Ausrüstungs- und Dienstleistungsunternehmen aus den USA und Japan. Das dritte Opfer war ein Gerät an einer brasilianischen Universität.

RAT-Unternehmensrisikobewertung-8-1.png

Xtreme RAT-Controller, gehostet in einem marokkanischen Universitätsnetzwerk.

Hostname test.zzjzpt[.]com wurde am 16. Dezember 2018 aktualisiert, sodass es auf die chinesische IP 116.62.60[.]109 verweist, und wurde bis mindestens 5. Januar 2019 weiterhin auf diese IP aufgelöst. In diesem Zeitraum wurde die IP als Xtreme RAT C2 bezeichnet. Dieser Controller sowie zwei weitere Xtreme RAT C2s, die auf der US-FDCServer-Infrastruktur (192.240.110[.]98) gehostet werden und 198.255.100[.]74), Es wurde beobachtet, dass der Empfang von Xtreme RAT-Netzwerkkommunikation von mehreren infizierten Hosts innerhalb eines europäischen Versorgungsunternehmens erfolgte. Bei den folgenden Opferorganisationen wurde eine Kommunikation mit diesen Xtreme RAT C2s beobachtet:

  • Ein europäisches Videospielunternehmen
  • Telekommunikationsunternehmen im Nahen Osten, Südasien und Ostasien
  • Ein ostasiatischer Industriekonzern
  • Ein ostasiatisches IT-Unternehmen

RAT-Unternehmensrisikobewertung-9-1.png

Xtreme RAT-Controller mit überlappender organisatorischer Zielausrichtung.

ZeroAccess-Trojaner

ZeroAccess wurde erstmals im Jahr 2011 entdeckt und verwendet ein fortschrittliches Rootkit, um der Erkennung zu entgehen. Als Trojaner kann er ein verstecktes Dateisystem und eine Hintertür auf einem Host erstellen und das Herunterladen zusätzlicher Malware auf den Host erleichtern. ZeroAccess kann so konfiguriert werden, dass es einen Domänengenerierungsalgorithmus (DGA) verwendet, um seine C2-Server zu erkennen und eine Verbindung zu ihnen herzustellen. Zudem kann es Peer-to-Peer-Konnektivität nutzen. In der Vergangenheit wurde ZeroAccess mithilfe strategischer Web-Kompromisse (SWC) eingesetzt und typischerweise von Cyberkriminellen verwendet, um über Pay-per-Click-Werbemechanismen (Klickbetrug) illegale Geldbeträge zu generieren. Die Malware wurde auch zum Mining von Kryptowährungen verwendet.

ZeroAccess: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Während unseres Untersuchungszeitraums haben wir einen einzelnen Fall identifiziert, in dem eine Opferorganisation mit einem ZeroAccess-Trojaner C2 kommunizierte, der auf der rumänischen IP 31.5.229[.]224 aktiv war. Bei der Opferorganisation handelte es sich um ein ostasiatisches IT-Unternehmen.

Ausblick

Banking-Trojaner wie Emotet und andere RATs stellen weiterhin eine erhebliche Bedrohung für Regierungs- und Unternehmensnetzwerke auf der ganzen Welt dar. Die Entwickler hinter Emotet arbeiten kontinuierlich an Innovationen und entwickeln modulare Funktionen, um die Verbreitungseffizienz zu steigern und herkömmliche Netzwerkabwehrmechanismen zu umgehen. Dies führt zu einer großflächigen Infektion, deren Behebung den Regierungen von Bundesstaaten, Kommunen, Stämmen und Territorien (SLTT) laut einer im Juli 2018 veröffentlichten Warnung des US-CERT bis zu 1 Million US-Dollar pro Vorfall kostet.

Diese Untersuchung unterstreicht den Nutzen der Identifizierung und Verfolgung bösartiger RAT-Controller-Netzwerkinfrastrukturen für die Ermittlung der Sicherheitslage Ihres Unternehmens. Kunden können das Drittanbieter-Risikomodul von Recorded Future nutzen, indem sie die entsprechenden Risikoregeln beachten, die innerhalb unserer Plattform ausgelöst werden. Beim Drittanbieterrisiko lösen dieselben Daten, die wir zum Identifizieren und Analysieren der Malware-Kommunikation in dieser Bewertung verwendet haben, Risikoregeln aus und geben einen Alarm aus, wenn ein Unternehmen auf der Drittanbieterrisiko-Beobachtungsliste eines Kunden ähnliche Aktivitäten aufweist.

RAT-Unternehmensrisikobewertung-10-1.png

Risikoregel für die Analyse des Netzwerkverkehrs von Drittanbietern, die ein hohes Risiko im Zusammenhang mit der in der Infrastruktur eines Unternehmens beobachteten Xtreme RAT-Kommunikation anzeigt.

Während wir die Abdeckung von RAT-Controllern weiter ausbauen, werden wir diese Signaturen automatisch hinzufügen, sodass sie Drittanbieter-Risikoregeln in der Recorded Future-Plattform auslösen, wenn wir beobachten, dass die Netzwerkinfrastruktur von Unternehmen mit diesen Controllern kommuniziert.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen, proaktiv auf Bedrohungen zu suchen und bei der Abwehr illegaler RAT-Aktivitäten die folgenden Abwehrmaßnahmen zu ergreifen:

  • Verwenden Sie die API von Recorded Future, um die in diesem Bericht aufgeführten Indikatoren (Anhang A) in Ihre Endpoint Detection and Response (EDR)-Plattform zu importieren.
  • Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
  • Überwachen Sie den Endpunktverkehr, um vor Verbindungen zu Indikatoren in Anhang A zu warnen und diese zu blockieren.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.

1Weitere Einzelheiten zu dieser Funktion finden Sie im Whitepaper von Recorded Future zur proaktiven Bedrohungsidentifizierung.

2Visual Basic for Applications ist eine Implementierung der Programmiersprache Visual Basic 6 von Microsoft und wird in Microsoft Office-Produkten wie Excel zum Entwickeln von Makros verwendet.

Verwandt