Im Gespräch mit RATs: Bewertung des Unternehmensrisikos durch Analyse von RAS-Trojaner-Infektionen

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Recorded Future analysierte die Netzwerkkommunikation im Zusammenhang mit einer Auswahl von RAT-Befehls- und Kontrollservern über mehrere Malware-Familien hinweg, um Profile der gezielt angegriffenen Organisationen und Sektoren zu erstellen. Dieser Bericht basiert auf Daten der Recorded FutureⓇ-Plattform, VirusTotal, Farsight DNS, Shodan, GreyNoise und anderen OSINT-Techniken.

Dieser Bericht ist vor allem für Netzwerkschützer und Risikoexperten in Unternehmen von großem Nutzen, die sich über die Risiken Sorgen machen, die von ihrer Lieferkette zu Drittanbietern ausgehen. Weitere Informationen dazu, wie Sie Recorded Future zur Überwachung und Untersuchung von Drittanbieterrisiken nutzen können, finden Sie in unserem neuen Angebot zu Drittanbieterrisiken. Diese Bewertung nutzt die Daten hinter unseren neuen Risikoregeln für die Netzwerkverkehrsanalyse im Hinblick auf Drittanbieterrisiken, um umsetzbare Erkenntnisse zu generieren.

Executive Summary

Remote Access Trojaner (RATs) auf einem Unternehmenssystem können als wichtiger Dreh- und Angelpunkt für den seitlichen Zugriff auf Informationen innerhalb eines Unternehmensnetzwerks dienen. Durch die Analyse der Netzwerkmetadaten konnten die Analysten von Recorded Future RAT-Command-and-Control-Server (C2) identifizieren und – noch wichtiger – feststellen, welche Unternehmensnetzwerke mit diesen Controllern kommunizierten. Mit diesem Ansatz kann Recorded Future Einblicke in Drittorganisationen gewähren, auf die sich unsere Kunden möglicherweise verlassen, und so ein besseres Verständnis der potenziellen Risiken Dritter für ihre eigenen Daten ermöglichen.

Die Insikt Group nutzte das gemeinsame Projekt Recorded Future und Shodan Malware Hunter und die Recorded Future-Plattform, um zwischen dem 2. Dezember 2018 und dem 9. Januar 2019 aktive Malware-Controller für 14 Malware-Familien zu identifizieren. Anschließend konzentrierten wir unsere Analyse auf eine Teilmenge von Schadsoftware – Emotet, Xtreme RAT und ZeroAccess –, um ein Profil der RAT-Kommunikation von Drittorganisationen mit den Controllern zu erstellen.

Hintergrund

Öffentliche und private Organisationen auf der ganzen Welt sind weiterhin Opfer digitaler Angriffe und Nachrichten über schwerwiegende Sicherheitsverletzungen sind beinahe an der Tagesordnung. In seinem Jahresbericht 2018 berichtete das britische NCSC, dass es zwischen dem 1. September 2017 und dem 31. August 2018 557 Vorfälle direkt bearbeitet habe, was das Ausmaß des Problems allein in Großbritannien verdeutlicht.

Bei Angriffen kommen häufig RATs zum Einsatz, die es Angreifern ermöglichen, unrechtmäßig die Kontrolle über ein Hostgerät zu erlangen. Bei RATs handelt es sich um funktionsreiche Software, die im Allgemeinen von Angreifern für Aktivitäten wie Keylogging, Dateiextraktion, Aufzeichnen von Audio- und Videodaten des Hosts und mehr verwendet wird.

Ein erheblicher Anteil dieser Angriffe wird mithilfe handelsüblicher RATs wie DarkTrack RAT, Xtreme RAT oder ZeroAccess durchgeführt. Die Motivationen der Angreifer reichen dabei von finanziellem Gewinn bis hin zur Steigerung der Glaubwürdigkeit innerhalb der Hacker-Communitys. Viele Administratoren von Hackerforen verlangen von neuen Mitgliedern einen Nachweis ihrer „Fähigkeiten“, um in das Forum aufgenommen zu werden. Die für die Verwendung herkömmlicher RATs erforderlichen relativ geringen technischen Kenntnisse und die umfangreiche Online-Dokumentation machen sie daher für unerfahrene Hacker äußerst attraktiv.

Am anderen Ende des Spektrums stehen staatlich unterstützte Advanced Persistent Threat (APT)-Gruppen und hochentwickelte kriminelle Gruppen, die möglicherweise ausgefeiltere Malware-Kampagnen durchführen, um ihre operativen Ziele zu erreichen. APTs verwenden weiterhin RATs, da sie einfach zu konfigurieren, zu ändern und zu verwenden sind. Zusammen mit ihrer relativen Effektivität gegenüber Antivirensoftware und der Möglichkeit, die Zuordnung durch „Verstecken im Rauschen“ zu erschweren, sorgt dies dafür, dass RATs weiterhin von APTs und Cyberkriminellen verwendet werden.

Cyberkriminelle sind häufig gezwungen, innovative Tools und Schadsoftware zu entwickeln, um ihre meist finanziell motivierten Ziele zu erreichen. Da RATs und andere von Cyberkriminellen eingesetzte Schadsoftware durch polizeiliche Maßnahmen gestört oder ihre Methoden durch koordinierte Brancheninitiativen entschärft werden, ist manchmal eine Änderung der Methodik oder sogar des Geschäftsmodells erzwungen. Dies war bei den Akteuren hinter Emotet der Fall.

Emotet hat sich von einem Banking-Trojaner, der auf europäische Bankkunden abzielte, zu einer modularisierten Plattform zur Bereitstellung von Malware entwickelt. Im Jahr 2018 wurden mehrere spektakuläre Kampagnen durchgeführt. Emotet ist ein sich selbst verbreitender Trojaner und eine besonders virulente Schadsoftware, die netzwerkwurmähnliche Eigenschaften aufweist und dadurch in der Lage ist, ein beträchtliches Botnetz aus infizierten Opfern aufzubauen.

Analytischer Ansatz

Die Forscher von Recorded Future identifizierten eine Vielzahl von RAT- und Emotet-Controllern, die aus Bedrohungslisten in der Recorded Future-Plattform abgeleitet wurden, und verwendeten Netzwerkmetadaten, um die Kommunikation der Opfer mit den RAT-C2-IPs zu identifizieren. Die Bedrohungslisten enthielten Daten von:

1. Recorded Futures gemeinsam mit Shodan entwickelte Funktion Malware Hunter¹
2. Die Abuse.ch Feodo Malware-Familie (auch bekannt als Dridex oder Emotet/Heodo) Blockliste

Anmerkung der Redaktion: Due to technological limitations of the collection mechanism, the number of C2s identified using Malware Hunter is not reflective of the true number of C2s present globally for each analyzed malware family in this research. Therefore, this analysis is focused on the methodology of identifying infected clients using Recorded Future to inform third-party risk.

Für unsere Untersuchung haben wir im Zeitraum vom 2. Dezember 2018 bis 8. Januar 2019 nach aktiven Controllern für die folgenden Malware-Familien gesucht:

• Bozok RAT
• Nanokern
• Giftiger Efeu
• Caféini
• NetBus
• ProRAT
• Dunkler Komet
• njRAT
• Xtreme RAT
• DarkTrack RAT
• Nukleare RAT
• Nullzugriff
• Emotet
• Orcus RAT

Anschließend analysierten wir die Netzwerkkommunikation für eine Teilmenge dieser Controller aus Opferorganisationen. Durch die Filterung wurde vermieden, dass Organisationen, die Internet-Hosting-Dienste für andere Organisationen bereitstellen, als direkte Opfer identifiziert wurden. Internet-Scanner wurden, sofern erkennbar, weggelassen. Diese Analyse basiert auf der Beobachtung von Verbindungen, die auf eine bestimmte Art und Weise zu als bösartig identifizierten Servern hergestellt werden. Es besteht die Möglichkeit, dass solche Verbindungen von Forschern oder anderen Personen hergestellt wurden, die in Wirklichkeit keine Opfer sind.

Aufschlüsselung der aktiven C2s nach identifizierter Malware-Familie (Gesamtstichprobengröße der erkannten C2s: 481).

Wir haben unsere Analyse auf Emotet-, Xtreme RAT- und ZeroAccess-Controller konzentriert, um die RAT-Kommunikation mit wahrscheinlich infizierten Hosts innerhalb der Infrastruktur kommerzieller Organisationen zu profilieren.

Das Drittparteirisikomodul von Recorded Future

Nach der Einführung des Third-Party Risk-Moduls von Recorded Future haben wir zusätzliche Funktionen integriert, die es Unternehmen ermöglichen, die Cyberrisiken zu bewerten, die von Firmen in ihrer Lieferkette, von Partnern und von ihnen selbst ausgehen. Mit Third-Party Risk können Sie die Integrität Ihres Drittanbieter-Ökosystems überwachen, die von Unternehmen ausgehenden Risiken untersuchen und bei Änderungen in der Bedrohungsumgebung der für Sie interessanten Unternehmen Warnmeldungen erhalten. Die Analyse in diesem Bericht wurde unter Verwendung derselben Datenquellen durchgeführt, die wir zur Information über Risikofaktoren und Kennzahlen Dritter in unserem neuen Modul verwenden, insbesondere unsere Risikoregeln für die Netzwerkverkehrsanalyse.

Globale Verteilung von RAT C2s, ermittelt mithilfe des Malware Hunter-Projekts von Recorded Future und Shodan sowie der Feodo-Blockliste von Abuse.ch. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Emotet

Emotet ist ein fortschrittlicher, modularer Banking-Trojaner, der in erster Linie als Downloader oder Dropper für andere Banking-Trojaner fungiert. Emotet wurde ursprünglich für den Diebstahl von Finanzdaten entwickelt; mittlerweile wird es jedoch hauptsächlich als Downloader für andere Schadsoftware wie Trickbot und Qakbot verwendet. Emotet verwendet C2-Server, um Updates zu empfangen sowie zusätzliche Malware herunterzuladen und zu installieren. Die Betreiber von Emotet neigen dazu, nicht selektiv auf eine bestimmte Branche oder Region abzuzielen, sondern verbreiten sich nach Belieben, was zeigt, dass die Malware-Betreiber offenbar eher an großen Infektionsmengen interessiert sind, um Gewinne zu erzielen.
Emotet wurde ursprünglich 2014 als neuer Banking-Trojaner identifiziert und wird oft als Geodo oder Feodo bezeichnet. Die Malware war das Produkt einer natürlichen Weiterentwicklung des Banking-Trojaners Feodo (manchmal auch Cridex oder Bugat genannt), der weitere Nachkommen hervorbrachte. In den letzten 12 Monaten hat er sich jedoch von einer eigenständigen Bedrohung zu einem Verteiler anderer Trojaner entwickelt, wobei im Sommer 2018 zahlreiche große Kampagnen stattfanden. Die Malware ist insofern einzigartig, als sie eine Litanei von Open-Source-Bibliotheken und Code verwendet, genug, um einen Ordner in seinem Code-Verzeichnis als „Open Source“ zu bezeichnen. Eine Reihe von Emotet-Modulen enthält von Nirsoft entwickelte Dienstprogramme zum Auslesen und Sammeln von Passwörtern auf dem Opfercomputer.

Emotet fungiert seit Kurzem als Spam versendende Schadsoftware, die Zielsysteme infiziert, um anschließend andere Schadsoftware-Familien auf den Host zu laden. Die infizierten Hosts, die Spam verteilen und gelegentlich als Proxys für die C2-Server fungieren, stellen ein dezentrales Netzwerk dar, sodass Verteidiger nur schwer ihren Perimeter blockieren können.

Berichte haben ergeben, dass die Betreiber von Emotet wahrscheinlich mindestens zwei Emotet-Infrastrukturen parallel unterhalten, um vermutlich die Redundanz zu erhöhen und eine koordinierte Abschaltung durch die Strafverfolgungsbehörden zu erschweren.

Emotet: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Während unserer Untersuchungen haben wir 26 Organisationen identifiziert, deren Hosts mit Emotet infiziert sind. Diese Organisationen waren über eine Vielzahl von Branchen verteilt, darunter:

• Automobilindustrie
• Finanzen und Banken
• Energie
• Herstellung medizinischer Geräte
• Konstruktion
• Einzelhandel und Unterhaltung
• Logistik, kommerzielle Dienstleistungen und Lieferungen
• ES
• Hilfsmittel

The chart above shows us the breakdown of infected hosts communicating with identified Emotet controllers. Two controllers stand out, with over 40 infected hosts observed communicating with them: South Korean IP 115.88.75[.]245 and U.S. IP 192.155.90[.]90.

Emotet-C2s wurden zwischen dem 2. Dezember 2018 und dem 8. Januar 2019 bei aktiven Infektionen mit Unternehmensopfern identifiziert.

Die obige Tabelle identifiziert die IP-Adresse, das Land und den Internetdienstanbieter (ISP) jedes Emotet C2-Servers, der von Recorded Future eingehend analysiert wurde.

Anmerkung der Redaktion: ISPs provide internet access to customers, and may not be directly in control of the equipment and systems in use at any specific IP address within a netblock assigned to the ISP.

One of the most active Emotet C2s, based on number of unique corporate victims communicating with it in our research data, was South Korean IP 115.88.75[.]245. Based on our new algorithm that has been developed into a new risk rule for clients using the Recorded Future platform, IP addresses resolving to at least four different infected companies were detected communicating with the C2. Three of the infected companies were located in Latin America, which has recently experienced a surge in Emotet infections due to a slightly modified Emotet propagation methodology being employed. Two of the detected victims were financial companies in Mexico and Ecuador, with the third being a Chilean industrial conglomerate. The remaining corporate victim was a Canadian medical device manufacturing company.

Zum Zeitpunkt dieser Untersuchung gab es für die südkoreanische C2-IP keine Domäne, die dorthin aufgelöst wurde. Die Daten von VirusTotal deuten jedoch darauf hin, dass von infizierten Opfern Verbindungen mit der IP-Adresse hergestellt wurden, die in der URL ausdrücklich als Host angegeben ist. Wir haben mehrere bösartige Microsoft Word-Dokumente identifiziert, die verschleierten VBA^-2- Code als Makros enthielten, die PowerShell starten sollten, um dann eine Emotet-Nutzlast vom südkoreanischen C2 abzurufen und auszuführen.

Clustering von Emotet-C2s und kommunizierenden Opferorganisationen, erkannt mithilfe von Recorded Future-Risikoanalysen von Drittanbietern und Risikoregeln für die Netzwerkverkehrsanalyse.

Eine weitere Analyse der Emotet-C2s und der IPs der Opferorganisationen ergab, dass es mehrere unterschiedliche Aktivitätsgruppierungen gab, wie in der obigen Maltego-Grafik dargestellt. Das äußerst aktive südkoreanische C2, das zuvor der LG DACOM Corporation zugeordnet wurde, befand sich innerhalb eines stark vernetzten Aktivitätsclusters, der auf der linken Seite der Grafik dargestellt ist. Im Mittelpunkt dieses Clusters standen 17 erkannte Emotet-C2s, die größtenteils auf Infrastrukturen gehostet wurden, die zu Telekommunikationsdienstleistern und Hosting-Anbietern mit Sitz in Lateinamerika führten. Die in diesem Aktivitätscluster angegriffenen Organisationen waren auf der ganzen Welt ansässig, wobei ein erheblicher Anteil der Opferorganisationen in Lateinamerika und Europa ansässig war.

Primärer Cluster der Emotet-Aktivität, wobei sich die Mehrheit der C2s im lateinamerikanischen IP-Raum befindet.

Der zweitgrößte Aktivitätscluster, den wir beobachtet haben, konzentrierte sich auf einen Emotet-Controller, der auf der indischen IP 45.123.3[.]54 gehostet wurde und zu den Blue Lotus Support Services in Indien aufgelöst wurde. Der auf diese IP verweisende C2-Hostname war campus.miim.ac[.]in, was dem Marian International Institute of Management entspricht, einer Universität in Kerala, Indien. Unsere Analyse ergab, dass bei folgenden Unternehmen anhaltende Emotet-Infektionen im Zusammenhang mit diesem C2 vorliegen:

• Ein japanischer Maschinenbauer
• Ein chinesischer Technologiekonzern
• Eine ecuadorianische Bank und ein US-amerikanisches Finanzberatungsunternehmen
• Ein österreichischer Energieversorger
• Kanadische und australische Kabelfernsehanbieter

Xtreme RAT

Xtreme RAT ist ein Commodity-RAT, das erstmals 2010 öffentlich gesichtet wurde. Der RAT ist kostenlos erhältlich und sein Quellcode ist durchgesickert, sodass Angreifer ihn beliebig modifizieren können, um die Netzwerkabwehr zu umgehen. Obwohl es den Trojaner bereits seit fast einem Jahrzehnt gibt und seine Nutzung offenbar geringer ist als in den Vorjahren, handelt es sich noch immer um einen wirksamen Trojaner, der laut zahlreichen Berichten für gezielte Angriffe und Cyberkriminalität eingesetzt wird . Dieser RAT verwendet ein Client-Server-System, das vom Autor in einer Umkehrung des üblichen Schemas definiert wurde. Der „Server“-Teil der Malware wird auf dem Computer des Opfers installiert und der „Server“ des Opfers stellt somit eine Verbindung mit dem „Client“ her, der in Wirklichkeit ein Controller ist, der auf einem oder mehreren Remote-C2-Systemen betrieben wird.

Die Heatmap von Recorded Future zeigt die während des Forschungszeitraums aktiven Xtreme RAT-Controller, die mithilfe des Recorded Future- und Shodan Malware Hunter-Projekts erkannt wurden. (Quelle: Aufgezeichnete Zukunft)

Xtreme RAT: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Wir haben unser neues Third-Party Risk-Modul eingesetzt, um Kommunikationsknoten mit aktiven Xtreme RAT-Controllern zu identifizieren, die wir zwischen dem 8. Dezember 2018 und dem 2. Januar 2019 beobachtet haben. Auch dieses Mal stellten wir fest, dass Unternehmens-IPs mit den Xtreme RAT-Controllern auf eine Art und Weise kommunizierten, die auf eine mögliche Infektion hindeutete.

Xtreme RAT C2 IP	Land	Registrant/Organisation
101.132.69[.]78	China	Hangzhou Alibaba Werbegesellschaft., Ltd.
116.62.60[.]109	China	Hangzhou Alibaba Werbegesellschaft., Ltd.
212.46.104[.]104	Deutschland	HKN GmbH
196.200.160[.]201	Marokko	CNRST (Centre National pour la Recherche Scientifique et Technique)
198.255.100[.]74	Vereinigte Staaten	FDCServers
192.240.110[.]98	Vereinigte Staaten	FDCServers

Three unique victims were found communicating with a Moroccan Xtreme RAT C2 hosted on 196.200.160[.]20,1 which resolved to hostname ns2.marwan.ma. The IP is registered to the Centre National pour la Recherche Scientifique et Technique (CNRST), a technical university in Rabat, Morocco. Two of the infected victim devices resolved to infrastructure belonging to U.S. and Japanese multinational IT equipment and services companies. The third victim was a device located at a Brazilian university.

Xtreme RAT-Controller, gehostet in einem marokkanischen Universitätsnetzwerk.

Hostname test.zzjzpt[.]com was updated to point at Chinese IP 116.62.60[.]109 on December 16, 2018 and continued to resolve to that IP until at least January 5, 2019. In this time frame, the IP was designated as an Xtreme RAT C2. This controller, along with two other Xtreme RAT C2s hosted on U.S. FDCServer infrastructure (192.240.110[.]98 and 198.255.100[.]74), were observed receiving Xtreme RAT network communications from several infected hosts within an European utilities company. Additional victim organizations that were observed communicating with these Xtreme RAT C2s were:

• Ein europäisches Videospielunternehmen
• Telekommunikationsunternehmen im Nahen Osten, Südasien und Ostasien
• Ein ostasiatischer Industriekonzern
• Ein ostasiatisches IT-Unternehmen

Xtreme RAT-Controller mit überlappender organisatorischer Zielausrichtung.

ZeroAccess-Trojaner

ZeroAccess wurde erstmals im Jahr 2011 entdeckt und verwendet ein fortschrittliches Rootkit, um der Erkennung zu entgehen. Als Trojaner kann er ein verstecktes Dateisystem und eine Hintertür auf einem Host erstellen und das Herunterladen zusätzlicher Malware auf den Host erleichtern. ZeroAccess kann so konfiguriert werden, dass es einen Domänengenerierungsalgorithmus (DGA) verwendet, um seine C2-Server zu erkennen und eine Verbindung zu ihnen herzustellen. Zudem kann es Peer-to-Peer-Konnektivität nutzen. In der Vergangenheit wurde ZeroAccess mithilfe strategischer Web-Kompromisse (SWC) eingesetzt und typischerweise von Cyberkriminellen verwendet, um über Pay-per-Click-Werbemechanismen (Klickbetrug) illegale Geldbeträge zu generieren. Die Malware wurde auch zum Mining von Kryptowährungen verwendet.

ZeroAccess: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten

Während unseres Untersuchungszeitraums haben wir einen einzelnen Fall identifiziert, in dem eine Opferorganisation mit einem ZeroAccess-Trojaner C2 kommunizierte, der auf der rumänischen IP 31.5.229[.]224 aktiv war. Bei der Opferorganisation handelte es sich um ein ostasiatisches IT-Unternehmen.

Ausblick

Banking-Trojaner wie Emotet und andere RATs stellen weiterhin eine erhebliche Bedrohung für Regierungs- und Unternehmensnetzwerke auf der ganzen Welt dar. Die Entwickler hinter Emotet arbeiten kontinuierlich an Innovationen und entwickeln modulare Funktionen, um die Verbreitungseffizienz zu steigern und herkömmliche Netzwerkabwehrmechanismen zu umgehen. Dies führt zu einer großflächigen Infektion, deren Behebung den Regierungen von Bundesstaaten, Kommunen, Stämmen und Territorien (SLTT) laut einer im Juli 2018 veröffentlichten Warnung des US-CERT bis zu 1 Million US-Dollar pro Vorfall kostet.

Diese Untersuchung unterstreicht den Nutzen der Identifizierung und Verfolgung bösartiger RAT-Controller-Netzwerkinfrastrukturen für die Ermittlung der Sicherheitslage Ihres Unternehmens. Kunden können das Drittanbieter-Risikomodul von Recorded Future nutzen, indem sie die entsprechenden Risikoregeln beachten, die innerhalb unserer Plattform ausgelöst werden. Beim Drittanbieterrisiko lösen dieselben Daten, die wir zum Identifizieren und Analysieren der Malware-Kommunikation in dieser Bewertung verwendet haben, Risikoregeln aus und geben einen Alarm aus, wenn ein Unternehmen auf der Drittanbieterrisiko-Beobachtungsliste eines Kunden ähnliche Aktivitäten aufweist.

Risikoregel für die Analyse des Netzwerkverkehrs von Drittanbietern, die ein hohes Risiko im Zusammenhang mit der in der Infrastruktur eines Unternehmens beobachteten Xtreme RAT-Kommunikation anzeigt.

Während wir die Abdeckung von RAT-Controllern weiter ausbauen, werden wir diese Signaturen automatisch hinzufügen, sodass sie Drittanbieter-Risikoregeln in der Recorded Future-Plattform auslösen, wenn wir beobachten, dass die Netzwerkinfrastruktur von Unternehmen mit diesen Controllern kommuniziert.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen, proaktiv auf Bedrohungen zu suchen und bei der Abwehr illegaler RAT-Aktivitäten die folgenden Abwehrmaßnahmen zu ergreifen:

• Verwenden Sie die API von Recorded Future, um die in diesem Bericht aufgeführten Indikatoren (Anhang A) in Ihre Endpoint Detection and Response (EDR)-Plattform zu importieren.
• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
• Überwachen Sie den Endpunktverkehr, um vor Verbindungen zu Indikatoren in Anhang A zu warnen und diese zu blockieren.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.