Bank-Trojaner Vawtrak jetzt mit DGA und SSL-Pinning-Technik ausgestattet

Die Angreifer hinter dem Banktrojaner Vawtrak liegen nicht auf der faulen Haut und haben ihre Malware in den letzten Wochen mit einem neuen Domain Generation Algorithmus (DGA) und Möglichkeiten für das SSL-Pinning ausgestattet.

Eine am Dienstag von der Sicherheitsfirma Fidelis veröffentlichte Studie erklärt diese Updates und schlüsselt auf, wie der DGA von Vawtrak Domains erzeugt, sich mit diesen verbindet und ihre Zertifikate bestätigt. Die Forscher haben sich zwei Samples genauer angeguckt, die sie am 28. Juli und 1. August beobachtet haben.

Die jüngste Vawtrak-Version bietet eine zweistufige Command- und Control-Struktur. Die DGA-gehostete Site wartet mit einer Liste von Domains auf, die für den Command und Control-Server durchgelaufen wird, wobei die erste aktive Domain eine andere statische Liste zurückgibt.

„Um diese neue C2-Übergabe weiter zu verkomplizieren, haben die Entwickler einen weiteren Abschnitt hinzugefügt, der nach der Entschlüsselung eine Liste der C2-Domains enthält, die der Bot ebenfalls für die Kommunikation mit den Command und Control-Servern benutzen kann“, heißt es in dem Bericht von Fidelis, den Jason Reeves verfasst hat.

Die Forscher von PhishLabs haben Ende Juli zudem entdeckt, dass die Malware einen DGA verwendet hat, um ihre Command und Control Server zu identifizierten. Die Studie von Fidelis geht noch einen Schritt weiter und beschreibt, wie sie ein Reverse Engineering des Algorithmus‘ durchführen konnten.

Es ist nicht klar, warum die Vawtrak-Entwickler so lange dafür brauchten, einen DGA zu implementieren, eine allgemein gebräuchliche Technik, die in allen Bereichen der Cyberkriminalität zur Anwendung kommt, in erster Linie bei Botnets. Aber die Experten des Unternehmens vermuten, dass es daran liegt, dass ihre früheren Bemühungen unterbrochen wurden.

„Wir wissen nicht, warum sie ausgerechnet jetzt einen DGA eingeführt haben, aber es kann mit früheren Kampagnen zusammenhängen, die unterbrochen wurden, weil ihre Infrastruktur beschlagnahmt oder auf Sinkhole-Server umgeleitet wurde“, erklärte Hardik Modi, Director of Threat Research bei Fidelis Cybersecurity am Montag gegenüber Threatpost. „Es könnte eine logische Reaktion auf solche Aktionen seitens der Strafverfolgungsbehörden und/oder Sicherheitsforscher sein.“

Neben dem DGA hat der Trojaner auch einen Mechanismus zum Überprüfen von SSL-Zertifikaten, das so genannte Pinning eingeführt, das die Schadsoftware laut Angaben des Unternehmens manchmal in die Lage versetzt, potentielle SSL-Man-in-the-Middle-Situationen zu umgehen. Durch SSL-Pinning wird normalerweise ein zusätzlicher Level der Zertifikatsbestätigung hinzugefügt, um sicherzustellen, dass eine Verbindung vertrauenswürdig ist.

Die Forscher behaupten, die neuste Vawtrak-DLL verfüge über einen Code, um eine HTTPS-Verbindung herzustellen, die in der Lage ist, die C2-Kommunikation zu schützen. Obendrein kann der Trojaner auch das Zertifikat prüfen, das es vom Command und Control Server erhält. Auszug aus dem Fidelis-Report:

It adds up all the characters in the Common Name and then divides the byte by 0x1a and adds 0x61, which should match the first character (Figure 5). It also uses a public key from the aforementioned initial inject header to verify the signature hash that was passed in the SubjectKeyIdentifier field of the certificate.

(Er zählt alle Zeichen in dem Common Name zusammen und teilt das Byte dann durch 0x1a und fügt 0x61 hinzu, was mit dem ersten Zeichen übereinstimmen sollte (Abbildung 5). Er verwendet zudem einen öffentlichen Schlüssel von dem oben erwähnten ursprünglichen inject header, um den Hash der Signatur zu überprüfen, der in dem Feld SubjectKeyIdentifier des Zertifikats weitergegeben wurde.)

Während der Einsatz eines DGA in Trojanern wie diesen Standard ist, steckt die von Vawtrak bereitgestellte Technik zur Überprüfung von Zertifikaten laut Modi noch in den Kinderschuhen.

„Unseren Beobachtungen zufolge wird diese Technik äußerst selten eingesetzt“, sagte Modi und fügte hinzu, dass sein Team sie häufiger in zielgerichteten Spionage-Tools identifiziert hat als im weiter gefassten Cybercrime-Space.

Die Tatsache, dass die Kriminellen Vawtrak, auch bekannt unter dem Namen Neverquest, optimiert haben, um ihre Spuren zu verwischen, ist nicht besonders überraschend. Die Angreifer hinter diesem Trojaner haben in den letzten paar Jahren große Anstrengungen unternommen, um ihre Server zu verbergen. Letzten Juni stellten Forscher fest, dass der Trojaner einige seiner Server im Tor2Web versteckt, um der Detektion zu entgehen.

Laut Modi wurde der Trojaner in erster Linie via schädliche Spam-Mails verbreitet, aber ebenfalls über Exploit-Kits.

„Sie schätzen vermutlich erst die Erfolgschancen ab, bevor sie die neuen Versionen in Exploits Kits integrieren“, erklärte Modi.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.