Kelihos nutzt zur Einschätzung neuer Bots CBL Blacklists

Kelihos, das Peer-to-Peer-Botnetz mit den neun Leben, wartet immer wieder mit neuen Funktionen auf, die es selbst immer stabiler und seine Betreiber immer reicher werden lassen – Spamversand, Diebstahl von Kreditkartendaten und sogar Bitcoins-Klau.

Einer Reihe von Quellen zufolge macht sich Kelihos jetzt verschiedene legitime und frei verfügbare Sicherheitsdienste zunutze, die so genannte Composite Blocking Lists (CBLs) verwalten, mit Hilfe derer bestimmt werden kann, ob die IP-Adresse eines potentiellen Opfers vorher als Spam-Quelle oder Proxy gelistet wurde. Eine CBL ist eine Schwarze Liste von IP-Adressen, von denen bekannt ist, dass sie an der Verbreitung von Spam oder Malware beteiligt sind.

“Persönlich habe ich noch nicht erlebt, dass eine CBL ausgenutzt wurde, aber von anderen Malware-Arten ist es durchaus bekannt.”, sagt der Sicherheitsexperte bei Zscaler, Chris Mannon. “Viele Trojaner und Viren pingen legitime Dienste, um mehr über ein Opfer zu erfahren.”

Da Sicherheitsfachleute häufig Daten dieser Art teilen, weiß ein Angreifer, dass eine IP-Adresse – wenn sie bei einem Service als harmlos gelistet ist – das sehr wahrscheinlich auch bei den meisten anderen der Fall sein wird.

“Der Angreifer weiß, ob ein Opfer der Sicherheitscommunity bekannt ist oder nicht. Wir teilen alle Informationen – das ist es, was Services dieser Art zum großen Teil ausmacht. Ich kann alles nachprüfen, um zu sehen, ob es schlecht ist.“, erläutert Mannon. “Wenn ein Angreifer ein Opfer mit einer guten IP-Reputation gefunden hat, so können sie es verunglimpfen, indem sie von dort aus Spam versenden.”

Spamhaus, das Projekt zur Spam-Prävention und –Bekämpfung sowie einige andere, nicht kommerzielle Blacklist-Services wurden kürzlich unfreiwillig zu Helfern von Kelihos.

“Ich weiß: Wenn Spamhaus die IP noch nicht blockiert hat, so werden die anderen Services es auch noch nicht getan haben, und daher kann das Botnetz von dieser Location aus Spam versenden.”, erklärt Mannon.

Auch die Tatsache, dass Kelihos Peer-to-Peer-Kommunikation nutzt und keine zentralisierten Command- und Control-Server oder Server, trägt zu seiner Überlebensfähigkeit bei. Peer-to-Peer-Botnetze sind schwer zu zerschlagen und werden nicht nur gern zum Spam-Versand genutzt, sondern finden auch immer mehr Anhänger unter Kriminellen, die sich durch Finanzbetrug, Identitätsdiebstahl oder DDoS-Attacken über Wasser halten. Ein P2P-Botnetz ist nicht nur gegenüber Strafverfolgungsbehörden widerstandsfähig, sondern auch gegenüber Sicherheitsanalysten resistent, die diese Netzwerke von kompromittierten Computern spezifizieren oder ihre Aktivität zerschlagen wollen.

Im August haben Ermittler in dem Blog Malware Must Die von anderen Veränderungen in der Infrastruktur von Kelihos berichtet, insbesondere dass es seine DNS von .RU zu .com Domains der obersten Ebene verlagert und ein Dutzend .com-Domains sowie hunderte weitere .ru-Sites identifizert hat, die offline genommen wurden und die allesamt bei einem Webhoster auf den Bahamas gefunden wurden. Es verwendet laut Lavasoft zudem andere Datei- und Registrierungsnamen, um so die Erkennung zu verhindern.

In neuen Studien wurde die Belastbarkeit von p2p-Botnetzen, insbesondere von Kelihos, ZeroAccess und Zeus unter die Lupe genommen und eine Reihe von Gründen für die Strapazierfähigkeit dieser Zombie-Netze herausgearbeitet. Häufig nutzen P2P-Botnetze maßgeschneiderte und verschlüsselte Kommunikationsprotokolle, was die Analyse zur Herausforderung werden lässt. Zudem machen sie sich ein Peer-Reputationsschema zunutze, um zu bestimmen, ob Bots vertrauenswürdig sind – solche, die nicht auf der Blacklist stehen. Andere sind noch raffinierter und nutzen fast-flux DNS oder Domain-Erzeugungsalgorithmen, um das Botnetz vor Störungen zu schützen.

Auf der RSA Conference 2013 demonstrierte der Experte bei CrowdStrike, Tillmann Werner, auf der Bühne einen Live-Takedown von Kelihos während einer Präsentation. Ihm gelang es, die mittlere Schicht von P2P-Proxy-Servern, die mit den Angreifern kommunizieren, durch Schreiben eines Sinkhole-Daemons zu infiltrieren, der sich wie ein Bot verhält. Der Daemon schickte vergiftete Peer-Listen zu den anderen Bots, mit denen er kommunizierte, im Besonderen Zusammenstellungen von IP-Adressen auf Schwarzen Listen und schickte sie damit Richtung Sinkhole und Vergessen.

Quelle:
Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.