Simdas Versteckspiel: kein Kinderkram

Am 9. April waren Kaspersky Lab und INTERPOL an der synchronisierten Operation zur Zerschlagung des Simda-Botnets beteiligt, die vom INTERPOL Global Complex for Innovation koordiniert wurde. In diesem Fall wurden die Ermittlungen zunächst von Microsoft eingeleitet und dann ausgeweitet, so dass sich der Kreis der Beteiligten unter anderem auf die folgenden Organisationen erstreckte: TrendMicro, das Cyber Defense Institute, die niederländische NHTCU, das FBI, die Police Grand-Ducale Section Nouvelles Technologies in Luxemburg und das für Cyberkriminalität zuständige Department „K“ des russischen Innenministeriums, unterhalten vom nationalen Zentralbüro von INTERPOL in Moskau.

Im Rahmen der Zerschlagungs-Aktion wurden 14 C&C-Server konfisziert, die sich in den Niederlanden, den USA, Luxemburg, Polen und Russland befanden. Eine vorläufige Analyse einiger der abgefangenen Server-Logs förderte eine Liste von 190 Ländern zutage, die von der Aktivität des Simda-Botnets betroffen sind.

Simba, die liebenswerte Walt Disney-Figur, hat nichts mit dem Simda-Botnet zu tun

Simda ist ein mysteriöses Botnet, das zu kriminellen Zwecken benutzt wird, z.B. zur Verbreitung potentiell unerwünschter und schädlicher Software. Dieser Bot ist deshalb mysteriös, weil er nur selten auf unserem KSN-Radar erscheint, obwohl er täglich eine große Zahl von Hosts kompromittiert. Das liegt teilweise an der Erkennung von Emulation, Sicherheitstools und virtuellen Maschinen. Die Schadsoftware verfügt über eine Reihe von Methoden, Sandbox-Umgebungen zu erkennen, in der Absicht die Malware-Analysten auszutricksen, indem die gesamten CPU-Ressourcen aufgezehrt werden oder der Botnet-Betreiber über die IP-Adresse des Analysten-Netzwerks informiert wird. Ein weiterer Grund ist ein serverseitiger Polymorphismus und die eingeschränkte Lebensdauer der Bots.

Simda wird von einer Reihe infizierter Websites verbreitet, die auf Exploit-Kits umleiten. Der Bot verwendet hart codierte IP-Adressen, um seinen Meister über verschiedene Stadien des Ausführungsprozesses in Kenntnis zu setzen. Er lädt zusätzliche Komponenten von seinen eigenen Update-Servern und führt sie aus, zudem ist er in der Lage, die Systemdatei hosts zu modifizieren. Letztgenanntes ist eine recht interessante Technik, auch wenn sie auf den ersten Blick zu offensichtlich erscheint.

Normalerweise modifizieren Malware-Autoren die host-Dateien, um Suchmaschinenergebnisse zu manipulieren oder einige Sicherheitssoftware-Websites auf die Schwarze Liste zu setzen, doch der Simda-Bot fügt unerwartete Einträge für google-analytics.com und connect.facebook.net hinzu, um auf schädliche IPs zu verweisen.

Wozu das, mag man sich fragen? Wir wissen es nicht, doch wir glauben, dass die Antwort mit Simdas eigentlicher Bestimmung zusammenhängt – der Verbreitung anderer Malware. Das kriminelle Geschäftsmodell eröffnet die Möglichkeit exklusiver Malware-Verbreitung. Das bedeutet, die Verbreiter können dafür garantieren, dass nur die Malware des Kunden auf den infizierten Rechnern installiert wird. Und das ist der Fall, wenn Simda eine Antwort von dem C&C-Server interpretiert – er kann sich selbst deaktivieren, indem er den Bot davon abhält, beim nächsten Reboot zu starten und umgehend aussteigt. Diese Deaktivierung geht mit der Modifizierung der hosts-Systemdatei einher. Als Abschiedsgeste ersetzt Simda die originale hosts-Datei durch eine neue aus seinem eigenen Körper.

Der neugierige Leser mag nun fragen: Was nützt ihm das alles? Diese Domains werden nicht länger benutzt, um Suchergebnisse zu generieren, sondern mit Simda infizierte Rechner haben in der Vergangenheit gelegentlich weiter http-Anfragen an schädliche Server geschickt, selbst wenn vermutet wird, dass ausschließlich Malware von dritter Seite installiert ist.

Wir dürfen nicht vergessen, dass diese Rechner ursprünglich von einem Exploit-Kit infiziert wurden, das eine Sicherheitslücke in nicht gepatchter Software ausnutzt. Es ist höchstwahrscheinlich, dass Fremd-Malware mit der Zeit entfernt wird, aber ein sorgloser Nutzer kommt vielleicht nie auf die Idee, angreifbare Software zu aktualisieren.

Wenn alle diese Hosts zu den schädlichen Servern zurückkehren und Webressourcen wie etwa Javascript-Dateien anfragen, könnten Kriminelle dieselben Exploits nutzen, um die Computer erneut zu infizieren und sie noch einmal von vorn zu verkaufen – vielleicht sogar „exklusiv“ an den ursprünglichen Kunden. Womit einmal mehr bewiesen wäre – selbst Verbrecher können Verbrechern nicht trauen.

Bei diesen Ermittlungen schlossen Microsoft und verschiedene Strafverfolgungsbehörden den Sinkholing-Prozess ab und Kaspersky Lab leistete gern einen Beitrag zur Vorbereitung der Botnet-Abschaltung. Dazu gehörte die technische Analyse der Malware, das Sammeln von statistischen Infektionsdaten, Empfehlungen zur Beschlagnahmungsstrategie sowie Beratungen mit unseren Partnern von INTERPOL.

Kaspersky Lab detektiert den Simda-Bot als Backdoor.Win32.Simda und unseren Schätzungen zufolge, die auf den KSN-Statistiken und den Daten unserer Partner basieren, sind weltweit hunderttausende Opfer betroffen.

Simda wird automatisch bei Bedarf generiert, wovon auch das völlige Fehlen jeglicher Regelmäßigkeit bei den Linkzeiten zeugt. Unten stehend eine Grafik, die von einer kleinen Untermenge von etwa 70 zufälligen Simda-Samples erstellt wurde:

Linkzeiten der Samples in der UTC-Zeitzone

Die Zunahme der Linkzeiten hat aller Wahrscheinlichkeit nach mit der Aktivität der meisten Simda-Opfer zu tun, die sich irgendwo in den Zeitzonen zwischen UTC-9 und UTC-5 befinden, was die USA einschließt.

Dank der Sinkhole-Operation und den unter den Partnern ausgetauschten Daten konnten wir eine Seite erstellen, auf der Sie überprüfen können, ob Ihre IP in der Vergangenheit mit den C&C-Servern von Simda verbunden war. Wenn Sie den Verdacht haben, dass Ihr Computer kompromittiert wurde, nutzen Sie unsere kostenlose Lösung oder unsere Testversion, um Ihre gesamte Festplatte zu scannen, oder installieren Sie Kaspersky Internet Security als langfristigen Schutz.

Die Produkte von Kaspersky Lab detektieren aktuell hunderttausende von Simda-Modifikationen, zusammen mit vielen unterschiedlichen Fremd-Schadprogrammen, die im Rahmen der Simda-Kampagne verbreitet werden.

References:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.