TDSS jetzt mit Domain-Generator

Nach Angaben von Damballa ist das auf dem Rootkit TDL-4 basierende Zombie-Netz nun mit einem weiteren Selbstschutz ausgestattet, und zwar mit dem Domain-Generator DGA.

Der Einsatz von DGA (Domain Generation Algorithm) zur Verschleierung des wirklichen Standortes der C&C ist durchaus kein neuer, aber dafür ein recht effektiver Trick. Er wurde schon mit Erfolg von den Botmastern der Zombie-Netze Kraken, Sinowal, Waledac, Kido und ZeuS eingesetzt, um die Lebensdauer der Steuerungsinfrastruktur zur verlängern. Der DGA-Algorithmus erzeugt in voreingestellten Intervallen lange Listen von Domain-Namen, die auf der Grundlage einer zufälligen Auswahl generiert werden. Bei dem Versuch, sich mit dem Steuerungszentrum zu verbinden, geht der Bot der Reihe nach die Positionen auf der Liste durch, und schickt dem DNS-Server solange Anfragen, bis er eine funktionierende Domain findet

Die Experten entdeckten bei der Beobachtung der letzten Click-Fraud-Kampagne unter Beteiligung von TDL-4 eine erhöhte NS-Aktivität. Die charakteristischen Besonderheiten des DNS-Traffics lösten den Alarm der Netz-Analysatoren von Damballa aus, die im Netz nach Bedrohungen auf der Grundlage von DGA suchen. Es stellte sich heraus, dass TDL-4-Bots für das verdächtige Verhalten verantwortlich waren, die versuchen, ein C&C im Netz ausfindig zu machen, um über die Ergebnisse des Click-Fraud-Angriffs zu berichten. Bisher ist es den Experten allerdings nicht gelungen, ihre Entdeckung mit einem sprechenden Beispiel zu belegen: Keiner der Kollegen scheint über das nötige Sample zu verfügen. Um sich von der Richtigkeit ihrer Annahmen zu überzeugen, mussten die Fachleute von Damballa einen Sinkhole-Router einsetzen, der den Befehls-Traffic abfängt, sowie Screenshots vom Speicher der infizierten Geräte.

Die DGA-Modifikation von TDL-4 kursiert vermutlich bereits seit Mai dieses Jahres im Internet. Auf ihr Konto gehen schon mehr als 250.000 Opfer, unter anderem Regierungsbehörden, Internet-Provider und 46 Unternehmen aus der Fortune-500-Liste. Die Ermittler zählten 85 Server und 418 einzelne Domains, die mit dem neuen TDL-4 in Verbindung stehen. Die meisten C&C wurden in Russland (26 Hosts), Rumänien (15) und Holland (12) entdeckt. Die oben erwähnte Click-Fraud-Kampagne zielt auf das Abziehen von Klicks von Facebook, DoubleClick, YouTube, Yahoo.com, MSN und Google.com ab.

TDL-4 erschien erstmals vor zwei Jahren als jüngster Evolutionsschritt des Rootkits TDSS auf der Internet-Bühne. Laut Daten von Kaspersky Lab gehörten Anfang vergangenen Jahres zu dem auf diesem Schädling basierenden Botnetz mehr als 4,5 Millionen infizierte Computer. Diese schlagkräftige Waffe wird von Cyberkriminellen zu Betrügereien mit Werbung und Suchsystemen eingesetzt, sowie für den anonymen Zugriff auf das Netz und zur Installation anderer Schadprogramme auf den Rechnern des Zombie-Netzwerks. TDL-4 verfügt über verschiedene Selbstschutzmechanismen, wie beispielsweise Verschlüsselung des Befehls-Traffics, Steuerung über р2р-Kanäle, Proxyserver und sogar über einen eigenen „Antivirus“, um sich die Konkurrenz vom Leib zu halten. Die Entdeckung von Damballa zeigt einmal mehr, dass die Entwicklung von TDSS keineswegs abgeschlossen ist, und der Schädling vielmehr weiter perfektioniert wird.

Quelle: Damballa

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.