News

TDSS jetzt mit Domain-Generator

Nach Angaben von Damballa ist das auf dem Rootkit TDL-4 basierende Zombie-Netz nun mit einem weiteren Selbstschutz ausgestattet, und zwar mit dem Domain-Generator DGA.

Der Einsatz von DGA (Domain Generation Algorithm) zur Verschleierung des wirklichen Standortes der C&C ist durchaus kein neuer, aber dafür ein recht effektiver Trick. Er wurde schon mit Erfolg von den Botmastern der Zombie-Netze Kraken, Sinowal, Waledac, Kido und ZeuS eingesetzt, um die Lebensdauer der Steuerungsinfrastruktur zur verlängern. Der DGA-Algorithmus erzeugt in voreingestellten Intervallen lange Listen von Domain-Namen, die auf der Grundlage einer zufälligen Auswahl generiert werden. Bei dem Versuch, sich mit dem Steuerungszentrum zu verbinden, geht der Bot der Reihe nach die Positionen auf der Liste durch, und schickt dem DNS-Server solange Anfragen, bis er eine funktionierende Domain findet

Die Experten entdeckten bei der Beobachtung der letzten Click-Fraud-Kampagne unter Beteiligung von TDL-4 eine erhöhte NS-Aktivität. Die charakteristischen Besonderheiten des DNS-Traffics lösten den Alarm der Netz-Analysatoren von Damballa aus, die im Netz nach Bedrohungen auf der Grundlage von DGA suchen. Es stellte sich heraus, dass TDL-4-Bots für das verdächtige Verhalten verantwortlich waren, die versuchen, ein C&C im Netz ausfindig zu machen, um über die Ergebnisse des Click-Fraud-Angriffs zu berichten. Bisher ist es den Experten allerdings nicht gelungen, ihre Entdeckung mit einem sprechenden Beispiel zu belegen: Keiner der Kollegen scheint über das nötige Sample zu verfügen. Um sich von der Richtigkeit ihrer Annahmen zu überzeugen, mussten die Fachleute von Damballa einen Sinkhole-Router einsetzen, der den Befehls-Traffic abfängt, sowie Screenshots vom Speicher der infizierten Geräte.

Die DGA-Modifikation von TDL-4 kursiert vermutlich bereits seit Mai dieses Jahres im Internet. Auf ihr Konto gehen schon mehr als 250.000 Opfer, unter anderem Regierungsbehörden, Internet-Provider und 46 Unternehmen aus der Fortune-500-Liste. Die Ermittler zählten 85 Server und 418 einzelne Domains, die mit dem neuen TDL-4 in Verbindung stehen. Die meisten C&C wurden in Russland (26 Hosts), Rumänien (15) und Holland (12) entdeckt. Die oben erwähnte Click-Fraud-Kampagne zielt auf das Abziehen von Klicks von Facebook, DoubleClick, YouTube, Yahoo.com, MSN und Google.com ab.

TDL-4 erschien erstmals vor zwei Jahren als jüngster Evolutionsschritt des Rootkits TDSS auf der Internet-Bühne. Laut Daten von Kaspersky Lab gehörten Anfang vergangenen Jahres zu dem auf diesem Schädling basierenden Botnetz mehr als 4,5 Millionen infizierte Computer. Diese schlagkräftige Waffe wird von Cyberkriminellen zu Betrügereien mit Werbung und Suchsystemen eingesetzt, sowie für den anonymen Zugriff auf das Netz und zur Installation anderer Schadprogramme auf den Rechnern des Zombie-Netzwerks. TDL-4 verfügt über verschiedene Selbstschutzmechanismen, wie beispielsweise Verschlüsselung des Befehls-Traffics, Steuerung über р2р-Kanäle, Proxyserver und sogar über einen eigenen „Antivirus“, um sich die Konkurrenz vom Leib zu halten. Die Entdeckung von Damballa zeigt einmal mehr, dass die Entwicklung von TDSS keineswegs abgeschlossen ist, und der Schädling vielmehr weiter perfektioniert wird.

Quelle: Damballa

TDSS jetzt mit Domain-Generator

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach