zurück zur Übersicht

DNS-Abfragen als Command&Control-Mechanismus

Das Research-Team „Unit42“ des IT-Security-Herstellers Palo Alto Networks hat in den letzten Wochen einen gezielten Angriff auf eine US-Organisation beobachtet, der von der APT-Gruppe Wekby durchgeführt wurde. Wekby tritt seit Jahren durch Angriffe auf verschiedenen Branchen wie Gesundheitswesen, Telekommunikation, Luft- und Raumfahrt, Verteidigung und High-Tech in Erscheinung und ist dafür bekannt, besonders aktuelle Exploits zu nutzen, in diesem Fall einen Zero-Day-Exploit für Flash von HackingTeam.

Funktionsweise

dns-CnC_01
Quelle: Palo Alto Networks

Die verwendete Malware ist mit der HTTPBrowser Malware-Familie verwandt und verwendet DNS-Anfragen als Command&Control-Mechanismus. Darüber hinaus verwendet sie verschiedene Verschleierungstechniken, um eine Analyse zu erschweren. Basierend auf Metadaten, die in analysierten Proben enthalten waren, hat Palo Alto Networks diese Malware-Familie „pisloader“ genannt.

Die Malware wurde über HTTP von verschiedenen, kürzlich registrierten URLs verteilt. Das analysierte Sample wurde erst am 29.4.2016 kompiliert und die Referenz „pisload2“ diente als Namensgeber für die Malware-Familie.

Die Malware enthält relativ einfachen Code, der durch Entschlüsselung und Ausführung einer eingebetteten ausführbaren Datei und Setzen entsprechender Autostart-Registry-Keys das System dauerhaft infiziert. Um eine Analyse der Malware und ihrer Funktion zu erschweren, kommen simple Verschleierungstechniken zum Einsatz. Die Autoren haben zum Beispiel Zeichenketten aufgespalten und sie unter Verwendung der Funktionen „strcpy“ und „strcat“ wieder zusammengesetzt oder Zeichenketten wahllos angelegt, jedoch nie benutzt, um damit Verwirrung zu stiften.

Vereinfacht dargestellt, führt die Malware drei Befehle aus:

  1. Entschlüsseln von zwei Datenblöcken, um daraus die ausführbare Datei lsm.exe zu erzeugen
  2. Setzen der Keys für den Autostart der lsm.exe
  3. Ausführen der lsm.exe

Let’s talk in DNS, please!

Die eigentliche Payload ist ziemlich gut geschützt und benutzt Return-Oriented-Programming-Techniken und eine Reihe von unnützen Assemblerinstruktionen, um eine Funktionsanalyse durch Reverse-Engineering zu verhindern. Sind die Verschleierungsfunktionen durchschaut, ist die Funktionsweise recht simpel. Es wird zunächst ein zufälliger, 10-Byte großer alphanumerischer Header erzeugt. Die restlichen Daten werden verwendet, um eine Sub-Domain zu füllen, die für einen TXT-Eintrag in einer nachfolgenden DNS-Abfrage verwendet wird. Die Verwendung von DNS ermöglicht psiloader die Umgehung von Sicherheitslösungen, die diesen Verkehr nicht richtig analysieren. So bleibt die Command&Control-Kommunikation in der Regel unbemerkt.

Die Malware sendet nun in regelmäßigen Abständen Abfragen mit einem 4-byte String aus Großbuchstaben, die als Payload dienen.

Durch die Verwendung von DNS wird die Command&Control-Verbindung verschleiert
Quelle: Palo Alto Networks

Der Command&Control-Server antwortet nun mit einem TXT-Eintrag, der genauso codiert ist wie die ursprüngliche Anfrage. Aus der Antwort wird das erste Byte ignoriert und die restlichen Daten sind base32-codiert:

Durch die Verwendung von DNS wird die Command&Control-Verbindung verschleiert
Quelle: Palo Alto Networks

Auf diesem Weg kann die Malware folgende Befehle empfangen, um das kompromittierte System für den Angreifer nutzbar zu machen:

  • sifo – Systeminformationen vom Opfer sammeln
  • drive – Auflistung der Laufwerke der Maschine
  • list – Auflistung des Verzeichnisinhalts
  • upload – Upload einer Datei zum Opfer
  • open – Öffnen einer Command shell

Schutzfunktionen im Überblick – So verhindern Sie die Command&Control Verbindungen

Mit folgenden Funktionen ermöglicht die Sicherheitsplattform von Palo Alto Networks die Erkennung von Schadsoftware wie pisloader:

WildFire, die Analyseplattform für Schadsoftware, erkennt zuverlässig alle bisher bekannten pisloader-Samples als schadhaft. Wird sie erkannt, kann die Übertragung und Ausführung der Datei unterbunden und eine Kompromittierung des Systems verhindert werden.

In AutoFocus, dem Threat Intelligence Service, wurde ein spezieller Tag angelegt, um die Malware-Familie besser verfolgen zu können. Damit sind Security-Verantwortliche in der Lage, Angriffe besser und schneller zu analysieren und entsprechende Gegenmaßnahmen einzuleiten.

Alle Domains und IPs über die die Schadsoftware verteilt wurde, wurden in der PAN-DB, der URL-Filterdatenbank, als bösartig klassifiziert. Die entsprechende Konfiguration vorausgesetzt, wird so der Zugriff auf diese URLs unterbunden und so eine Infektion zuverlässig verhindert.

Für Threat Prevention, das IPS-Modul der Next Generation Firewall, wurde eine Regel erzeugt, die die C&C-Kommunikation von pisloader erkennt und unterbindet. Sollten Systeme bereits infiziert sein, werden sie so erkannt und der Kontrolle des Angreifers entzogen.

 


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar