19. November 2014

Das neue NotCompatible: Ausgereifte und schwer zu erfassende Bedrohung birgt Potenzial, Unternehmensnetzwerke zu schädigen

Über einen Zeitraum von zwei Jahren hat Lookout die Entwicklung von NotCompatible mitverfolgt. Es handelt sich dabei um eine Bedrohung, die von Anfang an ernst zunehmen war. Zum ersten Mal wurden in großem Stil Webseiten gehackt, um Smartphones und Tablets gezielt anzugreifen und zu infizieren.

NotCompatible.C erreicht  eine neue Dimension der Malware-Entwicklung und operativen Komplexität. Die Infrastruktur für Befehle und Kommunikation schützt sich selbst durch Redundanz und Verschlüsselung. Dadurch ist die Malware nur schwer zu definieren und hält sich am Leben ähnlich wie ein Regenwurm: Wird er durchtrennt, bildet er ein neues Körperende und erholt sich.

Durch die technische Weiterentwicklung von NotCompatible entstand aus einer überzeugenden Malware eines der am längsten laufenden Botnets, das wir bisher gesehen haben. Diese Malware ist ein Paradebeispiel dafür, wie sich die Komplexität von Malware für Smartphones und Tablets entwickelt. Es kommen dabei Taktiken zum Einsatz, die wir von PC-Malware kennen.

NotCompatible wird vom Nutzer als Proxy verwendet, um zum Beispiel Spam-Kampagnen durchzuführen oder Konzertkarten auf dem Schwarzmarkt anzubieten. Während NotCompatible.A noch über einen relativ einfachen Aufbau verfügte, hat sich NotCompatible.C so weiterentwickelt, das es sich mithilfe technischer Konzepte am Leben halten kann.

Unsere Untersuchungen haben ergeben, dass Bedrohungen wie diese bei Angriffen auf Unternehmensnetzwerke eingesetzt werden könnten. Dieses Risiko sollte nicht ignoriert werden. Lookout hat deshalb aktiv Hundertausende von Geräten weltweit vor NotCompatible geschützt.

EU_encounter_rate_DE

US_encounter_rate_DE

Malware auf Smartphones und Tablets erreicht Schadensniveau von PC-Malware

In NotCompatible.C sehen wir eine technologische Innovation  einer Malware, die durchaus das Niveau von traditionell PC-basierten Angriffen erreicht.

2012, als Lookout erstmals NotCompatible.A identifizierte, fungierte die Bedrohung als einfaches Proxy auf infizierten Geräten. Im Jahre 2014 und mit Erscheinen der neuen “C”-Variante von NotCompatible ist die Technologie deutlich ausgereifter, die Anwendung ist bisher jedoch dieselbe geblieben. NotCompatible.C ist im Grunde genommen ein Botnet, das gemietet werden kann; die Serverarchitektur, die Peer-to-Peer-Kommunikation sowie die Verschlüsselung schaffen daraus jedoch eine viel raffiniertere Bedrohung. Der Einsatz dieser Maßnahmen spiegelt fortschrittliche PC-Bedrohungen wider, wie wir sie etwa von Conficker kennen. Wie auch bei späteren Varianten von Conficker erschweren diese Features von NotCompatible.C die Identifikation und das Aufhalten auf Netzwerkebene, indem es auf End-to-end-Encryption setzt.

Aufgrund der technologischen Ausgereiftheit ist NotCompatible das am längsten laufende Botnet für Smartphones und Tablets, das wir jemals beobachtet haben. Es wurde erstmals 2012 identifiziert.

Schauen wir zum Vergleich ein anderes Botnet an, das wir 2012 entdeckt haben: SpamSoldier. Es hat mobile Geräte infiziert, um Spam-SMS ohne Zustimmung des Nutzers zu versenden. Weil es jedoch nicht die entsprechende technologische Reife besaß, konnten wir mit Mobilfunkanbietern zusammenarbeiten und das Botnet innerhalb weniger Wochen ausschalten.

Serverarchitektur und -betrieb

NonCompat_Operations_DE

In der Vergangenheit haben Malware-Betreiber nicht besonders viel zum Schutz ihrer Infrastruktur und Kommunikation unternommen. NotCompatible.C nutzt jedoch eine zweistufige Serverarchitekur. Der Gateway Command and Control (C2)-Server setzt auf Lastverteilung: Infizierte Geräte aus unterschiedlichen IP-Adressregionen werden gefiltert und geografisch unterteilt; nur bei authentifizierten Clients wird die Verbindung hergestellt. Dieses Modell bringt nicht nur eine Client-Nutzen-Effizienz mit sich. Unsere Untersuchung deutet darauf hin, dass es auch dabei hilft, das unerkannt zu bleiben. Wir vermuten, dass der Gateway C2-Server Untersuchungen und Verhaltensanalysen erschweren soll, den Traffic wahrzunehmen. Wenn das Gateway ein infiziertes Gerät als gültig erkennt, erhält es eine Konfigurationsdatei mit allen aktiven, betriebsfähigen C2s. In Summe waren es bei der letzten Zählung mehr als zehn separate und unterschiedliche Server in Schweden, Polen, den Niederlanden, Großbritannien und den USA.

Client-Verbindungen

Sobald der Kontakt mit dem betriebsfähigen C2 hergestellt ist, erhält das infizierte Gerät eine Liste weiterer infizierter Geräte (d.h. “Clients”), mit denen es sich verbinden und austauschen kann.

Und hierin liegt die große Stärke von NotCompatible.C.

Die Fähigkeit, einem Client die Möglichkeit zu geben, C2-Verbindungsaufträge über eine unbegrenzte Anzahl an Clients zu erhalten, erzeugt eine starke Redundanz – quasi einen Notfallplan – im Ökosystem von NotCompatible und verhindert eine Unterbrechung im eigenen System. Dank der Peers kann der Client ganz einfach neue C2s finden, wenn Maßnahmen zur Abschaltung von C2s durchgeführt wurden, mit denen ursprünglich eine Verbindung bestand.

Durchgängige Verschlüsselung

Im Gegensatz zu NotCompatible.A ist jegliche Kommunikation zwischen Clients und C2s verschlüsselt. Der Traffic von NotCompatible.C erscheint als binäre Datenströme, unscheinbar und nicht zu unterscheiden von seriösem, verschlüsseltem Traffic über SSL, SSH oder VPN.

Das Geschäft mit den Miet-Botnets

NotCompatible ist aller Wahrscheinlichkeit nach ein Miet-Botnet-Geschäft, das jedem ermöglicht, sich den Zugriff auf eine Reihe von Aktivitäten zu kaufen.

Anhand der Beobachtung der Proxy-Nutzung und Befehle, die von den C2s kamen, hat Lookout einige schädliche Verhaltensweisen von NotCompatible.C festgestellt, u.a.:

  •      Spam-Kampagnen (Live, Aol, Yahoo, Comcast)
  •      Massenkauf von Tickets (Ticketmaster, Livenation, Eventshopper, Craigslist)
  •      Brute Force-Angriffe (WordPress)
  •      c99shell Control (Einloggen in Shells und Durchführung verschiedener Aktionen)

Um neue Clients zu diesem Geschäft hinzuzufügen, nutzen die NotCompatible.C-Betreiber dieselbe Verbreitungsmethode wie bei älteren Varianten: Drive-by-Downloads über Spam-Kampagnen und kompromittierte Websites.

NotCompatible.C-Betreiber verwenden keine uns bekannten Exploits und vertrauen stattdessen auf sogenannte Social Engineering-Taktiken, um Opfer zur Installation der Malware zu bringen. Eine uns bekannte Spam-Mail informiert den Nutzer, dass er ein “Sicherheits-Patch“ installieren müsse, um eine angehängte Datei zu öffnen.

Es macht den Anschein, dass die Malware-Betreiber auch große Mengen an kompromittierten Konten und Websites gekauft haben. Lookout hat beispielsweise Spam-Kampagnen beobachtet, die an bestimmte Gruppen kompromittierter Konten gebunden waren: In einer Kampagne waren es AOL-Konten, in einer anderen Yahoo!-Konten.

Risiko für geschützte Netzwerke

NonCompat_Attack_Paterns_DE

Bislang beobachtete Lookout nicht, dass NotCompatible.C genutzt wurde, um geschützte Netzwerke anzugreifen. Die Proxy-Fähigkeiten machen die Malware jedoch zu einer potenziellen Bedrohung und sind ein konkretes Risiko für die Netzwerksicherheit. Wir glauben, dass NotCompatible bereits in zahlreichen Unternehmensnetzwerken vorhanden ist, da wir über die  Datenbank von Lookout wissen, dass Hunderte von Unternehmensnetzwerken Geräte enthalten, die mit NotCompatible in Berührung gekommen sind.

Wie könnte sich diese Bedrohung seinen Weg in ein Unternehmen bahnen? Sobald ein Gerät mit NotCompatible.C infiziert ist und in ein Unternehmen gebracht wird, könnte es den Betreibern des Botnets Zugriff auf das Firmennetzwerk verschaffen. Mithilfe des NotCompatible-Proxy hat ein Angreifer viele Möglichkeiten: angreifbare Hosts innerhalb des Netzwerkes spezifizieren, Schwachstellen ausnutzen und nach ungeschützten Daten suchen.

In unserer Untersuchung haben wir auch Strategien identifiziert, wie Endpunktsicherheit und Segmentierung des Unternehmensnetzwerkes, die Verbraucher und Unternehmen anwenden können.

Wo es eine  große Nachfrage gibt, taucht häufig eine Weiterentwicklung der Technologie auf. Es ist klar, dass Kunden von NotCompatible das Botnet nützlich fanden – was vermutlich die Entwickler dazu veranlasst hat, ein solides und schwer abschaltbares System zu bauen. Wir gehen davon aus, dass wir in Zukunft häufiger mit dieser Malware-Raffinesse zu tun haben werden. Malware wird reifer.

Schreiben Sie einen Kommentar