Trickbot-Infrastruktur wächst
Böswillige Netzwerker
Fortsetzung des Artikels von Teil 1
Ein Netz in voller Blüte
Eine Momentaufnahme aus dem März 2020 zeigte den Ausbaugrad des Botnetzes, das aus C2-Servern (Command and Control) zur Kontrolle der Zielumgebungen, den Download-Servern zum Verteilen der Plug-ins sowie den lokalen Bots auf dem angegriffenen Server besteht. Die C2-Server agieren als Bindeglieder zwischen Opfer und Angreifer und ermöglichen den Hackern, auf Systeme von Opfern hinter einer Firewall zuzugreifen. Die Angreifer verbreiten als Erstes eine ausführbare Trickbot-Datei über Spamkampagnen auf den Servern der Opfer. Diese kontaktiert dann die Angreifer, um Listen der C2-Server, Download-Server sowie die Plug-ins mit Schadfunktionen anzufordern.
Um die Funktionsfähigkeit aufrechtzuerhalten, lädt die Trickbot-Ausführungsdatei einige Plug-ins zum Start der Malware-Aktivität automatisch, ohne einen C2-Befehl abzuwarten. Danach wartet der Bot vor Ort auf die nächsten Instruktionen, um je nach Angriff die notwendigen Plug-ins zu aktivieren. Sollten benötigte Plug-ins lokal nicht vorhanden sein, fragt der Bot diese bei den Download-Servern an. Die Liste verfügbarer Plug-in-Funktionen war bei einer Analyse des Trickbot-Netzes letztes Jahr bemerkenswert. Dazu gehörten Tools zur lateralen Bewegung wie die Wurmkomponente WormDll/mWormDll/tWormDll, die sich über das SMB-Protokoll verbreiten. ShareDll/mShareDll/tShareDLL verwaltet Remote-Dienste und stiehlt Passwörter, um weitere Remote-Dienste zu installieren. Andere Tools wie SystemInfo oder NetworkDll sammeln Informationen zum System oder zum Netzwerk-Mapping und sichten Cookies oder Browser-Konfigurationen. Ebenso wichtig sind Möglichkeiten, um die Bearbeitung externer Anfragen durch einen Reverse Proxy (NewBCtestnDll) im Sinn der Angreifer zu steuern. Zum Funktionskatalog zählen zudem Plug-ins, um Informationen zu exfiltrieren, Zugangsdaten zu erlangen oder mit Brute-Force-Angriffen gegen eine Zielliste vorzugehen.
Die Dimensionen des 2020 analysierten Botnetzes sind beeindruckend. Gefunden wurden 3.460 IP-Adressen von Servern, darunter 2.926 C2-Server und 556 Download-Server, 22 Systeme erfüllten beide Funktionen. Die Struktur dieses Netzes war äußerst dynamisch: Während Experten das Botnetz beobachteten, kamen monatlich rund 100 neue IP-Adressen dazu, deren durchschnittliche Lebensdauer aber nur 16 Tage betrug. Im Frühjahr 2020 lag der Schwerpunkt der Aktivitäten auf Russland.
- Böswillige Netzwerker
- Ein Netz in voller Blüte
- Arbeit an neuen Funktionen
Lesen Sie mehr zum Thema
