Trickbot-Infrastruktur wächst
Böswillige Netzwerker
Fortsetzung des Artikels von Teil 2
Arbeit an neuen Funktionen
Bis zuletzt arbeiten die Techniker der Angreiferseite weiter an neuen Funktionen für die Trickbot-Netze. Die Aktionen von US-Behörden und Microsoft, das Botnetz zu bekämpfen und damit den US-Wahlkampf 2020 zu schützen, konnten diesen Elan vorübergehend behindern, aber nicht nachhaltig stoppen. Aktuell arbeiten die Angriffsentwickler an einem neuen VNC-Modul (Virtual Network Computing) und der C2-Server-Infrastruktur. Ziel ist es, auf infizierten Rechnern über alternative Desktops umfangreiche Informationen abzugreifen und neue Schadfunktionen einzuspielen.
Der Blick auf die Funktionsweise des VNC-Moduls zeigt die unverminderte Professionalität der Trickbot-Architekten. Das aktuelle Modul tvncDll kann angegriffene Systeme überwachen und Informationen sammeln. Mit dem Vorgängermodul
vncDll hatte die Gruppe ausgewählte prominente Ziele angegriffen. Im Sommer 2021 arbeiten die kriminellen Entwickler intensiv an dem neuen System, was die sehr hohe Frequenz von Updates und Bugfixes belegte.
Nach einer erfolgreichen Infektion sendet der C2-Server über die Control-Funktion und das Kommando SetConf die Konfigurationsdatei vnconf an das Modul. Diese Konfigurationsdatei enthält die IP-Adressen vordefinierter C2-Server. Im weiteren Setup meldet sich das Client-Modul zunächst durch einen versendeten Marker beim ersten verfügbaren C2-Server. Im selben Zug sendet es die Bot-ID, die das auf dem Rechner implementierte Modul eindeutig identifiziert. Je nach Antwort des C2-Servers reagiert das Modul unterschiedlich. Entweder bleibt es zunächst inaktiv und wartet auf ein Signal des C2-Servers, um in Aktion zu treten; oder es beendet seine Aktivität und ersucht Trickbot, das Modul aus seinem Speicher zu löschen. Andernfalls geht es in den Betriebsmodus über. Damit beginnt der Nachrichtenaustausch zwischen Client und bösartigem Host. Im Full-Duplex-Modus übermittelt der Bot Screenshots des alternativen Desktops und Clipboard-Informationen. Der Datenverkehr mit den C2-Servern läuft über Port 443 und erzeugt damit wenig Verdacht. Dabei verwendet tvncDlI ein eigenes Kommunikationsprotokoll, das verschleiert, welche Daten das Modul ohne Wissen des Opfers an den C2-Server überträgt.
Das Modul baut seinen eigenen alternativen Desktop auf, den der Angreifer komplett über das Modul bedienen kann. Über den Menüpunkt Cmd.exe können die Eindringlinge auf dem angegriffenen System mehrere Aktionen mittels PowerShell anstoßen. Dazu gehören das Herunterladen neuer Payloads, um Angriffe innerhalb des Netzwerks durchzuführen, das Öffnen verschiedener Dokumente oder der E-Mail-Inbox sowie der Upload der Daten und Informationen vom Opferrechner auf den C2-Server. Die Schaltfläche „Native Browser“ ermöglicht das Offenlegen von Passwörtern in Password-Dumps. Mehrere wöchentliche Updates belegen, wie intensiv die Entwickler an neuen Funktionen arbeiteten.
Botnetze zeigen, wie anspruchsvoll und nachhaltig Kriminelle mittlerweile vorgehen, um Netze anzugreifen und sich davor schützen, dass die Abwehr sie entdeckt. Die Zeiten simpler Angriffe, die das IT-Security-Team durch Deinstallation der Malware abwehren konnte, sind vorbei. Wer aktuelle Angriffe entdecken und abwehren will, muss sein ganzes Netz ständig beobachten. XDR-Lösungen (Extended Detection and Response) zur Beobachtung aller Aktivitäten an Endpunkten und im Netz sind hier eine wichtige Voraussetzung. Viele Aktivitäten lassen sich aber nur durch die Hilfe von Experten erkennen und frühzeitig genug abwehren: MDR (Managed Detection and Response) und Sicherheitsanalysten im eigenen oder externen Security Operation Center leisten hier wertvolle Dienste.
Bogdan Botezatu ist Director of Threat Research & Reporting bei Bitdefender.
- Böswillige Netzwerker
- Ein Netz in voller Blüte
- Arbeit an neuen Funktionen
Lesen Sie mehr zum Thema
