Die Analyse des Jericho-Botnets: ein moderner Malware-Fall

Malware wird immer ausgefeilter. Dafür gibt es in letzter Zeit mehrere Beispiele. Bei Palo Alto Networks hat sich Wade Williamson mit einem Banking-Botnet namens Jericho Botnet intensiv beschäftigt. Bei ZDNet berichtet er von den Ergebnissen.

Während früher der eine oder andere Wurm oder Virus bei seinem “Ausbruch” noch großes Aufsehen erregt hat, werden heute stündlich tausende neuer Schadprogramme auf die Rechner der Nutzer losgelassen. Warum sollte man sich da gerade einen für eine Analyse herauspicken, noch dazu einen, der vergleichsweise wenig Aufsehen erregt hat? Die Antwort ist: Das Jericho-Botnet eignet sich gut als Beispiel, weil es quasi stellvertretend für mehrere Malware-Trends 2012 steht. Gleichzeitzig hilft es, die immer raffinierter werdenden Techniken der Malware-Programmierer zu verstehen und macht zudem den Bedarf nach engmaschigeren Kontrollen der Steuerungsapplikationen deutlich, über welche die Malware nach außen kommuniziert. Schließlich sieht man daran gut, welche Vorteile die derzeit bei Sicherheitslösungen Einzug haltende Sandbox-Analyse beim Schutz von Netzwerken vor Malware bietet.

Anfang April hatten wir damit begonnen, ein neues Banking-Botnet zu identifizieren, dass sich in Unternehmensnetzwerken ausbreitet, und von herkömmlichen Antivirus-Signaturen nur sehr schwer erfasst wird. Entdecken konnten wir es mit Hilfe der Sandbox-Analyse. Dabei werden unbekannte Dateien auf Übereinstimmung im Verhalten mit moderner Malware untersucht. Bei näherem Hinsehen schienen diese schädlichen Dateien auf einer Variante des wohlbekannten Stealth-Trojaners Jorik zu basieren, und wir stellten fest, dass alle 42 Varianten aus Israel stammten.

Wade Williamson, der Autor dieses Gastbeitrags für ZDNet, ist Senior Security Analyst bei Palo Alto Networks (Bild: Palo Alto Networks).
Wade Williamson, der Autor dieses Gastbeitrags für ZDNet, ist Senior Security Analyst bei Palo Alto Networks (Bild: Palo Alto Networks).

Diese Dateien wurden den Opfern beim Browsen auf .php-Seiten auf den Rechner gespielt. Obwohl die Dateien ursprünglich von Domains in Israel stammten, zeigte die Analyse des Malware-Paketes selbst, dass die große Mehrheit der URLs, von denen die Malware auf die Rechner gespielt wurde, die Endung ierihon(dot)com aufwiesen. Ierihon ist das rumänische Wort für Jericho – daher der Name des Botnets. Ein Reverse Engineering des Bruchstücks förderte noch weitere rumänische Begriffe zutage. Dies legt nahe, dass das Malware-Package ursprünglich aus Rumänien stammt.

Die interessanteste Eigenschaft des Jericho-Botnets als Beispiel für moderne Malware ist die außergewöhnliche Mühe, die sich die Programmierer gemacht haben, um der Entdeckung durch Antivirenprogramme zu entgehen. Eine der Haupttechniken, die zum Einsatz kommt, ist die Nutzung der Kommunikationsprozesse anderer Applikationen, um die eigene Kommunikation und andere Aktivitäten zu verschleiern.

Die Entwickler scheinen sich außerdem extrem schnelle Iterationen ihrer Software zunutze zu machen, wodurch das Profil der Malware ausreichend verändert wird, um genügend Zeit zwischen der neuesten Malware und den Signaturen der Hersteller von Antivirenlösungen zum Aufspüren der Bedrohung zu haben.

Zunächst kann sich die Malware auf Systemen, deren AV-Software die Bedrohung nicht erkennt, selbst in Windows injizieren. Nach einem Neustart des Rechners setzt sie sich auf dem infizierten Rechner fest. So bekommt Jericho den Fuß in die Tür des Zielsystems. Von dort aus nutzt die Malware die sogenannte “Hooking”-Technologie, um sich in spezifische Prozesse herkömmlicher Applikationen einzuklinken. Die Malware zeigt eine deutliche Vorliebe für Firefox, aber auch andere Browser wie IE, Chrome und Opera werden verwendet.

Jericho nutzt jedoch auch weitere Web-Applikationen und herkömmliche Software-Bibliotheken für seine Zwecke, darunter auch Java, Outlook und Skype. Dies zeigt wieder einmal, dass das Absichern des Browsers nicht ausreicht, um sich vor moderner Malware zu schützen. Denn die Malware kann ihre Aktivitäten in freigegebenen Applikationen während der Laufzeit verbergen, was es auch für Security-Lösungen deutlich schwerer macht, sie über herkömmliche Windows-Aufrufe zu entdecken. Dies vermeidet ebenfalls unerwünschte Aufmerksamkeit von Antiviren-Programmen und macht die Malware noch hartnäckiger im Hinblick auf Netzwerk- und Endpunkt-Absicherung.

Von 42 Jericho-Varianten konnten die besten AV-Lösungen am ersten Tag, als diese auftauchten, gerade einmal 3,2 Prozent erkennen(Grafik: Palo Alto Networks).
Von 42 Jericho-Varianten konnten die besten AV-Lösungen am ersten Tag, als diese auftauchten, gerade einmal 3,2 Prozent erkennen. Mit der Zeit verbesserte sich die Erkennungsquote, lag aber auch nach sieben Tagen nur bei 39 Prozent (Grafik: Palo Alto Networks).

Eine Querschnittsanalyse belegt ebenfalls, dass diese die Malware-Varianten durch eine Kombination aus dem Kapern herkömmlicher Applikationen (ein weiterer unerfreulicher Trend 2012) und der schnellen Iterationen die meisten Antivirenprogramme mehrere Tage lang umgehen konnten. Von den 42 analysierten Jericho-Varianten konnten die besten AV-Lösungen an dem Tag, als sie in freier Wildbahn auftauchten, gerade einmal 3,2 Prozent erkennen. Mit der Zeit verbesserte sich die AV-Erkennungsquote langsam aber stetig auf insgesamt 39 Prozent nach 7 Tagen. Allerdings wurden in diesen sieben Tagen 12 der 42 Jericho-Signaturen von keiner der gängigen AV-Lösungen erkannt.

Schädliche Funktionen

Was macht Jericho, sobald es die Drittapplikationen gekapert hat? Es verwendet sie zum Aufspüren und Ausspähen von Passwörtern und Cookies, wodurch die Angreifer Zugang zu den Online-Konten der Opfer erhalten. Die Analyse der Proben zeigte mehr als 100 Domains, auf die es die Täter abgesehen hatten, die Mehrzahl davon Banking-Websites und andere Finanzwebsites.

Es soll noch einmal betont werden, dass die zunehmende Raffinesse der Malware in den vergangenen Jahren ein Nebenprodukt des Netzwerkeffektes ist: Es fällt den Malware-Autoren zunehmend leichter, leistungsfähige Enduser-Applikationen für ihre Zwecke auszunutzen und die Wirkung ihrer eigenen Aktivitäten über bestehende IT-Security-Produkte zu überprüfen, das Wissen über Verschleierungstechniken weiterzugeben und sich darüber auszutauschen, welche davon funktionieren und welche nicht. Wir erwarten daher, dass zukünftig noch mehr Malware eigentlich vertrauenswürdige Applikationen kapern wird. Es ist jedoch noch nicht alles verloren, da moderne IT Security-Produkte zunehmend in der Lage sind, Malware-Proben von vielen verschiedenen Punkten zu sammeln und das Verhalten dieser Dateien in einer zentralen Sandbox-Umgebung zu analysieren, was die Identifikation und Codeanalyse von Malware deutlich vereinfacht.

Neueste Kommentare 

Noch keine Kommentare zu Die Analyse des Jericho-Botnets: ein moderner Malware-Fall

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *