VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Spam BotDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen.

So prüft das Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet es sich selbst ab. Dieses Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hat Palo Alto Networks bei der Verbreitung von Spam in der pharmazeutischen Industrie beobachtet. Microsoft verweist auf diese Familie von Malware unter dem Namen Sarvdap. Unit 42 hat keinen anderen öffentlichen Namen für diese Malware identifiziert. Anstatt einen neuen Namen einzuführen, wird daher auf diese Familie ebenfalls als Sarvdap verwiesen.

Die Malware verwendet hartcodierte Adressen für Funktionsnamen und Zeichenfolgen. Bei der ersten Ausführung hinterlässt die Malware eine Kopie von sich selbst im Opfersystem, stößt einen neuen svchost.exe-Prozess (ein Host-Prozess in Windows, der Dienste mit Hilfe von DLL-Dateien ausführt) an, initialisiert sich, indem sie sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu www.microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server (C2). Wenn der C2 online ist und der Host die RBL-Prüfungen (Real-time Blacklist) passiert hat, lädt die Malware eine Konfigurationsdatei herunter und verwendet diese Informationen, um Felder in zahlreichen Datenstrukturen zu füllen.

Was diese Malware interessant macht, ist, dass sie eine hartcodierte Liste von allgemein bekannten Blacklist-Servern enthält. Diese Server zur Überprüfung infizierter Hosts/Zombies verwendet, um zu bestimmen, ob eine Infektion live ist. Die Blacklists, die überprüft werden, stammen aus der ganzen Welt und sind ziemlich umfassend, was darauf hinweist, dass der Autor versucht, globale Abdeckung erzielen wollte und sich nicht nur auf eine bestimmte Region beschränkt. Die Funktion „GetHostByName“ wird für jede Blacklist-URL aufgerufen, um zu sehen, ob die IP-Adresse auf der Blacklist steht. Ist dies der Fall, kommt ein Host-Name zurück anstelle der IP-Adresse. Wenn die IP nicht auf der Blacklist steht, sendet die Malware das OK an den Server. Wenn die Malware jedoch feststellt, dass sie sich auf einem Blacklist-Host befindet, wird der Prozess beendet.

Phishing-E-Mails sind nach wie vor eine weit verbreitete Bedrohung für Unternehmen, Behörden und private Nutzer. Große, Spam-fokussierte Botnets, die sich mieten lassen, versenden von kompromittierten Hosts aus Hunderttausende solcher Nachrichten pro Tag. Sarvdap ist hierbei besonders interessant, aber nicht wegen seiner Grüße, sondern aufgrund seiner Versuche, das Volumen der Spam-Verbreitung durch Missbrauch von Reputation Blacklists gezielt zu erhöhen.

Kunden von Palo Alto Networks sind durch Threat Prevention und WildFire vor dieser Malware-Familie geschützt. AutoFocus-Kunden können sie über den Sarvdap-Tag verfolgen.

www.paloaltonetworks.com

GRID LIST
Geschenkarten

Cyberkriminelle verschenken „50-Euro-Geschenkkarte für lau!“

Ob Geschenkgutschein für Amazon oder Google Play, Freikarten für den Freizeitpark oder…
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Trading-Plattform

Gravierende Sicherheitslücken bei Trading-Plattformen

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security