Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

Spam BotDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen.

So prüft das Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet es sich selbst ab. Dieses Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hat Palo Alto Networks bei der Verbreitung von Spam in der pharmazeutischen Industrie beobachtet. Microsoft verweist auf diese Familie von Malware unter dem Namen Sarvdap. Unit 42 hat keinen anderen öffentlichen Namen für diese Malware identifiziert. Anstatt einen neuen Namen einzuführen, wird daher auf diese Familie ebenfalls als Sarvdap verwiesen.

Die Malware verwendet hartcodierte Adressen für Funktionsnamen und Zeichenfolgen. Bei der ersten Ausführung hinterlässt die Malware eine Kopie von sich selbst im Opfersystem, stößt einen neuen svchost.exe-Prozess (ein Host-Prozess in Windows, der Dienste mit Hilfe von DLL-Dateien ausführt) an, initialisiert sich, indem sie sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu www.microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server (C2). Wenn der C2 online ist und der Host die RBL-Prüfungen (Real-time Blacklist) passiert hat, lädt die Malware eine Konfigurationsdatei herunter und verwendet diese Informationen, um Felder in zahlreichen Datenstrukturen zu füllen.

Was diese Malware interessant macht, ist, dass sie eine hartcodierte Liste von allgemein bekannten Blacklist-Servern enthält. Diese Server zur Überprüfung infizierter Hosts/Zombies verwendet, um zu bestimmen, ob eine Infektion live ist. Die Blacklists, die überprüft werden, stammen aus der ganzen Welt und sind ziemlich umfassend, was darauf hinweist, dass der Autor versucht, globale Abdeckung erzielen wollte und sich nicht nur auf eine bestimmte Region beschränkt. Die Funktion „GetHostByName“ wird für jede Blacklist-URL aufgerufen, um zu sehen, ob die IP-Adresse auf der Blacklist steht. Ist dies der Fall, kommt ein Host-Name zurück anstelle der IP-Adresse. Wenn die IP nicht auf der Blacklist steht, sendet die Malware das OK an den Server. Wenn die Malware jedoch feststellt, dass sie sich auf einem Blacklist-Host befindet, wird der Prozess beendet.

Phishing-E-Mails sind nach wie vor eine weit verbreitete Bedrohung für Unternehmen, Behörden und private Nutzer. Große, Spam-fokussierte Botnets, die sich mieten lassen, versenden von kompromittierten Hosts aus Hunderttausende solcher Nachrichten pro Tag. Sarvdap ist hierbei besonders interessant, aber nicht wegen seiner Grüße, sondern aufgrund seiner Versuche, das Volumen der Spam-Verbreitung durch Missbrauch von Reputation Blacklists gezielt zu erhöhen.

Kunden von Palo Alto Networks sind durch Threat Prevention und WildFire vor dieser Malware-Familie geschützt. AutoFocus-Kunden können sie über den Sarvdap-Tag verfolgen.

www.paloaltonetworks.com

GRID LIST
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Deutschlands Maschinenbauer im Visier von Cyber-Attacken

Der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) veröffentlichte kürzlich eine…
Georgeta Toth

Wenn Künstliche Intelligenz zur Waffe wird

Die Entwicklung der KI verstärkt die Befürchtungen, dass das menschliche Gehirn mit…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security