Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Spam BotDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen.

So prüft das Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet es sich selbst ab. Dieses Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hat Palo Alto Networks bei der Verbreitung von Spam in der pharmazeutischen Industrie beobachtet. Microsoft verweist auf diese Familie von Malware unter dem Namen Sarvdap. Unit 42 hat keinen anderen öffentlichen Namen für diese Malware identifiziert. Anstatt einen neuen Namen einzuführen, wird daher auf diese Familie ebenfalls als Sarvdap verwiesen.

Die Malware verwendet hartcodierte Adressen für Funktionsnamen und Zeichenfolgen. Bei der ersten Ausführung hinterlässt die Malware eine Kopie von sich selbst im Opfersystem, stößt einen neuen svchost.exe-Prozess (ein Host-Prozess in Windows, der Dienste mit Hilfe von DLL-Dateien ausführt) an, initialisiert sich, indem sie sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu www.microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server (C2). Wenn der C2 online ist und der Host die RBL-Prüfungen (Real-time Blacklist) passiert hat, lädt die Malware eine Konfigurationsdatei herunter und verwendet diese Informationen, um Felder in zahlreichen Datenstrukturen zu füllen.

Was diese Malware interessant macht, ist, dass sie eine hartcodierte Liste von allgemein bekannten Blacklist-Servern enthält. Diese Server zur Überprüfung infizierter Hosts/Zombies verwendet, um zu bestimmen, ob eine Infektion live ist. Die Blacklists, die überprüft werden, stammen aus der ganzen Welt und sind ziemlich umfassend, was darauf hinweist, dass der Autor versucht, globale Abdeckung erzielen wollte und sich nicht nur auf eine bestimmte Region beschränkt. Die Funktion „GetHostByName“ wird für jede Blacklist-URL aufgerufen, um zu sehen, ob die IP-Adresse auf der Blacklist steht. Ist dies der Fall, kommt ein Host-Name zurück anstelle der IP-Adresse. Wenn die IP nicht auf der Blacklist steht, sendet die Malware das OK an den Server. Wenn die Malware jedoch feststellt, dass sie sich auf einem Blacklist-Host befindet, wird der Prozess beendet.

Phishing-E-Mails sind nach wie vor eine weit verbreitete Bedrohung für Unternehmen, Behörden und private Nutzer. Große, Spam-fokussierte Botnets, die sich mieten lassen, versenden von kompromittierten Hosts aus Hunderttausende solcher Nachrichten pro Tag. Sarvdap ist hierbei besonders interessant, aber nicht wegen seiner Grüße, sondern aufgrund seiner Versuche, das Volumen der Spam-Verbreitung durch Missbrauch von Reputation Blacklists gezielt zu erhöhen.

Kunden von Palo Alto Networks sind durch Threat Prevention und WildFire vor dieser Malware-Familie geschützt. AutoFocus-Kunden können sie über den Sarvdap-Tag verfolgen.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Jürgen Jakob

Anti-Malware & E-Mail Security nach wie vor unverzichtbar | Statement

Im digitalen Zeitalter sind die Sicherheitsbedrohungen für IT-Systeme zahlreich und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet