Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Spam BotDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen.

So prüft das Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet es sich selbst ab. Dieses Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hat Palo Alto Networks bei der Verbreitung von Spam in der pharmazeutischen Industrie beobachtet. Microsoft verweist auf diese Familie von Malware unter dem Namen Sarvdap. Unit 42 hat keinen anderen öffentlichen Namen für diese Malware identifiziert. Anstatt einen neuen Namen einzuführen, wird daher auf diese Familie ebenfalls als Sarvdap verwiesen.

Die Malware verwendet hartcodierte Adressen für Funktionsnamen und Zeichenfolgen. Bei der ersten Ausführung hinterlässt die Malware eine Kopie von sich selbst im Opfersystem, stößt einen neuen svchost.exe-Prozess (ein Host-Prozess in Windows, der Dienste mit Hilfe von DLL-Dateien ausführt) an, initialisiert sich, indem sie sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu www.microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server (C2). Wenn der C2 online ist und der Host die RBL-Prüfungen (Real-time Blacklist) passiert hat, lädt die Malware eine Konfigurationsdatei herunter und verwendet diese Informationen, um Felder in zahlreichen Datenstrukturen zu füllen.

Was diese Malware interessant macht, ist, dass sie eine hartcodierte Liste von allgemein bekannten Blacklist-Servern enthält. Diese Server zur Überprüfung infizierter Hosts/Zombies verwendet, um zu bestimmen, ob eine Infektion live ist. Die Blacklists, die überprüft werden, stammen aus der ganzen Welt und sind ziemlich umfassend, was darauf hinweist, dass der Autor versucht, globale Abdeckung erzielen wollte und sich nicht nur auf eine bestimmte Region beschränkt. Die Funktion „GetHostByName“ wird für jede Blacklist-URL aufgerufen, um zu sehen, ob die IP-Adresse auf der Blacklist steht. Ist dies der Fall, kommt ein Host-Name zurück anstelle der IP-Adresse. Wenn die IP nicht auf der Blacklist steht, sendet die Malware das OK an den Server. Wenn die Malware jedoch feststellt, dass sie sich auf einem Blacklist-Host befindet, wird der Prozess beendet.

Phishing-E-Mails sind nach wie vor eine weit verbreitete Bedrohung für Unternehmen, Behörden und private Nutzer. Große, Spam-fokussierte Botnets, die sich mieten lassen, versenden von kompromittierten Hosts aus Hunderttausende solcher Nachrichten pro Tag. Sarvdap ist hierbei besonders interessant, aber nicht wegen seiner Grüße, sondern aufgrund seiner Versuche, das Volumen der Spam-Verbreitung durch Missbrauch von Reputation Blacklists gezielt zu erhöhen.

Kunden von Palo Alto Networks sind durch Threat Prevention und WildFire vor dieser Malware-Familie geschützt. AutoFocus-Kunden können sie über den Sarvdap-Tag verfolgen.

www.paloaltonetworks.com

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet