alphaspirit - Fotolia

F

Gh0st-Malware: Wie ein Command-and-Control-Server unentdeckt bleiben konnte

Ein C&C-Server für die Malware Gh0st blieb laut Palo Alto Networks für zwei Jahre unentdeckt. Erfahren Sie, warum dieser nicht früher entdeckt wurde.

Ein Command-and-Control-Server (C&C-Server) konnte laut einem kürzlich veröffentlichten Security-Report über zwei Jahre unbemerkt schädlichen Code versenden. Wie konnte der C&C-Server so lange unentdeckt arbeiten? Gibt es Möglichkeiten, diese Art der Bedrohung besser zu stoppen?

Sicherheitsforscher von Palo Alto Networks haben entdeckt, dass die Malware Gh0st einen einzigen C&C-Server für annähernd zwei Jahre verwenden konnte. Nach Angabe der Forscher verwendete die Malware ein benutzerdefiniertes TCP-Protokoll, um mit dem Server kommunizieren und seine bösartigen Aktivitäten verbergen zu können.

In einem Folgebericht verwies Trend Micro kritisch auf die Bedeutung des C&C-Servers, da die Malware ferngesteuerte Befehle erfordert, um eine Attacke zu starten. Viele Schritte des Angriffs wurden bereits automatisiert, allerdings wird immer noch ein Mensch benötigt, um die Entscheidung eines Angriffs zu treffen. Die gleichen Schritte, die eine Malware von einem C&C-Server ausführen lässt, ähneln somit allgemeinen IT-System-Management-Aufgaben.

Trend Micro beschreibt in seinem Blog die verwendeten Methoden der Angreifer, um ihre C&C-Kommunikation zu verbergen. Zu den häufigsten Methode, um einen C&C-Server zu verstecken, zählt die Nutzung von Tor oder ähnlichen Technologien. Hierbei kommunizieren einzelne Komponenten über ein Peer-to-Peer-Netzwerk und somit untereinander, statt über einen zentralen Server.

Die enge Überwachung aller Netzwerkverbindungen kann dabei helfen, die Kommunikation eines C&C-Servers zu entdecken. Allerdings ist diese Überwachung in sehr großen Netzwerken schwierig. Das würde die Überwachung aller Ports und Protokolle für Signaturen und Anomalien voraussetzen. Dabei helfen können Tools von AlienVault, Damballa, FireEye, Trend Micro und anderen Anbietern.

Mehr zum Thema Sicherheitsbedrohung:

Kostenloses E-Handbook: Mobile Security in der Praxis.

XcodeGhost: Wer ist von den mit Malware verseuchten iOS-Apps betroffen?

Kaspersky Security Bulletin: 58 Prozent aller Unternehmensrechner angegriffen.

Internet der Dinge (IoT): Sieben wichtige Risiken für Unternehmen.

Bereits entdeckte Signaturen oder Indikatoren können ebenfalls dabei helfen, neue Attacken zu erkennen. Gezielte Angriffe werden auf diese Weise allerdings nicht erkannt. Das Entdecken von Anomalien ist noch deutlich schwieriger und erfordert eine weitreichende Kenntnis des Netzwerks. Angreifer kennen häufig die Mängel bei der Erkennung von Netzwerkanomalien und fliegen daher unter dem Radar.

Die einfache Überwachung aller Internetaktivitäten ist nicht genug, da Hacker häufig legitime, populäre Websites, Anwendungen und Cloud-Services verwenden, um mit dem C&C-Server ihre bösartigen Aktivitäten zu verbergen. An dieser Stelle könnte ein Host-basiertes Netzwerk-Monitoring-Tool helfen, den Angreifer zu erkennen. Eine weitere Möglichkeit ist das Netzwerk-Monitoring auf Anwendungsebene, um Anomalien für tiefergehende Untersuchungen zu identifizieren.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close