Letzte Woche, Google hat das angekündigt es hatte den Betrieb eines riesigen Botnets teilweise unterbrochen – ein gigantisches Netzwerk von über einer Million Malware-infizierten Windows-Computern. In der Welt der Cybersicherheit wären das allein Neuigkeiten, aber dieses spezielle Netzwerk benutzte ein alarmierendes Blockchain-Integration, die es schwer macht, sie zu schlagen.
Botnetze sind im Grunde Armeen von „Zombie“-Geräten – Server, die mit Malware infiziert und in ein bösartiges Netzwerk eingebunden wurden, mit denen dann groß angelegte kriminelle Aktivitäten begangen werden können. Die meisten Leute, deren Gerät kompromittiert wurde und Teil eines Botnetzes geworden ist, haben keine Ahnung, dass dies passiert ist, und ihr Computer fungiert im Grunde genommen als unwissender Komplize der Cyberkriminalität.
In diesem speziellen Fall handelt es sich bei der kriminellen Organisation hinter dem Botnet vermutlich um eine Malware-Familie namens „Glupteba“. Letzte Woche, Googles Threat Analysis Group (TAG) veröffentlichter Kontext im Glupteba-Botnet, was zeigt, dass das Netzwerk zum Mining von Kryptowährungen verwendet wurde, auch bekannt als „Kryptojacking.“ Die entführte CPU-Leistung der Scharen und Scharen infizierter Geräte diente den Kriminellen im Wesentlichen als kostenloser Raketentreibstoff, die sie zur Unterstützung ihrer energieintensives Unternehmen.
Es ist also offensichtlich gut, so etwas zu stören. Aber wie ist das unsterbliche Problem Bei Botnets besteht das eigentliche Problem nicht unbedingt darin, Teile eines infizierten Netzwerks zu zerstören, sondern wie man sie am Boden hält. Zur gleichen Zeit, als Google angab, Gluteba gestört zu haben, musste es auch zugeben, dass sich das infizierte Netzwerk durch einen innovativen Widerstandsmechanismus basierend auf der Bitcoin-Blockchain bald wieder aufbauen und zu voller Stärke zurückkehren würde.
Dieser neue, kryptobasierte Mechanismus, der seit langem theoretisiert über die jedoch zuvor nicht unbedingt in freier Wildbahn gesehen wurde, könnte für Cyberkriminelle ein unglückliches neues Terrain darstellen, das sie möglicherweise zunehmend widerstandsfähiger gegen Störungen durch Strafverfolgungsbehörden macht.
Ein sich entwickelndes Problem
Das Hauptproblem für jeden Cyberkriminellen, der ein Botnet betreiben möchte, besteht darin, die Kontrolle über seine zombifizierten Horden zu behalten.
Botnets werden normalerweise eingerichtet von einer zentralen Partei kontrolliert werden, die normalerweise als „Botmaster“ oder „Störer“ bezeichnet wird. Hirten verwenden das sogenannte ein Kommando-und-Kontrolle (C2) Server – ein Computer, der Wegbeschreibungen an alle infizierten Computer sendet und effektiv als der Hauptschalttafel für die Kriminellen, um ihre Zombies zu kontrollieren. Über C2s können Hirten groß angelegte lenken bösartige Kampagnen, wie Datendiebstahl, Malware-Angriffe, oder, im Fall von Glupteba, Cryptojacking.
Um seine Herden zu verwalten, braucht der Botmaster jedoch einen Kanal, über den er mit ihnen in Verbindung bleiben und Befehle erteilen kann – und hier kann es schwierig werden. Viele Botnet-C2-Infrastrukturen verwenden grundlegende Webprotokolle wie HTTP, was bedeutet, dass sie mit einer bestimmten Web-Domain verbunden sein müssen, um mit ihrer Herde in Kontakt zu bleiben. Die Domäne fungiert als Portal des C2 zum Internet und damit als erweitertes Netzwerk infizierter Geräte.
Da es jedoch nicht so schwer ist, eine Website zu deaktivieren, bedeutet dies, dass C2s – und damit Botnets selbst – relativ leicht gestört werden können. Die Strafverfolgungsbehörden können sie zu Fall bringen, indem sie lediglich die mit dem C2 verbundenen Domänen außer Gefecht setzen – entweder indem sie ihren DNS-Anbieter besorgen, wie Cloudflare, um den Zugriff zu unterbinden oder eine Domäne selbst zu finden und zu beschlagnahmen.
Um dies zu umgehen, suchen Kriminelle zunehmend nach innovativen Wegen, um mit ihren Bot-Herden in Verbindung zu bleiben. Kriminelle haben insbesondere versucht, alternative Plattformen – wie soziale Medien oder in einigen Fällen Tor – als C2-Hubs zu nutzen. EIN Studie 2019 von der MIT Internet Policy Research Initiative weist darauf hin, dass einige dieser Methoden mittelmäßigen Erfolg hatten, aber im Allgemeinen nicht sehr langlebig sind:
In jüngerer Zeit haben Botnets mit esoterischen C&C-Mechanismen experimentiert, einschließlich sozialer Medien und Cloud-Dienste. Der Flashback-Trojaner hat Anweisungen von einem Twitter-Konto abgerufen. Der Whitewell-Trojaner nutzte Facebook als Treffpunkt, um Bots auf den C&C-Server umzuleiten…Die Ergebnisse sind gemischt. Netzwerkadministratoren blockieren diese Dienste selten, da sie allgegenwärtig sind und C&C-Datenverkehr daher schwerer zu unterscheiden ist. Auf der anderen Seite werden C&C-Kanäle wieder zentralisiert und Unternehmen wie Twitter und Google gehen schnell gegen sie vor.
Was häufig passiert, ist ein Whack-a-Mole-Spiel zwischen Polizisten und Kriminellen, bei dem die Polizei immer wieder abnehmen Domains oder was auch immer andere Web-Infrastruktur verwendet wird, nur um die gleichen Kriminellen zu rekonstruieren und das Botnet über ein anderes Medium wieder zum Laufen zu bringen.
Jedoch, Glupteba scheint das Spiel verändert zu haben: Laut Google und anderen Sicherheitsanalysten, die die Aktivitäten der Bande untersucht haben, scheint das kriminelle Unternehmen den perfekten Weg gefunden zu haben, sich gegen Störungen unempfindlich zu machen. Wie? Durch die Nutzung der manipulationssicheren Infrastruktur des Bitcoin Blockchain.
Kugelsicher über Blockchain
Für Cyberkriminelle kann das Problem, wie sie mit ihren Bot-Herden in Verbindung bleiben können, durch die Schaffung eines Backup-Mechanismus gelöst werden. Wenn der primäre C2-Server und die zugehörige Domäne von Polizisten beseitigt, kann die Malware auf infizierten Geräten so konstruiert werden, dass sie das Internet nach einer anderen, Backup-C2-Domäne durchsucht, die dann das gesamte infizierte Netzwerk wiederbelebt.
Normalerweise kodieren Kriminelle diese Backup-Webdomänen in die Malware selbst. (Hartcodierung ist die Praxis, Daten direkt in den Quellcode eines bestimmten Programms einzubetten.) Auf diese Weise kann der Botmaster Scharen von Backups registrieren. Aber letztendlich ist die Wirksamkeit dieser Strategie begrenzt. Irgendwann werden dem Botnet die neuen Adressen ausgehen, weil nur eine endliche Menge in die Malware codiert werden kann.
Im Fall von Glupteba hat die Bande dieses Problem jedoch vollständig umgangen: Anstatt Web-Domains in die Malware hart zu codieren, haben sie drei Bitcoin-Wallet-Adressen hartcodiert. Mit diesen Adressen ist es Glupteba gelungen, eine unfehlbare Schnittstelle zwischen seinen Bot-Herden und seiner C2-Infrastruktur über eine wenig bekannte Funktion namens „OP_Return.“
Der OP_Return ist ein umstrittenes Merkmal von Bitcoin-Wallets, das ermöglicht die Eingabe von beliebigem Text in Transaktionen. Es funktioniert im Grunde als das Krypto-Äquivalent von Venmos „Memo“-Feld. Glupteba hat sich diese Funktion zunutze gemacht, indem es sie als Kommunikationskanal verwendet. Die Malware in den infizierten Geräten ist so konstruiert, dass die Geräte die öffentliche Bitcoin-Blockchain nach Transaktionen im Zusammenhang mit den Wallets von Glupteba scannen, sollte einer der C2-Server des Botnets offline gehen. In diesen Wallets können die Cyberkriminellen über das Feld OP_Return ständig neue Domänenadressen eingeben, die ihr Botnet erkennt und an sie umleitet.
Kettenanalyse, ein Blockchain-Analyseunternehmen, spielte eine Schlüsselrolle bei der Unterstützung des Sicherheitsteams von Google, all dies zu untersuchen. In einem Interview mit Gizmodo sagte Erin Plante, Senior Director of Investigations and Special Programs des Unternehmens, dass die Nutzung der Blockchain durch Kriminelle einzigartige, potenziell unüberwindbare Herausforderungen für die Strafverfolgung darstellt.
„Wenn das Botnet die Kommunikation zu einer C2-Domäne verliert – normalerweise, weil es eine Art von Strafverfolgungsmaßnahmen gibt – weiß das Botnet, dass es die gesamte öffentliche Bitcoin-Blockchain scannen und nach Transaktionen zwischen diesen drei Bitcoin-Adressen sucht“, sagte Plante. Mit anderen Worten, jedes Mal, wenn eine C2-Domain entfernt wird, kann Glupteba automatisch eine neue Domain-Adresse wiederherstellen, die über die Krypto-Wallets der Gang gesendet wird.
Die dezentrale Natur der Blockchain bedeutet, dass es keine wirkliche Möglichkeit gibt, Block diese Nachrichten daran zu hindern, durchzugehen, oder die zugehörigen Krypto-Adressen außer Gefecht zu setzen, sagte Plante. In der Tat, als Krypto-Enthusiasten schon oft darauf hingewiesen, gilt die Blockchain als „unzensierbar“ und „manipulationssicher“, da sie keine übergeordnete Autorität oder Verwaltungseinheit hat. Als solche, niemand kann Schalten Sie die bösartigen Aktivitäten von Glupteba aus.
Kann Glupteba gestoppt werden?
Also, äh, was ist zu tun? Derzeit sind die Optionen nicht großartig, sagt Shane Huntley, Direktor des TAG-Teams von Google.
„Dieser Backup-Mechanismus ist sehr widerstandsfähig“, sagte Huntley in einer E-Mail an Gizmodo. „Solange die Angreifer die Schlüssel zu den Wallets haben, können sie das Botnet anweisen, nach neuen Servern zu suchen.“
Plante scheint ähnlich pessimistisch. „Es ist sicherlich ein Modell, das, wenn es auf Ransomware oder andere cyberkriminelle Aktivitäten repliziert würde, eine beängstigende Möglichkeit darstellt“, sagte sie. „Außerdem an dieser Stelle eine einzelne C2-Domäne herunterzufahren, nur um sie ein paar Tage später wieder hochfahren zu lassen, hat niemand einen Weg gefunden, dies zu stoppen.“
Huntley sagte, dass es wahrscheinlich andere Beispiele für Kriminelle gebe, die die Blockchain auf diese Weise nutzen, aber dass die Praxis zu diesem Zeitpunkt definitiv nicht als „üblich“ angesehen wurde.
„Der mildernde Faktor ist jedoch, dass dies jedes Mal öffentlich ist und weitere Maßnahmen ergriffen werden können“, sagte Huntley und verwies auf den impliziten öffentlichen Charakter der Blockchain. Aufgrund des offenen Formats sei das Bedrohungsteam von Google in der Lage, die Transaktionen der Kriminellen weiterhin zu verfolgen, sagte Huntley. „Wir haben bereits gesehen, dass sie das Botnet auf neue Server geleitet haben und diese Server wurden jetzt auch abgeschaltet.“
Mit anderen Worten, das Botnet wird so lange weiterleben, wie die Hacker daran interessiert sind, es ständig zu aktualisieren. EINund Sicherheitsexperten wird seine Updates so lange verfolgen müssen, bis die Hacker aufgeben oder im wirklichen Leben festgenommen werden.