Skip to main content

Malware verwendet zunehmend Peer-to-Peer-Kommunikation, sagen Forscher

Die Zahl der Malware-Samples, die P-to-P (Peer-to-Peer) verwenden, hat sich verfünffacht Laut den Forschern der Sicherheitsfirma DAMBALLA.

Die größten Beiträge zu diesem Anstieg sind fortgeschrittene Bedrohungen wie ZeroAccess, Zeus Version 3 und TDL4, sagte Stephen Newman, Vizepräsident für Produkte bei Damballa. Es gibt jedoch auch andere Malware-Familien, die kürzlich P-to-P als Command-and-Control (C & C) -Kanal eingeführt haben.

"Die Verwendung von P-to-P bei fortgeschrittenen Malware-Bedrohungen gibt es schon seit einiger Zeit, aber wir haben es nie wirklich gesehen, was wir jetzt zu sehen bekommen ", sagte Newman. Der Grund, warum dies geschieht, hat nun mit dem Wunsch von Cyberkriminellen nach Ausfallsicherheit angesichts von Abmahnungsbemühungen zu tun, die zentralisierte C & C-Infrastrukturen stören können.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Botnet-Master verlieren den Zugriff auf Tausende oder Millionen infizierter Computer, wenn ihre Kontrollserver heruntergefahren werden. Daher suchen sie nach dezentraler P-to-P-Kommunikation, bei der Botnet-Clients als Resilience-Technik Befehle untereinander austauschen können "Ein weiterer Vorteil für Angreifer ist, dass bösartiger P-to-P-Verkehr auf der Netzwerkebene mit herkömmlichen Ansätzen nur schwer zu erkennen und zu blockieren ist", sagt er Auflisten von bekannten IP-Adressen und Hosts, die C & C-Servern zugeordnet sind.

Besonderheiten der Malware

TDL4 ist wahrscheinlich die am weitesten verbreitete Malware-Familie, die P-to-P-Kommunikation verwendet, sagte John Jerrim, leitender Wissenschaftler in Damballa. Der P-to-P-Kommunikationskanal von TDL4 wird jedoch nur dann als Backup verwendet, wenn kein C & C-Server unter Verwendung eines Domain-Generierungsalgorithmus erreicht werden kann.

TDL4 ist am besten dafür bekannt, hartnäckig und schwer von Computern zu entfernen weil es den Master Boot Record (MBR) infiziert, einen speziellen Abschnitt der Festplatte, der Code enthält, der während des Startvorgangs vor dem Start des Betriebssystems ausgeführt wird. Die Bedrohung wird hauptsächlich dazu verwendet, andere Malware als Teil von Pay-per-Install-Systemen und cyberkriminellen Affiliate-Programmen zu verteilen.

Zeus Version 3, auch bekannt als GameOver, ist ein Trojanerprogramm, das Online-Banking-Zugangsdaten und andere Finanzdaten stiehlt . Im Gegensatz zu TDL4 verwendet Zeus v3 P-to-P als primären C & C-Kanal und greift auf DGA zurück, wenn die Malware keinen Peer aus dem P-to-P-Netzwerk erreichen kann.

ZeroAccess ist eine besonders interessante Bedrohung verwendet nur P-to-P-Kommunikation für Befehls- und Steuerungszwecke. Die Bedrohung wird mithilfe von Web-Exploit-Toolkits wie Blackhole, Neosploit und Sweet Orange verbreitet und wird hauptsächlich für Klickbetrug und Bitcoin-Mining eingesetzt.

Damballa hat einen Bericht über den Einsatz von P-to-P-Kommunikation in ZeroAccess veröffentlicht. Zeus v3 und TDL4 am Dienstag. Das Unternehmen hat außerdem die Möglichkeit hinzugefügt, diese Art von bösartigem Datenverkehr für seine Failsafe-Netzwerksicherheits-Appliance für Unternehmen zu erkennen.

Botnet-Resilience

Forscher vom Institut für Internetsicherheit in Deutschland, VU Universität in Amsterdam und Sicherheitsanbieter Dell SecureWorks und Crowdstrike hat kürzlich einen Bericht über die Widerstandsfähigkeit von Peer-to-Peer-Botnets veröffentlicht.

"Unsere Evaluierung hat Schwachstellen aufgezeigt, die dazu genutzt werden könnten, die Kelihos- und ZeroAccess-Botnetze zu stören", heißt es in ihrem Bericht. "Wir haben aber auch gezeigt, dass die Zeus- und Sality-Botnets sehr widerstandsfähig gegenüber Angriffen sind, die derzeit meistgenutzte Klasse von disruptiven Angriffen gegen P2P-Botnets."

Die Forscher kamen zu dem Schluss, alternative Abschwächungsmethoden gegen P-to-P zu finden Botnetze werden dringend benötigt.