Mylobot will Windows-PCs für ein Botnet nutzen

Sicherheitsforscher von Deep Instinct haben eine neue mit Mylobot bezeichnet Windows-Malware entdeckt, die Windows-PCs für ein Botnet nutzen soll. Eigenen Angaben zufolge stammt der Fund aus der Produktionsumgebung eines Kunden.

Die Malware sei mit drei verschiedenen Ebenen von Ausweichtechniken ausgestattet. Die Ursprünge von Mylobot und ihre Auslieferungsmethode ist laut Deep Instinct derzeit unbekannt. Sie scheint nach Ansicht der Sicherheitspezialisten aber eine Verbindung zu Locky-Ransomware zu haben – eine der erfolgreichsten Formen von Malware der letzten Jahre.

Die Malware bietet Angreifern die vollständige Kontrolle über infizierte Opfer und die Möglichkeit, zusätzliche Nutzlasten bereitzustellen, wodurch die Geräte der Opfer von Trojanern, Keyloggern, DDoS-Angriffen und anderen bösartigen Programmen gefährdet werden.

Die hochentwickelte Natur des Botnetzes legt nahe, dass die dahinter stehenden Personen keine Amateure sind, wobei Mylobot verschiedene Techniken zur Vermeidung der Erkennung beinhaltet. Dafür nutzt sie Anti-Sandboxing, Anti-Debugging, verschlüsselte Dateien und reflektierende EXE, also die Möglichkeit, EXE-Dateien direkt aus dem Speicher auszuführen, ohne dass sie lokal abgespeichert ist. Die Technik ist nicht üblich und wurde erst 2016 entdeckt. Sie sorgt laut Deep Instinct dafür, dass entsprechende Malware so gut wie nicht zu erkennen und zu verfolgen ist.

Darüber hinaus verfügt Mylobot über einen Verzögerungsmechanismus, der zwei Wochen wartet, bevor er Kontakt mit den Befehls- und Kontrollservern des Angreifers aufnimmt – ein weiteres Mittel, um eine Erkennung zu vermeiden. „Der Grund für 14 Tage Schlaf ist die Vermeidung von Netzwerk- und bösartigen Aktivitäten, um damit Sicherheitslösungen wie Endpunkterkennung, Bedrohungssuche und Sandboxing zu umgehen“, sagte Tom Nipravsky von Deep Instinct.

Einmal auf einem System installiert, fährt Mylobot Windows Defender und Windows Update herunter und blockiert gleichzeitig zusätzliche Ports auf der Firewall – alles Maßnahmen, um sicherzustellen, dass seine bösartigen Aktivitäten ohne Beeinträchtigung ausgeführt werden können.

Darüber hinaus löscht Mylobot andere Malware, die zuvor auf dem Rechner installiert wurde. Der Gedanke dahinter ist einfach – die Konkurrenz auszuschalten, um sicherzustellen, dass die Angreifer die Kontrolle über das größte Netzwerk von infizierten Computern erlangen, um den größtmöglichen Nutzen aus dem Missbrauch der infizierten Computer zu ziehen.

Mylobot mit Verbindung zu Locky-Ransomware

Die Forscher haben nicht detailliert beschrieben, welche zusätzlichen Nutzlasten heruntergeladen werden können. Die Analyse der Befehls- und Kontrolldomänen im Zusammenhang mit Mylobot ergab jedoch Verbindungen zu Locky-Ransomware und anderer Malware. „Nach unseren Untersuchungen wurde die IP des C&C-Servers erstmals im November 2015 gesehen und ist mit DorkBot, Locky und Ramdo verbunden“, sagte Nipravsky.

Da die C&C-Server seit zweieinhalb Jahren aktiv Sind, deutet das darauf hin, dass diejenigen, die hinter Mylobot stehen, seit einiger Zeit aktiv sind – und Taktiken verwenden, was auf eine gut ausgestattete Operation hindeutet. „Das Botnet versucht, eine Verbindung zu 1404 verschiedenen Domänen herzustellen – zum Zeitpunkt der Erstellung dieser Studie war nur eine davon lebendig. Das ist ein Indiz für große Ressourcen, um all diese Domains zu registrieren“, sagt Nipravsky.

Die Malware ist noch nicht weit verbreitet und es bleibt immer noch unklar, wer der Angreifer hinter Mylobot ist, wie die Malware verbreitet wird oder was ihr letztendliches Ziel ist – aber eines haben die Forscher aus der Komplexität des Systems geschlossen: Es ist kein Amateurbetrieb. „Wir haben keinen Hinweis darauf gefunden, wer der Autor ist, aber basierend auf dem Code ist dies jemand, der weiß, was er tut“, sagte Nipravsky.