Fallensteller, Sandkästen und falsche Polizisten

Malware auf Webseiten und in E-Mails untersuchen, deren Potential bewerten, sich in einen Hacker hineinversetzen, seine Strategie entlarven, vorausdenken, vernetzen, kombinieren, Betroffene warnen, Fälle lösen. Ein Tag im Leben eines Malware-Analysten.

Publiziert am 06.10.2020

Es ist Montagmorgen. Ich freue mich auf meine Woche als Malware Monitoring- and Analysis Duty Officer (MM-A DO), von uns kurz auch Montagsmaler (MM) genannt. Zu meinen Aufgaben gehört es unter anderem sicherzustellen, dass unsere Systeme zur Verarbeitung verschiedener Schadsoftware-bezogener Telemetriequellen in Betrieb sind und korrekt arbeiten. Beispielsweise sammeln wir potentiell bösartige E-Mails in sogenannten «Spamtraps» oder extrahieren Malware von befallenen Webseiten und lassen diese automatisiert in unserer «Sandbox», einem isolierten Testbereich, untersuchen.

Anomalien erkennen

Nach einem ersten Kaffee fallen mir gleich zwei Ungereimtheiten auf:

Erstens - Eine E-Mail in unserer Spamtrap enthält ein Word-Dokument, das die Malware «Emotet» von einer Schweizer Domäne herunterlädt. Aber der Extraktor, der eigentlich die knapp 100 Command&Control-Server, kurz C2, dem Sample entnehmen sollte, schlug fehl. Den muss ich unbedingt anpassen. Offenbar haben die Bösen mal wieder am Code rumgewerkelt. Ich sehe zwar die Download-URL und einen C2, aber die restlichen 99 fehlen. Zum Glück ist die URL in unserer Datenbank richtig markiert und damit auch der SWITCH DNS Firewall bekannt. Sie enthält uns bekannte Domänen mit Bezug zu schädlicher Software – eine wesentliche Schutzmassnahme für unsere Hochschulen.

Zweitens – Eine Android Software lief in der Sandbox nicht wirklich. Das Problem übergebe ich lieber unserem Mobile Malware-Experten. Kurze Zeit später rückt er mit dem C2 raus und sagt, das sei die «FakeCop»-Malware. Das wiederum sagt mir natürlich was. Die Gruppierung «Roaming Mantis» verteilt diese Schadsoftware in der Schweiz äusserst intensiv und missbraucht dafür den Namen der Schweizerischen Post für Phishing.

Eine nette Malware

Nachdem ein Scan eine wahrscheinlich ausgenutzte Schwachstelle bei einem unserer Industrie&Logistik-Kunden entdeckt hatte, informierten wir diesen umgehend. Jackpot: Just heute meldet sich der Kunde in unserem Ticketingsystem und bestätigt den Vorfall. Er liefert sogar eine Linux-Malware mit. Ab in die Sandbox damit und in den Disassembler zur Analyse des Binärcodes. Die Schadsoftware ist gross, sie enthält mehr als 5'000 Funktionen. Seltsamerweise scheint sie über einen «Hack» die Schwachstelle zu entschärfen, also eine «nette» Malware? Fehlanzeige. Sie öffnet einen Kanal und ist bereit, Kommandos zu empfangen. Die leicht verschlüsselte IP-Adresse des C2 extrahiere ich und erstelle ein retrospektives Netflow-Profil. Tatsächlich – einige Hochschulen könnten auch betroffen sein. Ich informiere diese umgehend.

Das scheint ein interessanter Tag zu werden. Vielleicht haben wir Glück und sehen in unserem Hochschulnetzwerk eine befallene Maschine, die als C2 missbraucht wird – dann könnten wir mit unseren Sicherheitskontakten versuchen, die wahren Backend-Server aufzuspüren. Es ist Zeit für den nächsten Kaffee. Wobei, mal was essen wäre auch nicht schlecht.

Quintessenz

Die Malwareanalyse ist ein zentrales Element eines Threat Intelligence-Programms. Je besser unsere Telemetriedaten sind, desto schneller entdecken wir potentielle Vorfälle und können als CERT pro-aktiv agieren. Die vielfältigen Systeme sind nur ein Mittel zum Zweck, um mit unseren Partnern die Hochschulen und weiteren Kundengruppen bestmöglich zu schützen.

Tags
Security
Weitere Beiträge