Schattenwelt

In den letzten Monaten hat RSA Research unternehmensübergreifende Anstrengungen gegen das RIG-Exploit-Kit (RIG-EK oder kurz RIG genannt) unternommen. Diese haben zu Einblicken in die operative Infrastruktur (und möglicherweise das gesamte Ökosystem) sowie zu bedeutenden Entdeckungen im Zusammenhang mit dem Domain-Shadowing geführt. Domain-Shadowing ist „eine Technik, bei der Angreifer Anmeldedaten für Domainkontos von ihren Besitzern stehlen, um Subdomains zu erstellen, die auf bösartige Server weiterleiten.“

Als direkte Folge dieser Anstrengungen wurden Zehntausende von aktiven Schattendomainressourcen von RIG-, Malvertising- und Malspam-Operationen entfernt.

Forschungsmethodik und Danksagung
Erste Daten für diese Untersuchung wurden zwischen dem 21. Februar und dem 20. März 2017 erhoben und ausgewertet. Es wurden aber auch umfangreiche Folgedaten erfasst und ausgewertet und es wurden (und werden weiterhin) zusätzliche Untersuchungen durchgeführt, um die Relevanz dieser Diskussion für die aktuellen RIG-EK-Vorgänge zu gewährleisten.

Nicht unerwähnt bleiben soll, dass unsere laufenden Untersuchungen und Erkenntnisse nur durch die vereinten Bemühungen unserer klugen Kollegen von GoDaddy und einer Reihe von Communityforschern ermöglicht wurden. Konkret möchten wir die Arbeit von @broadanalysis, @dynamicanalysis, @executemalware, @malwarebytes, @zerophage und insbesondere von Brad Duncan von malware-traffic-analysis.net und Palo Alto Unit 42 würdigen. Ein besonderer Dank gilt auch Rintaro Koike (@nao_sec, http://nao-sec.org/), dessen kontinuierliche Zusammenarbeit für diese Forschung ebenfalls entscheidend war.

RIG-EXPLOIT-KIT

Da unser Vorstoß in diesen Bereich mit einer detaillierten Untersuchung des RIG-Exploit-Kits begann, ist ein ausführlicher operativer Überblick über die Funktionsweise des Exploit-Kits unerlässlich. Abbildung 1 zeigt typische RIG-Vorgänge und dient der Strukturierung der anschließenden Erörterung dieser Vorgänge.

Abbildung 1. RIG-Übertragung – Überblick

Wie die Grafik unten zeigt, ist RIG auch heute noch ein auf dem Markt aktives Exploit-Kit mit unterschiedlichen Nutzlasten.

Abbildung 2. Aktivitäten des RIG-Exploit-Kits mit Stand 17. Mai 2017 (Dank an: @executemalware)

INFIZIERTE WEBSITES

RIG-EK-Vorgänge werden zunächst vor allem durch eine infizierte Website ermöglicht. Zwar sind Malvertising, Pop-ups zu Chrome-Schriften und andere Methoden ebenfalls für das Weiterleiten von Datenverkehr an Landingpages verantwortlich, doch ist die häufigste Methode, die wir während unserer Forschungen beobachtet haben, das Injizieren eines iframe in infizierte WordPress-, Joomla!- und Drupal-Websites.

Die Beobachtung, dass sich ändernde URL-Parameter vom RIG-EK verwendet werden, ist keine Überraschung. In der Vergangenheit wurde festgestellt, dass das Exploit-Kit derartige URL-Parameter für injizierte iframes, JavaScript und so weiter abwechselnd und immer wieder verwendet. Eine historische Zeitleiste von RIG-bezogenen URL-Mustern ist im RIG-Whitepaper (auf Japanisch) enthalten, das im LAC Cyber Grid View vom Februar 2017 zu finden ist. Aktuelle RIG-EK-Parameter sind in Abbildung 7 aufgeführt.

Bei der Auswertung eines Teils der infizierten Websites (ermittelt von Crawlern), die Datenverkehr an RIG-Landingpages weiterleiten, scheinen die Registrare einen typischen Querschnitt der Domainregistrare zu repräsentieren (Abbildung 8).

Abbildung 8. Infizierte Websites mit verteilten Registrierenden

GATES und TRAFFIC DISTRIBUTION SYSTEMs (TDS)

Zu Beginn unserer Forschungen haben wir keine aussagekräftigen Belege dafür gefunden, dass TDS oder Gates im Zusammenhang mit großen RIG-Kampagnen (insbesondere PseudoDarkleech und EITEST) verwendet werden. Gleichwohl gibt es Berichte von anderen Sicherheitsforschern wie @dynamicanalysis, der sich mit von TDS weitergeleitetem Datenverkehr bei GoodMan und mit Malvertising, das zum RIG-EK führt, befasst.

Dies änderte sich jedoch allmählich Ende März sowie im April und Mai, als mehrere neue Kampagnen auftauchten. Während bei der GoodMan- und Seamless-Kampagne herkömmliche Gates verwendet werden (wie etwa hurtmehard[.]net bei GoodMan), wird der Datenverkehr bei der Decimal-IP-Kampagne mit in Ganzzahlen ausgedrückten IP-Adressen an RIG-Landingpages umgeleitet. Damit sollen wahrscheinlich IOC-basierte (Indicator of Compromise) Erkennungsmaßnahmen umgangen werden, weshalb auch gegenwärtige Bedrohungsakteure eine derartige Technik übernommen haben (Abbildung 9).

Abbildung 9. Decimal-IP-Umleitungen zu RIG

LANDINGPAGES

Der Datenverkehr, der sowohl über herkömmliche Gates als auch über iframes weitergeleitet wird, die in infizierte Websites injiziert wurden, führt zu RIG-Landingpages, die den Eckpfeiler des RIG-Operationsmodells bilden. Abbildung 10 enthält Beispielaufnahmen von Netzwerkdatenverkehr, während das aktuelle PCAP aus der Decimal-IP-Kampagne hier zu finden ist.

Abbildung 11 zeigt eine teilweise offengelegte Landingpage, wie sie am 16. Mai 2017 frei zugänglich online beobachtet wurde.

Der Hauptzweck von RIG-Landingpages besteht darin, eingehende Clientrechner mit verschiedenen Nutzlasten, die durch eine Reihe unterschiedlicher Kampagnen übertragen werden, intelligent auszunutzen.

EXPLOITS

Im Laufe unserer Untersuchung konnten die am häufigsten beobachteten Exploits von RIG gut nachvollzogen werden. Meist sind sie Flash-bezogen (und nutzen oft CVE-2015-8651 aus). Im Zuge einer Due-Diligence-Prüfung haben wir aktuelle RIG-Stichproben mit älteren Stichproben verglichen und dabei in zahlreichen Kampagnen Ähnlichkeiten bei der Code- und Prozessausführung gefunden. Ein Beleg dafür ist ein leicht identifiziertes Flash-Exploit (Abbildung 12).

Zusätzlich zu den festgestellten Flash-Exploits wurde auch beobachtet, dass RIG-Landingpages Nutzlasten gezielt an den Internet Explorer (IE) übertragen, mit Exploits gegen CVE-2016-0189CVE-2015-2419 und CVE-2014-6332 (Abbildung 13).

Abbildung 13. CVE nach User-Agent; https://github.com/nao-sec/RigEK

Wenngleich der Schwerpunkt dieser Erörterung nicht auf dem Reverse Engineering von RIG-Landingpages oder verwandten Exploits liegt, muss erwähnt werden, dass es in der aktuellen Sicherheitsforschung mehrere ausführliche technische Darstellungen gibt. Konkret empfehlen wir Beispiele von RSA Research und nao_sec.

NUTZLASTEN

Die zahlreichen von RIG übertragenen Nutzlasten sind ständigen Veränderungen unterworfen und weitgehend von den verschiedenen Kampagnen abhängig, bei denen eine RIG-Übertragung zum Einsatz kommt. Im Laufe unserer Untersuchung stellten wir zunächst eine Dominanz von RIG-übertragenem Cerber fest, einem Favoriten der PDL-Kampagne (PseudoDarkleech). Im April ließen die PDL-Aktivitäten nach und es blieb weitgehend ruhig (oder die Aktivitäten fanden im Verborgenen statt). Eine technische Darstellung der Cerber-Nutzlast findet sich im Anhang A.

Abbildung 14. Der „freundliche“ Cerber-Willkommensbildschirm

EITEST war die zweitaktivste Kampagne, die wir bei unseren anfänglichen Forschungen beobachtet haben. Sie ist nach wie vor aktiv und überträgt eine Vielzahl von bösartigen Nutzlasten (z. B. den Bankingtrojaner Dreambot), greift aber oft auf das verlässliche Einkommen durch Ransomware zurück. Konkret beobachtet wurden Nutzlasten mit Cerber, CryptoShield, Sage und Spora im Februar und März. Eine technische Darstellung der CryptoShield-Nutzlast findet sich im Anhang B.

Abbildung 15. CryptoShield-Willkommensbildschirm

Bei der Decimal-IP-Kampagne, einer von zwei Kampagnen, die in letzter Zeit aktiv sind und RIG nutzen, wurde vor Kurzem beobachtet, dass sie Smokeloader (Beispiel) überträgt. Unter den verschiedenen Forschern, die diese Aktivitäten aktiv verfolgen, stellt Zerophage mehrere technische Darstellungen zur Verfügung. Abbildung 16 zeigt ein Beispiel des Netzwerkdatenverkehrs.

Abbildung 16. Decimal-IP-Umleitung überträgt Smokeloader

Bei Seamless, der letzten Kampagne, die in dieser Forschungsarbeit behandelt wird, wurde vor Kurzem festgestellt, dass sie die Ransomware Latentbot und Ramnit überträgt. Entsprechende technische Dokumentationen zu dieser Kampagne gibt es sowohl von Cisco als auch von Brad Duncan, der Abbildung 17 kommentiert hat.

PROFIL EINER SCHATTENINFRASTRUKTUR

Wie sieht diese Infrastruktur in einem Snapshot der RIG-Vorgänge aus? Unter Einsatz bekannter RIG-Landingpages wurde im Zeitraum vom 21. bis 27. Februar mithilfe von Maltego (einschließlich Schlüsseln für PassiveTotal und Domain Tools zur Korrelation und Bereicherung) ein Snapshot der operativen Infrastruktur von RIG in Bezug auf die EITEST- und PDL-Kampagne erstellt (Abbildung 18).

Abbildung 18. Stichprobe der operativen Infrastruktur von RIG ab dem 27. Februar 2017

Bei der Analyse haben wir drei interessante Aspekte dieser Infrastruktur festgestellt. Erstens wurde von Ende Februar, den ganzen März hindurch und bis Anfang April ein hohes Maß an Wiederverwendung von Ziel-IP-Subnetzen bei RIG-Aktivitäten beobachtet.

Abbildung 19. ASNs, die RIG-Back-ends hosten

In zurückliegenden Forschungsarbeiten haben wir die Bedeutung und Verfügbarkeit von sicherem Hosting für Crimeware-Akteure erörtert. RSA Research beobachtete, dass RIG-bezogene ASNs (Autonomous System Numbers) in erster Linie einer Kerngruppe von Anbietern von „kommerziell verschleiertem“ sicherem Hosting (z. B. TimeWeb) gehören. Konkret haben diese ASNs genug legitimen Datenverkehr mit gemischter Nutzung (wodurch sie eher nicht auf eine Blacklist gesetzt werden), um den Crimeware-Akteuren als verschleierte Zwischenstation zu dienen. Eine kurze OSINT-Suche ergibt zahlreiche Hinweise, die diese Behauptung stützen:

Wie nicht anders zu erwarten, wurde bei Versuchen, Domains in RIG-bezogenen Netzblöcken (Abbildung 19) zu durchsuchen, keine einzige Instanz eines injizierten iframe (mit Teilzeichenfolgen, die mit den Mustern aus Abbildung 7 übereinstimmen) gefunden, die den Datenverkehr an RIG-Landingpages weiterleitet. Dies kann darauf hindeuten, dass für diesen Zweck infizierte Websites speziell wegen ihre Nähe und ihrer Anziehung von westlichem Datenverkehr ins Fadenkreuz genommen werden, vor allem bei Berücksichtigung dessen, was wir über das Whitelisting des Landes und der Sprache einiger Nutzlasten wissen.

Zweitens haben wir eine umfangreiche Wiederverwendung von SSL-Zertifikaten festgestellt, von der wir zunächst glaubten, dass sie mit RIG in Zusammenhang stehen könnte. Weitere Untersuchungen zeigten jedoch die weite Verbreitung von Zertifikaten in einer großen Zahl von ASN-lokalisierten Domains (siehe z. B. Abbildung 20). Auf Grundlage dieser Erkenntnisse gehen wir davon aus, dass diese SSL-Zertifikate nicht mit RIG in Verbindung stehen und wahrscheinlich generisch von den Hostinganbietern eingesetzt werden.

SeriennummerHerausgebendes UnternehmenShodan-Liste
620617GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A620617"/a>
983750GeoTrust Inc.
66288GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A66288

Abbildung 20. Shodan-Zertifikatsdetails; shodan.io

Die Untersuchung von Whois-Registrierungsdaten für Domains von RIG-Landingpages ergab, dass GoDaddy der Hauptregistrar ist. Abbildung 21 zeigt einen Maltego-Screenshot, der die Registrare für 395 Subdomains aufgliedert, die zwischen dem 21. Februar und dem 10. April 2017 nachgewiesenermaßen für RIG-Landingpages verwendet wurden.

Abbildung 21. RIG-Landingpages mit gemeinsamem Registrar

Auf Grundlage dieser Erkenntnisse isolierten wir alle E-Mail-Adressen einzelner Registrierender, die diese Subdomains besitzen (wobei wir zunächst die generischen Registrierenden, z. B. abuse@, herausnahmen). Unter Zuhilfenahme der gruppierten E-Mail-Adressen dieser Registrierenden identifizierten wir dann alle verwandten Domains und Subdomains – und ermittelten erfolgreich Tausende von Schattendomains, die von einem großen Anbieter gehostet werden. Abbildung 22 zeigt einen Maltego-Screenshot mit mehr als 2.200 Subdomains, die von 18 GoDaddy-Registrierenden registriert und jeweils während RIG-Vorgängen vom 25. März bis 5. April 2017 aktiv missbraucht wurden. Es wird davon ausgegangen, dass es sich hierbei um infizierte Konten handelt.

Abbildung 22. Infizierte Konten, die für Schattendomains verwendet werden

Subdomains im Besitz dieser infizierten Konten scheinen legitime GoDaddy-Domains zu spiegeln und hosten aktuelle RIG-Landingpages in den zuvor erwähnten ausländischen Netzblöcken (Abbildung 19). DNS-Adressdatensätze liefern weitere Belege für diese Beobachtung, wie in den Abbildungen 23 und 24 zu erkennen (mit freundlicher Genehmigung von centralops.net).

Abbildung 23. Beispielhafte DNS-Datensätze für eine Schattendomain

Abbildung 24. 28. März 2017 – DNS-Adressdatensatz für eine Schattendomain

Die Akteure hinter RIG reinigen und löschen routinemäßig die Subdomains und die DNS-Adressdatensätze, bevor neue Schattendomains angelegt werden. Vorläufige Analysen der DNS-Adressdatensätze von Schattendomains weisen auf eine Nutzungsdauer von 5 bis 10 Tagen vor dem Löschen hin. Trotzdem glauben wir, dass die tatsächliche Verfügbarkeit dieser Schattendomains, die auf Back-end-Hosting basieren (d. h. ASNs in Abbildung 19), eher bei 24 bis 48 Stunden liegt. Ein Beleg dafür ist die Erstellung und anschließende Entfernung dieser Schattendomain aus DNS-Datensätzen am 30. März 2017 (Abbildung 25).

Abbildung 25. 30. März 2017 – Bereinigte DNS-Datensätze für eine Schattendomain

Diese Aktivität wurde bis in den April und Mai fortgesetzt, wie in Abbildung 26 unten dargestellt.

Abbildung 26. 16. Mai 2017 – RIG-Schattendomain in DNS-Adressdatensätzen

ZUSAMMENARBEIT MIT GODADDY

Aufgrund der hohen Zahl von GoDaddy-registrierten Domains wurde GoDaddy als Kooperationspartner bei der Dokumentation der Infrastruktur von Schattendomains gewonnen. Dies bot einen einzigartigen, fokussierten Blickwinkel für die Untersuchung der Schatten-DNS-Einträge. Durch die eigenen Analysen ermittelte GoDaddy verschiedene Kennzahlen, die Einblicke in die Taktik, Techniken und Verfahren der Bedrohungsakteure bieten können. Anhand dieser Methoden wurden anschließend Aktivitäten im Zusammenhang mit Domain-Shadowing bestimmt und beobachtet. Die für diese Zwecke entwickelte Infrastruktur sorgte für die Transparenz, die zum weiteren Verständnis des Problems nötig ist.

Historische Domain-Shadowing-Aktivitäten wurden über ein 60-tägiges Zeitfenster hinweg mit verschiedenen ermittelten Verhaltensmustern analysiert. In diesem Zeitraum wurde beobachtet, dass bei der RIG-Schattenaktivität ein Hauptmuster für die Subdomain-Generierung verwendet wurde, bestehend aus Wörtern, die aus einer festen Wortliste zufällig ausgewählt wurden (z. B. „red“, „admin“, „info“, „save“ und „new“).

Ferner stellte RSA Research fest, dass diese Schattendomains RIG-bezogen sind. Dazu wurden die Ziel-IP-Adressen in GoDaddy-DNS-Daten (d. h. dort, wo die DNS-Adressdatensätze auf Schattendomains verwiesen) mit von RSA beobachteten RIG-Back-end-Netzblöcken (Abbildung 19) in Beziehung gesetzt sowie aktive Schattendomains in Sandboxes abgelegt. Die Abbildungen 27 und 28 veranschaulichen Schattendomains, die als RIG-Landingpages verwendet werden (Anfang Mai beobachtet). Im Rahmen dieser Ergebnisse wurden die aktuellen RIG-URL-Muster durchweg akzeptiert und bekannte .swf-Exploits (z. B md5: dc7d6b8b623fdf82a8ba48195bd1bdbf) gelöscht.

Abbildung 27. Sandboxing einer Schattendomain, die als RIG-Landingpage dient

Abbildung 28. Sandboxing einer weiteren Schattendomain, die als RIG-Landingpage dient

Darüber hinaus wurden im Zuge dieser Untersuchung Domain-Shadowing-Aktivitäten ermittelt, die mehreren alternativen Mustern folgen. Insgesamt betrafen die Shadowing-Aktivitäten Hunderte von Kunden, wobei jedem im Durchschnitt 150 Schattenregistrierungen in seine DNS-Datensätze injiziert wurden. Die täglichen DNS-Modifikationen lagen laut Messungen bei etwa 450 neuen Schatten-Subdomains pro Tag. Ein Großteil dieser Datensatzänderungen wird durch Browseraufrufe durch einen unbekannten Client oder mehrere Clients im TOR-Netzwerk initiiert.

Beim gängigsten Domain-Shadowing-Muster wurde gemäß den Ermittlungen ein zufällig ausgewählter Subdomain-Name mit 3 bis 5 alphanumerischen Zeichen verwendet. Beispiel-Subdomains, die in dieser Gruppe beobachtet wurden, sind „m47xh“, „mv6“, „eeiv“, „l4pj2“, „eiq0s“ und „bthi“. Diese Gruppe ist am zahlreichsten und macht über 95 % der aktuellen Schattenregistrierungen aus. Diese Shadowing-Aktivitäten wurden in über 30.000 Subdomains beobachtet, die insgesamt über 800 Domains betreffen. Die aktiven Subdomains veränderten sich unaufhörlich; ständig wurden Einträge automatisch hinzugefügt und entfernt, sodass sich durchschnittlich 900 Datensatzänderungen pro Tag ergaben.

Abbildung 29. Aktive Schattendomains während der Beobachtungsdauer

Vorläufige OSINT-Analysen dieser Aktivitäten deuten darauf hin, dass dieses Muster möglicherweise mit anhaltenden Malspam- und Malvertising-Aktivitäten zusammenhängt, was zu einem breiten Spektrum an Crimeware-Übertragungen führt. Beispiele für diese Aktivitäten sind unten in den Abbildungen 30 und 31 dargestellt.

Abbildung 30. Spam aus anderen Schattendomains?

Abbildung 31. Google-Suchergebnisse mit anderen, schwer zurückverfolgbaren Schattendomains

Insgesamt verwiesen die identifizierten Schattendatensätze auf etwa 240 IP-Adressen in 20 verschiedenen Subnetzen der Klasse C. Eine zusätzliche Analyse der Ziele war leider nicht möglich, da die zugehörigen Hostinganbieter an unserer Untersuchung nicht beteiligt waren. Die Identifizierung dieses Verhaltens hat dazu geführt, dass es im großen Maßstab ausgeschaltet wurde, wie unten im Abschnitt „Abhilfe“ beschrieben.

EIN VON INFIZIERTEN ANMELDEDATEN ANGETRIEBENES ÖKOSYSTEM

Die Tatsache, dass diese Kampagnen sich so sehr auf infizierte Anmeldedaten stützen, ist ziemlich aufschlussreich. Dennoch sind wir, wie aus der Erörterung oben hervorgeht, sehr zuversichtlich, dass RIG-Landingpages fast (wenn nicht sogar) ausschließlich auf kurzlebigen Schatten-Subdomains infizierter Domains (und Konten) gehostet und über sehr sichere ASNs in Osteuropa bereitgestellt werden. Wie wurden diese Anmeldedaten gesammelt?

Im Internet, in dem Informationsdiebe seit Jahren unterwegs sind, gibt es eine Reihe in Frage kommender Kampagnen, die für eine entsprechende Zuordnung ausgewertet werden müssen. Der Versuch, diese infizierten Anmeldedaten mit den PONY-Dumps der letzten Jahre in Beziehung zu setzen, führte zu negativen Ergebnissen, was darauf hindeutet, dass diese Kampagnen wahrscheinlich nicht die Quelle waren. Es bestehen aber noch viele andere Möglichkeiten.

In Bezug auf die Schattendomains selbst wird vermutet, dass die Bedrohungsakteure, die diese Kampagnen durchführen, zur Beschaffung legitimer Kundenanmeldedaten auf ausgeklügelte Phishingvorgänge angewiesen sind (z. B. Abbildung 32). Mit seinen 17 Millionen Kunden und 71 Millionen Domainnamen ist GoDaddy ein natürliches Ziel für groß angelegte und ausgeklügelte Phishingangriffe. GoDaddy setzt sich weiterhin für TFA (Two Factor Authentication, Zwei-Faktor-Authentifizierung) ein und arbeitet aktiv mit Hostinganbietern zusammen, die diese Phishingseiten bereitstellen, um Websites mit diesen bösartigen Inhalten vom Netz zu nehmen.

Abbildung 32. Eine frühere, auf GoDaddy zielende Speer-Phishing-Kampagne

Im Hinblick auf die infizierten Websites (Websites, die den Datenverkehr über injizierte iframes an GoDaddy-Schattendomains weiterleiten) lässt der Querschnitt der betroffenen Domainregistrare auf einen opportunistischeren Ansatz schließen. Zwar bleibt unklar, welche Methoden als Mittel zur Sammlung dieser Anmeldedaten verwendet worden sind, doch gibt es Communityforschung zum Einsatz von IoT-Botnetzen bis hin zu Brute-Force-WordPress-Websites.

Wenn diese Beobachtungen und Spekulationen zutreffend sind, müssen wir das RIG-Operationsmodell vielleicht eher als ein Ökosystem betrachten, wie Abbildung 33 nahelegt.

Abbildung 33. Mutmaßliches RIG-Ökosystem

ABHILFE

Die dokumentierten Schattenaktivitäten wurden aus GoDaddys DNS-Systemen entfernt. Das Domain-Shadowing war in der Vergangenheit ein großes Problem, da Datensätze selten überprüft wurden, zahlreich waren und unter legitimen Domains erstellt wurden. In Zusammenarbeit mit RSA konnte GoDaddy Datenanalysen durchführen, um die angreifenden Schattendomains zu isolieren und zu entfernen. Bekannte bösartige Ziel-IP-Adressen wurden in GoDaddys DNS-System auf die Blacklist gesetzt. Darüber hinaus wurden infizierte Kundenkonten gesperrt. Um künftigen Missbrauch zu verhindern, müssen ihre Anmeldedaten geändert werden.

Der Schwerpunkt für die Zukunft liegt auf der Weiterentwicklung von Prozessen zur umfassenden Erkennung und Entfernung von bösartigen DNS-Datensätzen sowie auf der Integration von Präventivmaßnahmen in den Datenfluss der Domainänderungen. In dem Maße, wie diese Bemühungen in ihrer Fähigkeit, Shadowing zu verhindern und zu stören, ausgereifter werden, werden sie weniger von übermittelten Indikatoren zur Ad-hoc-Abhilfe abhängig sein. Stattdessen werden sie sich auf die Analyse interner Datasets stützen, um bösartige Datensätze automatisch zu identifizieren und zu entfernen.

Der Erfolg in diesen Bereichen wird die Zeit bis zur Erkennung und die Zeit bis zur Abhilfe verkürzen und gleichzeitig die Nutzungsdauer der Schattendomains deutlich reduzieren. Die Integration architektonischer Gegenmaßnahmen in Konten, bei denen ein hohes Risiko von Domain-Shadowing besteht, wird ebenfalls in Erwägung gezogen. Diese Vorgehensweise wird GoDaddy-Konten sicherer machen und die Wirksamkeit von Domain-Shadowing als Verfahren zur Verteilung von Malware verringern.

WIRKUNG und FAZIT

Zwar lässt sich die Wirkung von Ausschaltvorgängen nur schwer messen, insbesondere angesichts der begrenzten Einblicke in die Aktivitäten der Bedrohungsakteure, doch deuten vorläufige Analysen auf erhebliche Einbußen bei den Fähigkeiten von RIG-Operationen hin, insbesondere bei den aktuellen Seamless- und Decimal-IP-Kampagnen (wie in Abbildung 34 gezeigt). Die Langlebigkeit der Wirkung wird noch von GoDaddy- und RSA-Teams gemeinsam ausgewertet.

Abbildung 34. RIG-Back-end nicht für Decimal-IP-Kampagne verfügbar

Die Bestimmung der Folgen einer derartigen Ausschaltung für die anhaltenden Ransomware-, Malvertising- und Malspam-Kampagnen ist wesentlich schwieriger. Wir wissen jedoch, dass am 16. Mai 2017 Zehntausende von aktiven Schattendomainressourcen eines aktiven Crimeware-Akteurs entfernt wurden.

Mit diesem Bericht wird diese Phase unserer Forschung und der damit verbundenen Ergebnisse abgeschlossen. Wir rechnen jedoch mit weiteren gemeinsamen Untersuchungen über die Rolle, die Domain-Shadowing-Operationen im allgemeinen Crimeware-Ökosystem spielen.

Anhang A

PseudoDarkleech-Kampagne: Cerber-Ransomware

Screenshots:

Datenverkehr:

Anhang B

EITEST-Kampagne: CryptoShield-Ransomware

Screenshots:

Datenverkehr: