Google går efter malware-distributionsnettet Glupteba
Nedlukning af dette Botnet menes at være midlertidig, da den kriminelle gruppe har en backup kommando-og-kontrol mekanisme baseret på Bitcoin blockchain.
I arbejde med flere internetinfrastruktur og hosting-udbydere, herunder Cloudflare, har Google forstyrret driften af en aggressiv Windows botnet kendt som Glupteba, der blev distribueret gennem falske annoncer. Det fungerede også som et distributionsnetværk for yderligere malware. Virksomheden indgav også en retssag mod to personer, der menes at være baseret i Rusland, og som spiller en central rolle i driften af botnettet.
Googles handling målrettet centrale command-and-control-infrastruktur ( såsom servere og domænenavne, der anvendes af Glupteba, samt mange slyngelstaters konti på Googles tjenester, der blev brugt til at distribuere det. Selvom dette er et alvorligt slag mod botnet, hvis anslåede størrelse er over 2 millioner computere, er det usandsynligt, at det er dets død, fordi Glupteba har en backup command-and-control-mekanisme, der er afhængig af Bitcoin blockchain. Det giver Glupteba et værn mod nedlukningsforsøg.
“Vi har afsluttet omkring 63 millioner Google-dokumenter observeret at have distribueret Glupteba, 1.183 Google-konti, 908 cloud-projekter, og 870 Google-annoncer konti forbundet med deres distribution,” angav researchers hos Googles Threat Analysis Group i en rapport. “Desuden, blev 3,5 millioner brugere advaret, før du downloader en ondsindet fil via Google Safe Browsing advarsler.”
Hvad er Glupteba?
Glupteba er et Windows-malware-program med en rootkit-komponent, der giver avancerede stealth- og selvforsvarsfunktioner og en række yderligere komponenter eller plug-ins, der udvider dets funktionalitet. Disse omfatter cryptocurrency minedrift, stjæle adgangskoder og cookies fra browsere, spredning over det lokale netværk, kompromittere lokale MikroTik routere og bruge dem som fuldmagter til ondsindet trafik, og udfører DNS cache forgiftning til direkte lokale netværksbrugere til slyngelstater hjemmesider.
Glupteba’s funktion sæt gør det muligt at fungere som en downloader til anden malware, og der er beviser det er blevet brugt til at distribuere malware til andre hackere. Et sådant eksempel er Meris DDoS botnet, som er kendt for at misbruge MikroTik routere.
Den Glupteba dropper, den vigtigste komponent i malware, distribueres på flere måder, men primært gennem falske websider og beskeder på sociale medier sites, der fremmer piratkopierede versioner af populære kommercielle applikationer og spil. Ondsindede annoncer distribueret gennem reklamenetværk, der linker til malware er også blevet observeret, fremme falske krypto handel apps og andre tjenester.
Angriberne brugte Google-konti til at sende spamkommentarer på YouTube og være vært for dokumenter med links til malwaren i Google Docs.
For at sprede sig til andre systemer på det lokale netværk bruger Glupteba et plugin, der udnytter EternalBlue SMB-sårbarheden. Al kommunikation med kommando- og kontrolserverne opnås gennem en anden komponent, der fungerer som en lokal proxy.
Ved installationen bruger dropperen systemplanlagte opgaver og systemværktøjer som certutil til at udføre sig selv og etablere vedholdenhed. Det tilføjer også undtagelser til Windows Defender for malware mapper, løbende dræber Windows Update processen, og installerer to systemdrivere, hvis mål er at skjule malware proces.
Command-and-Control via Bitcoin blockchain
Botnet leveres med Command-and-Control WEBADRESSER hardcoded i den binære, men det har en mekanisme til at opdatere dem efter installation, hvis domænerne er ændret. Derudover er der en mekanisme, der udløses, når botnetklienten ikke kan nå de nuværende Command-and-Control-domæner. I et sådant tilfælde vil det forsøge at udtrække nye domæner fra de nyeste transaktioner i tre Bitcoin wallets.
Alle Bitcoin-transaktioner registreres på den offentlige Bitcoin blockchain, som i det væsentlige er en digital hovedbog, der distribueres til alle systemer, der deltager i Bitcoin-netværket. Bitcoin understøtter ikke indbygget begrebet transaktionsnoter, fordi dette ville tilføje data til alle transaktioner, hvilket gør blockchain unødigt større. Der er dog en måde at indsætte en begrænset mængde vilkårlige data (40 byte) i en Bitcoin-transaktion ved hjælp af et felt kaldet OP_RETURN. Selvom dette felt var beregnet til specifikke use cases, kan det teknisk set bruges til at gemme noget og er mere end nok til at gemme et domænenavn.
Når de ønsker at opdatere Command-and-Control-domæner, Glupteba operatører kan blot indlede en transaktion fra en af de tre wallets og medtage et nyt domænenavn i krypteret form i transaktionens OP_RETURN felt. Den malware er programmeret til at søge efter den nyeste transaktion, tage de krypterede OP_RETURN data fra det og dekryptere det ved hjælp af en hardcoded AES nøgle og derefter oprette forbindelse til det nye domænenavn. Da Bitcoin blockchain aldrig kan forstyrres, og transaktionsposter er permanente og uændrede, selv i mangel af funktionelle Command-and-Control-servere, har angriberne en måde at genvinde kontrollen over botnettet, så længe de har kontrol over en af Bitcoin-tegnebøgerne.
“Desværre er Gluptebas brug af blockchain-teknologi som en robusthedsmekanisme bemærkelsesværdig her og er ved at blive en mere almindelig praksis blandt cyberkriminalitetsorganisationer,” sagde Googles vice president for sikkerhed, Royal Hansen, og virksomhedens generelle rådgiver, Halimah DeLaine Prado, i et fælles blogindlæg. “Blockchains decentraliserede karakter gør det muligt for botnettet at komme sig hurtigere efter forstyrrelser, gør dem så meget sværere at lukke ned. Vi arbejder tæt sammen med industrien og regeringen, når vi bekæmper denne form for adfærd, så selvom Glupteba vender tilbage, vil internettet være bedre beskyttet mod det.”
Retssager har fortilfælde
Google indgav en klage i det sydlige distrikt i New York mod to personer ved navn Dmitry Starovikov og Alexander Filippov, der menes at opholde sig i Rusland, for computer misbrug og bedrageri, identitetsbedrageri, varemærkekrænkelse, falsk reklame, illoyal konkurrence og meget mere. Ud over skader og fritagelse bad Google om et midlertidigt tilhold samt et permanent påbud, der forhindrede nogen i at “hjælpe, hjælpe eller tilskynde enhver anden person eller forretningsenhed til at deltage i eller udføre nogen af den aktivitet”, der er beskrevet i klagen. Hvis det gives, kan et sådant påbud hjælpe Google og dets partnere i deres bestræbelser på at blokere angribere fra at bruge domænenavne, servere og andre tjenester og infrastruktur fra virksomheder, der skulle overholde påbuddet.
Denne strategi med at sagsøge botnet operatører til at sikre retskendelser, der ville hjælpe eller fremskynde infrastruktur takedown indsats er ikke ny. Sidste år indgav Microsoft krav om krænkelse af ophavsretten mod operatører af Trickbot for at få en retskendelse, der gjorde det muligt for virksomheden og dens partnere at afskære nøgleinfrastruktur og alvorligt forstyrre botnettet.
Kilde: The Hacker News