Infostealer: Eine wachsende Bedrohung

Ein Zeichen für die zunehmende Reife der cyberkriminellen Wirtschaft ist der schnell wachsende Einsatz von Infostealern, einer Kategorie von Malware, die, wie der Name schon sagt, darauf ausgelegt ist, Informationen von Ihrem System zu sammeln und zu exfiltrieren. 

Malware-as-a-Service

Infostealer-Malware ist typischerweise recht ausgefeilt und komplex. Aber wie bei vielen Arten von Ransomware kann praktisch jeder sie in die Hände bekommen und verwenden. Alles, was Sie brauchen, ist ein Abonnement bei einem Malware-as-a-Service (MaaS)-Anbieter, das nur 200 Dollar pro Monat oder 1.000 Dollar für ein lebenslanges Abonnement kostet. 

Diese Dienstleister werben zunehmend im Dark Web und bieten nicht nur die Malware an, sondern auch technischen Support und zusätzliche Tools wie spezielle Command-and-Control-Server, die der Abonnent nutzen kann, um die von der Infostealer-Malware erlangten Daten zu exfiltrieren.

Und sie werden immer beliebter.

Revolver Rabbit setzt neue Maßstäbe

Ein weiteres Zeichen für das enorme Ausmaß, in dem Infostealer eingesetzt werden, und für ihre zunehmende Raffinesse: Bleeping Computer berichtete im Juli, dass die als Revolver Rabbit bekannte Gang von Cyberkriminellen 500.000 Domainnamen registriert hat, die in Infostealer-Kampagnen verwendet werden sollen. 

Und sie verwenden Algorithmen zur Generierung registrierter Domains (RDGAs), um das zu erreichen.

Aber was bedeutet das genau? Nun, herkömmliche Malware wurde mit einem oder mehreren fest einprogrammierten Domainnamen erstellt, um für Command-and-Control (C2) und für die Exfiltration gestohlener Daten verwendet zu werden. Das Problem bei dieser Strategie war, dass Sicherheitsforscher bald herausfanden, um welche Domänennamen es sich handelte, und sie dann zu den Blocklisten hinzufügten, wodurch die Malware effektiv daran gehindert wurde, nach Hause zu telefonieren, und sie somit nutzlos wurde.

Bedrohungsakteure reagierten darauf, indem sie fest kodierte Domainnamen in Malware durch Domain-Generierungsalgorithmen (DGAs) ersetzten. Diese Algorithmen können eine große Anzahl von Domänennamen halb zufällig generieren, von denen die große Mehrheit keine tatsächlich registrierten Domänen sind. So kann die Malware nun Blocklisten umgehen, indem sie neue, alternative Domainnamen generiert, die die blockierten ersetzen. 

Aber weil diese Domains größtenteils nicht registriert waren, sendete die Malware viele DNS-Abfragen, die eine Fehlermeldung „Nicht existierende Domain“ (NXDOMAIN) zurückmeldeten. Dies wiederum würde dem Sicherheitspersonal einen wichtigen Hinweis auf eine Kompromittierung liefern, nämlich die große Anzahl der zurückgemeldeten NXDOMAIN-Fehler. 

Durch die Untersuchung der nicht registrierten Domainnamen, die NXDOMAIN-Fehler verursachen, könnten Sicherheitsforscher außerdem die verwendete DGA zurückentwickeln und proaktiv alle potenziellen Domainnamen blockieren. Und sie könnten die wenigen registrierten Domainnamen ausfindig machen und diese ebenfalls blockieren.

RDGAs gehen noch einen Schritt weiter, indem sie nur registrierte Domainnamen generieren. Dies löst das Problem zu vieler NXDOMAIN-Fehler und ermöglicht es Bedrohungsakteuren, sehr schnell viele Domainnamen zu registrieren, die sie über einen längeren Zeitraum beibehalten können, bis sie sie als Teil einer Malware-Kampagne verwenden. 

Eine Frage der Zahlen

Noch vor einem Jahr wurde die Registrierung von Zehntausenden von Domainnamen durch einen DNS-Bedrohungsakteur als ein großer Einsatz von Ressourcen zur Unterstützung von Malware-Kampagnen angesehen. Die Enthüllung, dass Revolver Rabbit Registrierungen für eine halbe Million Domainnamen besitzt – was echtes Geld kostet – zeigt, wie schnell die MaaS-Branche wächst. 

Wie Sie sich schützen können

Infostealer können Ihnen keinen Schaden zufügen, solange sie nicht in Ihr System eindringen. Daher ist es wichtig, alles Mögliche zu tun, um zu verhindern, dass Malware in Ihr System eindringt.

Stellen Sie zuallererst sicher, dass Ihre Benutzer gut darin geschult sind, verdächtige E-Mails, Anzeigen, Websites und vieles mehr zu erkennen. Infostealer werden sehr häufig über Phishing-E-Mails und über Websites verbreitet, die für Gutscheine, kostenlose Filme, Gewinnspiele usw. werben. Eine weitere gängige Taktik ist irreführende Werbung, die Ihnen vorgaukelt, Sie würden eine nützliche Software herunterladen, z. B. einen kostenlosen Video-Editor. Ein modernes Schulungsprodukt zum Thema Sicherheitsbewusstsein wie Barracuda Security Awareness Training ist sehr hilfreich bei der Reduzierung dieser Sicherheitslücke.

Wie Christine Barry in einem aufschlussreichen Beitrag aus dem letzten Jahr betonte, ist eine weitere häufige Infektionsquelle die riesige Armee von Bots, die derzeit Ihr Netzwerk durchsuchen, um falsch konfigurierte, ungepatchte oder nicht verwaltete Anwendungen und Geräte zu finden, die ausgenutzt werden können, um Fuß zu fassen. Daher ist es auch aus Sicherheitsgründen sehr wichtig, sicherzustellen, dass alle Ihre Geräte und Software auf dem neuesten Stand und korrekt konfiguriert sind. 

Fortschrittliche Systeme zum Schutz von Webanwendungen und APIs (WAAP) wie Barracuda Application Protection können diesen Prozess erheblich automatisieren und beschleunigen. Darüber hinaus erkennen und blockieren sie bösartige Bots, die Ihr Netzwerk auf Schwachstellen untersuchen.