Steganografie: Wie Malware verdeckt kommuniziert

Anhand von einigen Praxisbeispielen zeigen Sicherheitsforscher auf, wie sich Malware im Verborgenen mit Command-and-Control-Servern austauscht.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Stenografie: Wie Malware verdeckt kommuniziert

(Bild: Christiaan Colen, CC BY-SA 2.0)

Lesezeit: 2 Min.

Malware-Entwickler machen sich mittlerweile Steganografie zunutze und ihre Schad-Software kommuniziert über verdeckte Kanäle. Infizierte Computer tauschen so etwa über unverdächtigen Netzwerkverkehr, wie etwa DNS, Informationen mit Command-and-Control-Servern aus. Das erläuterten die Sicherheitsforscher Christian Dietrich und Pierre-Mar Bureau in ihrem Vortrag auf der Black Hat Europe in Amsterdam.

Das Einbetten der Kommunikation in legitimen Netzwerkverkehr habe für Kriminelle den Vorteil, dass automatisierte Sicherheitsmechanismen nicht anspringen und der Informationsaustausch nicht geblockt wird. Dietrich und Bureau zufolge soll die verdeckte Kommunikation so gut funktionieren, dass selbst wenn ein Analyst den Netzwerkverkehr begutachtet, die Chance auf eine Entdeckung sehr gering ist.

Den Sicherheitsforschern zufolge setzen etwa die Malware-Familien Gozi Neverquest und Stegoloader auf verdeckte Kommunikation. Dabei sollen sich die dafür relevanten Daten im least significant bit (LSB) von digitalen Bildern verstecken.

Gozi Neverquest wird für Finanzbetrug eingesetzt und zieht Daten in Finanzeinrichtungen ab. Die Malware soll seit Anfang 2015 auf Steganografie setzen. Dabei tarnt sie eine URL, von der sie Konfigurationsdateien herunterlädt, wenn die Command-and-Control-Server nicht erreichbar sind.

Bei Stegoloader handelt es sich um eine modulare Malware, die Informationen abzieht. Die Entwickler verschleiern mit Steganografie den Download von Code für das Hauptmodul. Die Schad-Software analysiert zudem die Umgebung und erst wenn klar ist, dass es sich um keinen Honeypot oder ähnliches handelt, lädt Stegoloader eine PNG-Datei mit dem Code herunter, erläutern die Kryptologen. Dieser sei zusätzlich mit RC4 geschützt.

Die Malware Feederbot soll DNS-Anfragen missbrauchen, um Informationen verdeckt an Command-and-Control-Servern zu schicken. Innerhalb der DNS-Anfrage imitiert Feederbot Dietrich und Bureau zufolge die Google.com-Domain, um sich zu tarnen.

Im Fall der Malware Foreign stießen die Sicherheitsforscher auf eine HTTP-Fehlerseite, die Informationen für einen Command-and-Control-Server enthält. Diese Infos sind den Kryptologen zufolge Base64 codiert und verstecken sich zwischen den HTML-Kommentar-Tags. (des)