IT-Experten bei Akamai Technologies haben Hacker entdeckt, die eine seltene Technik zum Schutz ihrer Kryptomining-Botnets anwendet. Sie nutzen dabei ganz raffiniert die Bitcoin-Blockchain, die als äußerst sicher und nicht manipulierbar gilt. Damit ist es so gut wie unmöglich, das Botnet abzuschalten.

Die Akamai Forscher konnten beobachten, wie diese Technik bei Infektionsversuchen eingesetzt wird. Ihr Forschungsbericht beschreibt die Taktik im Detail. Die Hacker verwenden die Bitcoin-Blockchain, um Konfigurationsinformationen zu verschleiern, die zur sekundären Command-and-Control-Infrastruktur des Botnets gehören. Die Blockchain ist ganz bewusst zur Sicherung von legitimen Transaktionen dezentral aufgestellt und kann nicht abgeschaltet werden. Allerdings kann damit laut Akamai auch eine kriminelle Botnet-Infrastruktur zuverlässiger geschützt werden und nur mit sehr großem Aufwand, falls überhaupt, ausgehebelt werden.

Botnet zum Krypto Schürfen

Das Botnet dieser bestimmten Gruppe von Krypto Schürfern nutzt die Rechenressourcen und die Stromversorgung von infizierten Rechnern, um die Kryptowährung Monero zu schürfen. Die Hacker haben in diesem besonderen Fall jedoch gegen das Beschlagnahmen ihres Botnets gut gewappnet. Ihre Botnet-Malware zum Schürfen von Kryptowährung wurde mit einer ganz neuen Technik ausgestattet. Akamai ist diese als äußerst ungewöhnlich aufgefallen. Das Botnet steht wohl auch im Zusammenhang mit den Skidmap Angriffen, die auf Linux-Rechner abzielen. Die Skidmap-Malware nutzt öffentlich bekannte Schwachstellen zur Remotecodeausführung aus, die in Technologien wie Apache Hadoop YARN und Elasticsearch vorhanden sind. Einmal auf einem ungeschützten System installiert, führt es mithilfe des Dienstprogramms „cron job“ Befehle aus, um sich mit seinen C2-Servern zu verbinden. Die gekaperten Systeme können und werden damit auch immer wieder mit der neuesten Version der Malware infiziert.

Hacker fassen die von ihnen infizierten Rechner oder Geräte bekanntlich in einem Botnet zusammen, das über einen bestimmten Server kontrolliert wird. Über diesen werden alle Befehle und Updates an das Botnet übermittelt. Schlimmster Fall für die Hacker wäre, wenn ihr Server abgeschaltet werden würde, was als Sinkholing bezeichnet wird. Theoretisch könnte so ja jedes Botnet zerstört werden, Takedown genannt. Um Takedowns zu verhindern, haben die kriminellen Schürfer nun einen Mechanismus eingebaut, der in infizierten Systemen automatisch eine neue Version der Malware herunterlädt. Außerdem ist er so konfiguriert, dass es immer neue Domänen und Infrastrukturen verwendet, falls die primären abgeschaltet werden sollten. Das Ganze wurde von den Hackern in IP-Adressen in der Bitcoin-Blockchain tarnt.

Gut geschützt und versteckt in der Blockchain

Die Blockchain ist eine äußerst intelligente und auch komplizierte Technologie, die als sehr sicher und nicht manipulierbar gilt. Bei Akamai konnten die Forscher Dezember 2020 beobachteten, wie eine neue Version der Botnet-Malware das ausnutzte, um sich noch besser gegen Takedowns abzusichern.

Die Botnet Malware war mit einer Bitcoin-Wallet-Adresse, einer URL für eine API zum Abrufen von Daten aus der Bitcoin-Wallet und noch verschiedenen kryptischen Einzeilern in der Programmiersprache Bash ausgestattet. Die genaue Analyse der neuen Malware zeigte den Forschern eine unglaublich raffinierte Technik. Die Daten, welche die API von der Bitcoin-Wallet abrief, wurden zur Berechnung einer neuen IP-Adresse verwendet. Die Malware ist dann in der Lage, diese zum Schutz und zur Aufrechterhaltung ihrer Neuinfektionen zu nutzen, falls ihre primäre C2-Infrastruktur außer Gefecht gesetzt werden sollte.

Evyatar Saias, einer der Akamai Forscher erklärte: „Die Hacker verstecken IP-Adressen in den Werten von Bitcoin-Transaktionen“. In einer ganz einfachen Umschreibung erklärte er das Prinzip. Das System funktioniert ähnlich, als wenn jemand seine Telefonnummer verschleiern möchte. Er sagte: „Nehmen wir an, ich möchte, dass Sie mich anrufen, aber ich möchte es anderen schwer machen, zu wissen, unter welcher Telefonnummer Sie mich anrufen sollen“, sagt er. „Wir könnten ein System aushandeln, das besagt, dass ich fünf kleine Einzahlungen, alle unter einem Dollar, auf Ihr Girokonto überweise, wenn ich möchte, dass Sie mich anrufen.“

Die eingezahlten Beträge ergeben zusammengesetzt die zu wählende Telefonnummer. Beispiel: Fünf Einzahlungen waren jeweils 0,55, 0,51, 0,23, 0,45 und 0,67, dann wäre die zu wählende Telefonnummer 555-123-4567, erläuterte Saias. Sollte diese Telefonnummer einmal gesperrt werden, bräuchte man nur auf das Girokonto schauen und nach weiteren kleinen Einzahlungen suchen, die eine neue Nummer ergeben.

Botnet kann nicht blockiert, zensiert oder abgeschaltet werden

Laut Saias könnte man zwar eine bestimmte Wallet effektiv von Anfragen auf öffentlichen Blockchain-Explorer-Plattformen verbannen. Allerdings gibt es ja viele solcher Plattformen. Es würde sehr langen dauern und wäre nur mit riesigem Aufwand möglich, eine vollständige Verbannung zu koordinieren. Die Hacker hätten währenddessen mehr als genug Zeit, einfach eine andere Wallet-Adresse zu verwenden.

Im Fall der neuen Schutztechnik würden sich infizierte Maschinen mit dem verbundenen C2-Server austauschen, um Anweisungen und Updates zu erhalten. Wenn dieser Server jedoch ausfällt, dann findet das Botnet automatisch die IP-Adresse des Backup-Servers, die in der Bitcoin-Blockchain verschlüsselt ist.

Durch die Speicherung der Adresse in der Blockchain ist damit das Botnet und die IP-Adresse des Servers sicher. Unbezahlbarer Bonus obendrein – sie kann niemals geändert, gelöscht oder blockiert werden.

Artikel von akamai.com, 23.02.2021: Bitcoins, blockchains, and botnets
Artikel von arstechnica.com, 23.02.2021: The bitcoin blockchain is helping keep a botnet from being taken down
Artikel von darkreading.com, 24.02.2021: Botnet Uses Blockchain to Obfuscate Backup Command & Control Information

Beitragsbild: Public Domain, Creative Commons CC0 von Gerd Altmann auf Pixabay.com