Die Dienste der Spamhaus ZEN und DBL nutzen wir seit Jahren erfolgreich zur Abwehr von Spam und Phishing Attacken in unseren Mail-Infrastrukturen. Dazu kamen in den letzten Jahren auch weitere spezialisierte Block- bzw. Reputationslisten für Domains und sogar Bitcoin-Adressen oder Malware. Auch diese setzen wir sehr erfolgreich zur besseren Abwehr täglicher Bedrohungen im Mail-Umfeld ein.
Spamhaus ist aber auch in erweiterten Feldern unterwegs und verfolgt neben Spam und Phishing nicht nur den typischen Infektionsweg von Trojanern und Viren über E-Mail, sondern auch deren Command and Controlserver.
Command und Controlserver kurz C&C sind Hosts, die von den Viren und Trojanern kontaktiert werden, um gegebenenfalls weitere Malware oder Updates einzuspielen oder neue Aufgaben zu erhalten. Solche neuen Aufgaben können zum Beispiel das Abziehen von Zugangsdaten auf dem lokalen Computer, die Infektion weiterer Geräte im Netzwerk oder das Hochladen der gesammelten Daten eines infizierten Gerätes sein.
Wenn wir an unsere tägliche Arbeit in Mail-Infrastrukturen denken, kommen wir mit dieser Art von Servern allerdings nur sehr, sehr selten in Kontakt. Der Grund dafür ist, dass die Globalisierung auch auf der „bösen“ Seite voll im Gange ist. Oft wird Schadcode von dem einen Team entwickelt und verkauft oder als MWaaS (Malware as a Service) betrieben, und das knacken von E-Mail-Konten (oder anderen Zugängen/Daten), der Versand von Spam und der Handel mit infizierten Geräten wird häufig von anderen Teams durchgeführt. Wir sehen im Anti-Spam also vor allem die IP-Adressen der Spammer, aber eben nicht die IP’s der C&C Server.
So wurden zum Beispiel viele Computer mit Emotet infiziert. Emotet richtete aber selten selbst Schaden an, sondern war nur Dropper, ein Sprungbrett für die Installation weiterer Schadsoftware auf dem System.
Spamhaus zeigt, wie auch in den vorherigen Berichten, dass sich auch die Welt der C&C Server dynamisch verändert. Die Server sind weltweit verteilt. Natürlich spielen politische und infrastrukturelle Grundlagen eine gewisse Rolle. Auch wenn Russland derzeit auf dem 1. Platz steht (langfristige Entwicklung) folgen USA, Deutschland und die Niederlande auf den Plätzen zwei und drei. Die meisten Domains für die C&C Server werden bei Domain Registrars in den USA bestellt und es werden gern freie Domains (tk, ml, ga, cf, gq) verwendet, die bei einem niederländischen Verwalter Freenom organisiert werden. An der Spitze der Domains steht jedoch weiterhin .com.
Aus meiner Sicht sehen wir an den Grafiken und Daten weiterhin, dass die Botnetzbetreiber und Spammer prinzipiell weltweit arbeiten können. Auch wenn es einen Schlag gegen Emotet und jetzt auch Trickbot gab, können deren Strukturen jederzeit neu entstehen. Emotet ist schon wieder da. Statische Sperren werden uns in einem sich ändernden Schadcode-Markt nicht ewig schützen.
Auch wenn wir die Erkenntnisse über die Botnetze nicht 1:1 auf E-Mail-Infrastrukturen übertragen können (IP’s und Domains sind ganz andere), fließen die Erkenntnisse natürlich auch in die Reputationsdaten von Spamhaus ein.
BTW: Wenn man etwas weiter denkt als nur E-Mail, gibt es ein kleines Stück weiter schon einen erheblich größeren Nutzen rund um das Wissen von C&C Servern – nämlich auf den Internet-Gateways der Nutzer. Wenn ein infiziertes Gerät seinen Command und Control Server kontaktiert, gebe ich auch dem Gateway die Möglichkeit, diese Kommunikation zu erkennen und zu unterbinden. Spamhaus stellt hierfür auch direkt ihre Erkenntnisse als DNS Daten bereit:
https://www.spamhaus.com/product/dns-firewall/
Die genannte Spamhaus DROP gibt es seit Jahren zur kostenlosen Nutzung und diese ist auch in vielen Produkten und erweiterten Listen enthalten.
Mit den DNS Firewall Threat Feeds stellt Spamhaus noch umfangreichere Daten zur Verfügung.
Für alle Interessierten gibt es das vollständige Botnet Theat Update von Spamhaus für Q1 2022 hier.
Und wer Interesse an einer Spamhaus-Lizensierung über Heinlein Support hat, findet weitere Informationen auf unserer Website.
Autor: Carsten Rosenberg, Consultant Heinlein Support
Kommentare