Veränderungen der Malware-Taktiken nach erstem Infoblox-Fund im April
– Die Open-Source-Software Pupy entpuppt sich als ein Deckmantel für die tatsächlichen Funktionalitäten von Decoy Dog und zeigt damit den dringenden Bedarf an DNS-Sicherheit auf.
– Nach der ersten Veröffentlichung zu Decoy Dog von Infoblox im April, ergriffen die Hacker Maßnahmen, um den Zugang zu bereits kompromittierten Geräten weiterhin aufrechtzuerhalten.
– Infoblox beobachtet die Situation weiterhin, baut die Bedrohung nach und erstellt ausgefeilte DNS-Erkennungsalgorithmen, um weitere versteckte Bedrohungen zu entschärfen.
Santa Clara, Kalifornien, 07. August 2023 – Infoblox (https://www.infoblox.com), Anbieter einer einfachen, Cloud-basierten Netzwerk- und Sicherheitsplattform für bessere Netzwerk-Performance und -Absicherung, veröffentlichte heute einen zweiten Threat Report (https://www.infoblox.com/resources/whitepaper/decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns) zum Trojaner „Decoy Dog“, der umfangreiche Updates beinhaltet. Bei „Decoy Dog“ handelt es sich um einen Remote Access Trojan (RAT), der im April 2023 entdeckt wurde. Diese Malware nutzt das Domain Name System (DNS), um Command-and-Control (C2) Kommunikation zu etablieren, und steht im Verdacht, ein geheimes Tool für laufende Cyberangriffe zu sein, die von staatlichen Akteuren ausgehen.
Staatliche Hacker hinter Decoy Dog vermutet
Die Bedrohungsakteure haben nach der Enthüllung des Toolkits durch Infoblox im April schnell reagiert und ihre Systeme angepasst, um einen kontinuierlichen Betrieb zu gewährleisten. Dies deutet darauf hin, dass die Aufrechterhaltung des Zugangs zu den Geräten der Opfer weiterhin hohe Priorität für die Angreifer hat. Laut der aktuellen Analyse hat sich die Malware außerdem weiterverbreitet und wird inzwischen von mindestens drei Akteuren eingesetzt. Obwohl Decoy Dog auf dem Open-Source-RAT Pupy basiert, handelt es sich um eine grundlegend neue, bisher unbekannte Malware mit einer Vielzahl an Funktionen, die auf einem kompromittierten Gerät bestehen bleiben. Viele Aspekte von Decoy Dog sind nach wie vor unbekannt, aber alle Anzeichen deuten darauf hin, dass es sich um staatliche Hacker (https://blogs.infoblox.com/cyber-threat-intelligence/decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns/) handelt. Infoblox hat einen neuen Datensatz mit DNS-Verkehr veröffentlicht, der von den Infoblox-Servern erfasst wurde, um die Branche bei der weiteren Untersuchung der C2-Systeme zu unterstützen.
Reaktion der Hacker auf erste Veröffentlichung
Erstmals berichtete die Infoblox Threat Intelligence Group im April über Decoy Dog. Das Vorgehen zur Aufdeckung war damals schon ungewöhnlich, da Decoy eine Schwäche im aktuellen Threat-Intelligence-Ökosystem ausnutzt: Normalerweise findet die Industrie Malware und identifiziert dann Signaturen. Im Fall von Decoy Dog war es aber umgekehrt: Mithilfe von DNS konnten die wichtigsten Merkmale des Toolkits aufgedeckt werden und daraus ließ sich ableiten, dass eine Malware-Attacke im Gang ist. Mit groß angelegten DNS-Analysen konnte Infoblox wichtige Merkmale der Malware, sowie der Akteure, die sie einsetzen, eruieren. Unmittelbar nach der ersten Ankündigung in den sozialen Medien reagierten die Decoy Dog-Bedrohungsakteure auf die Enthüllungen von Infoblox auf unterschiedliche Weise. Einige der im Infoblox-Bericht vom April 2023 (https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/) erwähnten Nameserver wurden abgeschaltet, während andere ihre Opfer auf neue Server migrierten.
Neue Erkenntnisse über Decoy Dog und Pupy
Die Infoblox Threat Intelligence Group hat die Entwicklungen seither weiter beobachtet und überwacht aktuell 21 Decoy Dog-Domains. Einige von ihnen wurden innerhalb des letzten Monats registriert und eingesetzt.
Die neuesten Erkenntnisse:
– Die Art und Weise der Malware-Kommunikation ermöglicht beispielsweise den Rückschluss, dass die Zahl der kompromittierten Geräte relativ gering ist.
– Infoblox konnte Unterscheidungsmerkmale zwischen Decoy Dog und Pupy feststellen.
– Decoy Dog verfügt über eine ganze Reihe leistungsstarker, bisher unbekannter Funktionen. Zum Beispiel können, Opfer auf einen anderen Controller verschoben werden. Damit wird die Kommunikation mit kompromittierten Rechnern aufrechterhalten und bleibt auch über lange Zeiträume hinweg verborgen. Einige Opfer haben über ein Jahr lang aktiv mit einem Decoy Dog-Server kommuniziert.
„Decoy Dog ist eine ernsthafte und anhaltende Bedrohung, da uns der Einblick in die zugrunde liegenden Opfersysteme und in die Schwachstellen fehlt, die von den Angreifern genutzt werden“, so die Einschätzung von Dr. Renee Burton, Head of Threat Intelligence bei Infoblox. „Die beste Verteidigung gegen diese Malware ist DNS. Bösartige Aktivitäten bleiben oft unbemerkt, weil DNS als entscheidende Komponente im Sicherheits-Ökosystem unterschätzt wird. Nur Unternehmen mit einer starken DNS-Schutzstrategie können sich vor dieser Art von versteckten Bedrohungen schützen.“
Das verborgene Potenzial von DNS für die Security
Das Risiko ist groß, dass sich Decoy Dog weiterverbreitet. Dabei nutzt die Malware die häufig fehlende DNS-Überwachung in Netzwerken aus. Tatsächlich kommt in über 90 %* aller Malware-Programme irgendeine Form von DNS zum Einsatz. Das Buch „The Hidden Potential of DNS in Security“ umfasst alles, was Security-Experten über DNS wissen sollten – von Lookalike Domains, Domain Generated Algorithms (DGAs), DNS-Tunneling, Datenexfiltration über DNS, den Gründen, warum Hacker DNS nutzen bis hin zur Abwehr dieser Angriffe. Eine Kopie des Buches ist bei Amazon (https://www.amazon.com/Hidden-Potential-DNS-Security-Professionals/dp/1960940007/ref=sr_1_1?crid=1QCPHY9GQ5TWD&keywords=the+hidden+potential+of+DNS+in+security&qid=1688949050&sprefix=the+hidden+potential+of+dns+in+security%2Caps%2C110&sr=8-1) erhältlich.
„DNS sollte die „first-line of Defense“ für Unternehmen sein, um Bedrohungen wie Decoy Dog zu erkennen und zu entschärfen“, erklärt Scott Harrell, President und CEO von Infoblox. „DNS-Detection- & Responselösungen wie BloxOne® Threat Defense von Infoblox bieten Unternehmen eine schlüsselfertige Verteidigung, die andere XDR-Lösungen nicht bieten können. Das Beispiel Decoy Dog zeigt, dass wir Bedrohung blockieren können, bevor sie überhaupt als Malware bekannt sind. Denn wir analysieren die Taktiken und Techniken der Angreifer und entwickeln ein tiefes Verständnis für ihre Vorgehensweise.“
*Laut Anne Neuberger, Direktorin für Cybersicherheit bei der National Security Agency (https://executivegov.com/2020/06/anne-neuberger-on-nsas-secure-dns-pilot-program/), nutzen mehr als 90 % der Malware-Angriffe DNS, um die Kontrolle über bestimmte Netzwerke zu übernehmen.
Bildmaterial und den ausführlichen Bericht der Infoblox Threat Intelligence Group zu Decoy Dog finden Sie hier (https://we.tl/t-5AW2v7uVzY).
Über Infoblox
Infoblox vereint Netzwerkmanagement und -Security und sorgt damit für eine außergewöhnliche Performance und optimalen Schutz. Sowohl Fortune-100-Unternehmen als auch aufstrebende junge Unternehmen schätzen Infoblox für die Echtzeittransparenz und -kontrolle darüber, wer und was sich mit ihrem Netzwerk verbindet. So können Unternehmen schneller arbeiten und Bedrohungen früher stoppen. Erfahren Sie mehr unter infoblox.com oder folgen Sie uns auf LinkedIn oder Twitter.
Firmenkontakt
Infoblox
Felix Hermann
Claudius-Keller-Str. 3c
81669 München
+49 172 7126 144
Pressekontakt
Maisberger GmbH
Laura Albrecht
Claudius-Keller-Str. 3c
81669 München
+49 (0)89 / 41 95 99 95
http://www.maisberger.com