Abo
  • Services:
Anzeige
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren.

Anzeige

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.


eye home zur Startseite
Arystus 18. Mai 2015

Ok... Autsch :D Gibt es wirklich solche Bewerbungen, für mich Persönlich ist das nicht...

eizi 17. Mai 2015

Was soll das? In einem IT-Forum wie Golem eines ist erwartet ich mir eine fundierte...

anditilo 16. Mai 2015

... wäre wohl hier zu sehen: https://www.reddit.com/r/strawmen

CodeMagnus 16. Mai 2015

Warum so kompliziert? Blackcoffee hätte das einfacher/besser lösen können. Nahezu jeder...

derats 15. Mai 2015

Bitcoin ist zu offensichtlich anormale Aktivität. Nen Haufen Verbindungen zu Technet...



Anzeige

Stellenmarkt
  1. MöllerTech International GmbH, Bielefeld
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Computacenter AG & Co. oHG, verschiedene Standorte
  4. SICK AG, Reute bei Freiburg im Breisgau


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  2. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  3. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops

  4. O2 und E-Plus

    Telefónica hat weiter Probleme außerhalb von Städten

  5. Project Zero

    Google-Entwickler baut Windows-Loader für Linux

  6. Dan Cases A4-SFX v2

    Minigehäuse erhält Fenster und wird Wakü-kompatibel

  7. Razer Core im Test

    Grafikbox + Ultrabook = Gaming-System

  8. iPhone-Hersteller

    Apple testet 5G-Technologie

  9. Cern

    Der LHC ist zurück aus der Winterpause

  10. Jamboard

    Googles Smartboard kommt in den USA auf den Markt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Oh wie gnädig von Leica...

    L83 | 15:49

  2. Re: Linux?

    david_rieger | 15:49

  3. Re: Grundlos?

    monettenom | 15:48

  4. Re: Unterschied OLED zu QLED

    marc_kap | 15:47

  5. Re: ZDF Terra X ist doch über GEZ Finanziert????

    DonaldDuck | 15:46


  1. 15:40

  2. 15:32

  3. 15:20

  4. 14:59

  5. 13:22

  6. 12:41

  7. 12:01

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel