Abo
  • Services:
Anzeige
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren.

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Anzeige

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.


eye home zur Startseite
Arystus 18. Mai 2015

Ok... Autsch :D Gibt es wirklich solche Bewerbungen, für mich Persönlich ist das nicht...

eizi 17. Mai 2015

Was soll das? In einem IT-Forum wie Golem eines ist erwartet ich mir eine fundierte...

anditilo 16. Mai 2015

... wäre wohl hier zu sehen: https://www.reddit.com/r/strawmen

CodeMagnus 16. Mai 2015

Warum so kompliziert? Blackcoffee hätte das einfacher/besser lösen können. Nahezu jeder...

derats 15. Mai 2015

Bitcoin ist zu offensichtlich anormale Aktivität. Nen Haufen Verbindungen zu Technet...



Anzeige

Stellenmarkt
  1. BoS&S GmbH, Berlin
  2. Gartenbau-Versicherung VVaG, Wiesbaden
  3. PSI AG, Aschaffenburg
  4. Kienbaum Consultants International GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 89,49€ (nur für Prime-Kunden)
  2. 579€
  3. und mit Gutscheincode bis zu 40€ Rabatt erhalten

Folgen Sie uns
       


  1. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  2. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  3. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  4. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  5. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  6. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  7. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  8. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  9. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  10. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Vodafone und FTTB/H?

    spezi | 00:22

  2. Re: Schließung des Forums

    Klobinger | 00:21

  3. Der wahre Grund solcher Klagen

    HerrMannelig | 00:19

  4. Re: nur Windows 10, nur Windows Store?

    megaheld | 00:12

  5. Re: Und was ist da nun genau so neu oder Innovativ?

    Neuro-Chef | 00:09


  1. 00:27

  2. 18:27

  3. 18:09

  4. 18:04

  5. 16:27

  6. 16:00

  7. 15:43

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel