Abo
  • Services:
Anzeige
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren.

Anzeige

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.


eye home zur Startseite
Arystus 18. Mai 2015

Ok... Autsch :D Gibt es wirklich solche Bewerbungen, für mich Persönlich ist das nicht...

eizi 17. Mai 2015

Was soll das? In einem IT-Forum wie Golem eines ist erwartet ich mir eine fundierte...

anditilo 16. Mai 2015

... wäre wohl hier zu sehen: https://www.reddit.com/r/strawmen

CodeMagnus 16. Mai 2015

Warum so kompliziert? Blackcoffee hätte das einfacher/besser lösen können. Nahezu jeder...

derats 15. Mai 2015

Bitcoin ist zu offensichtlich anormale Aktivität. Nen Haufen Verbindungen zu Technet...



Anzeige

Stellenmarkt
  1. ARRK ENGINEERING, Ingolstadt
  2. Ratbacher GmbH, Düsseldorf (Home-Office)
  3. T-Systems International GmbH, München, Leinfelden-Echterdingen
  4. Robert Bosch GmbH, Abstatt


Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. ab 649,90€
  3. 1.029,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig

  2. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  3. Künstliche Intelligenz

    Alpha Go geht in Rente

  4. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  5. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  6. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  7. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  8. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  9. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  10. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

  1. Re: offenkundig strafbare Inhalte

    throgh | 11:44

  2. Re: "Hass im Netz" klingt nach Zensur für mich

    der_wahre_hannes | 11:43

  3. Re: Bluetooth

    DY | 11:43

  4. Re: Patentsystem

    baumhausbewohner | 11:42

  5. Re: Akkuproblem noch viel schlimmer als bei PKW!

    Balion | 11:42


  1. 11:58

  2. 11:25

  3. 10:51

  4. 10:50

  5. 10:17

  6. 10:12

  7. 09:53

  8. 09:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel