ZURÜCK ZU NACHRICHTEN
Eilmeldung

Aeternum-Botnetz nutzt Polygon-Blockchain für widerstandsfähige C&C-Infrastruktur

3 Min. LesezeitQuelle: SecurityWeek

Sicherheitsforscher entdecken, wie das Aeternum-Botnetz Polygon-Smart-Contracts für dezentrale Command-and-Control-Operationen einsetzt – eine neue Herausforderung für die Cybersicherheit.

Aeternum-Botnetz setzt auf Polygon-Blockchain für C&C-Resilienz

Sicherheitsforscher haben einen neuartigen Ansatz des Aeternum-Botnetz-Loaders identifiziert, der nun Polygon-Blockchain-Smart-Contracts nutzt, um eine hochgradig widerstandsfähige Command-and-Control (C&C)-Infrastruktur aufzubauen. Diese Entwicklung markiert eine bedeutende Evolution in der Funktionsweise von Botnetzen, da dezentrale Technologien eingesetzt werden, um traditionelle Abschaltmaßnahmen zu umgehen.

Wichtige Details

  • Botnetz-Name: Aeternum (Loader-Variante)
  • Genutzte Blockchain: Polygon (Ethereum-kompatible Layer-2-Lösung)
  • Mechanismus: Smart-Contracts für C&C-Kommunikation
  • Auswirkung: Erhöhte Widerstandsfähigkeit gegen Infrastrukturstörungen

Technische Umsetzung

Die Betreiber von Aeternum haben Polygon-basierte Smart-Contracts integriert, um die C&C-Kommunikation zu ermöglichen. Im Gegensatz zu herkömmlichen Botnetzen, die auf zentrale Server oder Domain Generation Algorithms (DGAs) angewiesen sind, nutzt dieser Ansatz die unveränderliche und verteilte Natur der Blockchain, um:

  • Einzelne Fehlerquellen zu eliminieren: Smart-Contracts werden in einem dezentralen Netzwerk bereitgestellt, wodurch es nahezu unmöglich wird, die C&C-Infrastruktur mit traditionellen Methoden (z. B. Serverbeschlagnahmungen oder DNS-Sinkholing) zu zerschlagen.
  • Tarnung zu verbessern: Die Kommunikation wird in Blockchain-Transaktionen eingebettet, vermischt sich mit legitimem Datenverkehr und erschwert so die Erkennung.
  • Persistenz zu gewährleisten: Selbst wenn Knoten kompromittiert werden, kann sich das Botnetz dynamisch neu konfigurieren, indem es alternative Contract-Adressen oder Fallback-Mechanismen nutzt.

Obwohl die genauen Smart-Contract-Adressen oder Transaktions-Hashes nicht offengelegt wurden, stellen Forscher fest, dass die Implementierung von Aeternum Techniken ähnelt, die bereits bei anderer Blockchain-basierter Malware beobachtet wurden, wie etwa TrickBots frühe Experimente mit Ethereum oder Gluptebas Nutzung von Bitcoin für C&C-Zwecke.

Auswirkungenanalyse

Die Nutzung der Polygon-Blockchain für C&C-Operationen bringt mehrere Herausforderungen für Verteidiger mit sich:

  1. Widerstandsfähigkeit gegen Abschaltmaßnahmen: Traditionelle Taktiken zur Botnetz-Störung – wie die Beschlagnahmung von C&C-Servern oder die Sperrung von Domains – sind gegen dezentrale Infrastrukturen wirkungslos. Strafverfolgungsbehörden und Sicherheitsteams müssen sich nun mit der Dauerhaftigkeit von On-Chain-Daten und den juristischen Komplexitäten von Blockchain-Netzwerken auseinandersetzen.

  2. Umgehung von Erkennungsmechanismen: Blockchain-Transaktionen sind verschlüsselt und verteilt, was es schwierig macht, böswilligen C&C-Datenverkehr von legitimer Polygon-Netzwerkaktivität zu unterscheiden. Signaturbasierte Erkennungstools könnten Schwierigkeiten haben, Botnetz-Kommunikation ohne fortgeschrittene Verhaltensanalysen zu identifizieren.

  3. Skalierbarkeit: Die geringen Kosten und hohe Durchsatzrate des Polygon-Layer-2-Netzwerks ermöglichen es Aeternum, schnell zu skalieren und möglicherweise die Größe des Botnetzes auszubauen, ohne dass die operativen Kosten proportional steigen.

  4. Herausforderungen bei der Attribution: Die pseudonyme Natur der Blockchain erschwert die Rückverfolgung der Botnetz-Betreiber, da Transaktionen durch Mixer oder Privacy-fokussierte Wallets verschleiert werden können.

Empfehlungen für Sicherheitsteams

Um die Risiken durch Blockchain-fähige Botnetze wie Aeternum zu mindern, sollten Organisationen folgende Maßnahmen ergreifen:

  • Blockchain-Aktivitäten überwachen: Einsatz von Tools, die Polygon- und Ethereum-Transaktionen auf anomale Muster analysieren, die auf C&C-Kommunikation hindeuten. Lösungen wie Chainalysis oder TRM Labs können helfen, verdächtige On-Chain-Aktivitäten zu verfolgen.

  • Erkennung auf Endgeräten verbessern: Priorisierung von verhaltensbasierter Erkennung, um Botnetz-Infektionen zu identifizieren, mit Fokus auf Indikatoren wie:

    • Ungewöhnliche ausgehende Verbindungen zu Blockchain-RPC-Endpunkten.
    • Prozesse, die versuchen, mit Kryptowährungs-Wallets oder Smart-Contracts zu interagieren.

  • Netzwerksegmentierung implementieren: Kritische Systeme von Endpunkten isolieren, die mit Blockchain-Netzwerken interagieren könnten, um das Potenzial für laterale Bewegungen von Botnetz-Malware zu reduzieren.

  • Zusammenarbeit mit Blockchain-Forensik-Experten: Kooperation mit Unternehmen, die auf Blockchain-Forensik spezialisiert sind, um Botnetz-bezogene Transaktionen nachzuverfolgen und zu stören, insbesondere in Zusammenarbeit mit Strafverfolgungsbehörden.

  • Über neue Bedrohungen informiert bleiben: Verfolgung von Advisories von CISA, MITRE und Sicherheitsanbietern, um über Taktiken, Techniken und Verfahren (TTPs) von Blockchain-basierter Malware auf dem Laufenden zu bleiben.

Fazit

Die Nutzung von Polygon-Blockchain-Smart-Contracts durch Aeternum für C&C-Operationen unterstreicht die zunehmende Raffinesse von Botnetz-Infrastrukturen. Da Cyberkriminelle weiterhin dezentrale Technologien ausnutzen, müssen Sicherheitsteams ihre Strategien anpassen, indem sie Blockchain-bewusste Erkennung und dezentrale Bedrohungsinformationen in ihre Abwehrmaßnahmen integrieren. Weitere Forschungen zur Logik der Aeternum-Smart-Contracts könnten Möglichkeiten für Gegenmaßnahmen aufzeigen, doch vorerst bleibt das Botnetz eine erhebliche Herausforderung für traditionelle Cybersicherheitsabwehrmechanismen.

Teilen

TwitterLinkedIn