Botnet-Kampagne „Gayfemboy“ auch in Deutschland aktiv

Ein getarnter Malware-Strang aus der „Mirai“-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie „Gayfemboy“. Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die „Gayfemboy“-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie „asus“, „vivo“, „zyxel“ oder „realtek“, die diese dann auch als Parameter in Anfragen nutzen.

Tarnen und täuschen

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header „UPX!“ jedoch durch nicht-druckbare Zeichen in Hexadezimalcode „10 F0 00 00“ ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in „/proc/[PID]/exe“, um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in „/proc/[PID]/cmdline“. Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa „ls -l“, „reboot“, „wget“ und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis „fehlinterpretiert“ und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Nach außen wirkt die Attacker-Funktion. Sie ist für das Starten von DDoS-Angriffen (Distributed Denial of Service) verantwortlich und ermöglicht den Backdoor-Zugriff. Sie stellt diverse Angriffsmethoden bereit. Fortinet zählt UDP Flood, UDP Bypass, TCP Flood, TCP SYN Flood, ICMP Flood, Heartbeat sowie das Backdoor-Modul auf. Der Auslöser zum Aktivieren der Backdoor in Gayfemboy ist die Zeichenkette „meowmeow“. Die Malware versucht, eine Verbindung zum Command-and-Control-Server herzustellen. Zur Auflösung der vorgegebenen Domains nutzt sie öffentliche DNS-Server wie 1.1.1.1, 8.8.8.8 oder 8.8.4.4. Damit umgeht sie gegebenenfalls lokale Filterung.

Die Analyse enthält noch zahlreiche Indizien für Infektionen (Indicators of Compromise, IOCs), anhand derer IT-Verantwortliche prüfen können, ob möglicherweise Maschinen in ihren Netzen befallen sind.

Das Mirai-Botnet selbst griff im Mai Samsung MagicINFO-9-Server an.

(dmk)