{"id":236484,"date":"2020-10-12T18:13:30","date_gmt":"2020-10-12T16:13:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236484"},"modified":"2020-10-12T19:44:45","modified_gmt":"2020-10-12T17:44:45","slug":"microsoft-co-bernehmen-kontrolle-ber-das-trickbot-botnetz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/12\/microsoft-co-bernehmen-kontrolle-ber-das-trickbot-botnetz\/","title":{"rendered":"Microsoft & Co. übernehmen Kontrolle über das TrickBot-Botnetz"},"content":{"rendered":"

[English<\/a>]In einer koordinierten Aktion haben Tech-Firmen wie Microsoft, Symantec und weitere die Kontrolle \u00fcber das TrickBot-Botnetz erlangt. Ziel ist die Deaktivierung dieses Botnetzes.<\/p>\n

<\/p>\n

Hintergrund zum TrickBot-Botnetz<\/h2>\n

\"\"TrickBot war urspr\u00fcnglich ein Banking-Trojaner, der 2016 erstmals bekannt wurde. Die weiter entwickelte Trickbot-Malware hat seit Ende 2016 weltweit \u00fcber eine Million Windows-Systeme infiziert. Obwohl die genaue Identit\u00e4t der Betreiber unbekannt ist, legen Untersuchungen nahe, dass sie sowohl Nationalstaaten als auch kriminellen Netzwerken f\u00fcr eine Vielzahl von Zielen dienen. Die Hinterm\u00e4nner betreiben eine ganze Infrastruktur, das TrickBot-Botnetz, um die Malware zu kontrollieren und zu steuern. Die Gruppe wird in Russland vermutet.<\/p>\n

Ein Baukasten an Schadfunktionen<\/h2>\n

Microsofts Sicherheitspezialisten haben im Zuge der Untersuchungen etwa 61.000 Trickbot-Malware-Beispiel analysiert. Was Trickbot so gef\u00e4hrlich macht, ist die Tatsache, dass es \u00fcber modulare Funktionen verf\u00fcgt, die st\u00e4ndig weiterentwickelt werden. Diese Module infizieren die Opfer f\u00fcr die Zwecke der Betreiber durch ein \"Malware-as-a-Service\"-Modell. Die Betreiber des TrickBot-Netzwerks k\u00f6nnten ihren 'Kunden' Zugang zu infizierten Rechnern gew\u00e4hren und ihnen einen Liefermechanismus f\u00fcr viele Formen von Malware, einschlie\u00dflich Ransomware, anbieten. Neben der Infizierung von Endbenutzer-Computern hat Trickbot auch eine Reihe von \"Internet der Dinge\" IoT-Ger\u00e4ten, wie z.B. Router, infiziert, was die Reichweite von Trickbot auf Haushalte und Organisationen ausgedehnt hat.<\/p>\n

Die Hinterm\u00e4nner agieren flexibel<\/h2>\n

Neben der Bereitstellung modularer F\u00e4higkeiten f\u00fcr eine Vielzahl von Einsatzszenarien sind die Betreiber des Botnetzes flexibel und passen sich mit ihren Techniken an gesellschaftliche Entwicklungen an. Die Betreiber von Trickbot reagierten sofort mit Spam- und Spear-Phishing-Kampagnen auf Themen wie Black Lives Matter und COVID-19. In den Kampagnen wurden Nutzer dazu verleitet, auf b\u00f6sartige Dokumente oder Links zu klicken. Basierend auf den Daten, die Microsoft durch die erweiterte Bedrohungserkennung von Microsoft Office 365 erh\u00e4lt, war Trickbot die produktivste Malware-Operation, die das Thema COVID-19 als K\u00f6der verwendete.<\/p>\n

Zerschlagung des TrickBot-Botnetzes<\/h2>\n

W\u00e4hrend der Analyse des TrickBot-Botnetzes gelang es Microsoft und seinen Partnern operative Details zu ermitteln. Darunter fallen Informationen zur Infrastruktur, die Trickbot zur Kommunikation mit und Kontrolle \u00fcber die Computer der Opfer verwendet. Dazu geh\u00f6ren aber auch Kenntnisse der Art und Weise, wie infizierte Computer miteinander kommunizieren. Und die Trickbot-Mechanismen, mit denen sich Trickbot der Entdeckung entzieht und versucht, seinen Betrieb zu st\u00f6ren, wurden ergr\u00fcndet.<\/p>\n

Als Microsoft beobachteten, wie sich die infizierten Computer mit Befehls- und Kontroll-Servern verbanden und von diesen Anweisungen erhielten, konnten die genauen IP-Adressen dieser Server ermittelt werden. Mit diesen Beweisen erteilte das Gericht Microsoft und unseren Partnern die Genehmigung, die IP-Adressen zu deaktivieren, die auf den Command-and-Control-Servern gespeicherten Inhalte unzug\u00e4nglich zu machen, alle Dienste f\u00fcr die Botnetzbetreiber auszusetzen und alle Bem\u00fchungen der Trickbot-Betreiber, zus\u00e4tzliche Server zu kaufen oder zu leasen, zu blockieren.<\/p>\n

In diesem Artikel<\/a> gab Microsoft die Aktion zur Zerschlagung des TrickBot-Botnetzes bekannt. Microsoft hat mit seinen Partnern dann Ma\u00dfnahmen zur \u00dcbernahme und Deaktivierung des TrickBot-Botnetzes ergriffen, nachdem das US-Bezirksgericht f\u00fcr den \u00f6stlichen Bezirk von Virginia den beantragten Beschluss zur Zerschlagung des Trickbot-Botnetzes stattgegeben hat.<\/p>\n

Gemeinsame Aktion zur Zerschlagung<\/h2>\n

Um diese Aktion durchzuf\u00fchren, bildete Microsoft eine internationale Gruppe von Industrie- und Telekommunikationsanbietern. Beteiligt war ein globales Netzwerk von Partnern wie FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT und Symantec, einer Abteilung von Broadcom, zus\u00e4tzlich zum Microsoft Defender-Team. Microsofts Digital Crimes Unit (DCU) leitete die Ermittlungen, sowie die Erkennung, Analyse, Telemetrie und das Reverse Engineering.<\/p>\n

Diese Aktion stellt auch einen neuen rechtlichen Ansatz dar, den Microsofts DCU zum ersten Mal anwendet. Im Fall wurden vor Gericht auch urheberrechtliche Anspr\u00fcche gegen die b\u00f6swillige Verwendung von Microsofts Software-Codes durch Trickbot geltend gemacht, um den Gerichtsbeschluss zu erwirken. Dieser Ansatz ist eine wichtige Entwicklung in den Bem\u00fchungen Microsofts und andere Sicherheitsunternehmen, die Verbreitung von Malware zu stoppen. Laut Microsoft erm\u00f6glicht der jetzt ergangene Beschluss auch, Zivilklagen zu erheben, um Kunden auf der ganzen Welt zu sch\u00fctzen.<\/p>\n

Microsoft geht davon aus, dass die Betreiber von Trickbot Anstrengungen unternehmen werden, um den Betrieb des Botnetzes wieder zu beleben. Das Konsortium will aber die Aktivit\u00e4ten der TrickBot-Gang \u00fcberwachen und zus\u00e4tzliche rechtliche und technische Schritte unternehmen, um die Verbreitung von Malware zu stoppen.<\/p>\n

Golem hat in diesem Artikel<\/a> die Geschichte, basierend auf dem Bericht der Washington Post, etwas anders beschrieben. Dieser Erz\u00e4hlung nach f\u00fchrte das US-Milit\u00e4r seit Ende September 2020 eine Operation gegen die TrickBot-Schadsoftware und deren Botnetzwerk aus. Mit mehreren Angriffen sollen dem Netzwerk die Bots entrissen und die Datenbank auf dessen Kontrollserver mit nicht-existierenden Bots gef\u00fcllt worden sein. Die Hinterm\u00e4nner der Gang, die in Russland vermutet werden, sollen im Umfeld der US-Pr\u00e4sidentschaftswahlen 'besch\u00e4ftigt' werden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSicherheit: Hacks und Ransomware, die neue Bedrohung<\/a>
\nEmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a>
\nSicherheit & Hacks: Tupperware, WHO, Industrie<\/a>
\nConti Ransomware-Gang will VW-Gruppe gehackt haben<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In einer koordinierten Aktion haben Tech-Firmen wie Microsoft, Symantec und weitere die Kontrolle \u00fcber das TrickBot-Botnetz erlangt. Ziel ist die Deaktivierung dieses Botnetzes.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-236484","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236484"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236484\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}