Botnetz-Kontrollserver tarnt Befehle als JPEG-Bild

Offenbar in dem Versuch, die Kommunikation ihrer Bots über das Netzwerk zu verschleiern, tarnt der Command&Control-Server des Monkif-Botnetzes seine Befehle an die Drohnen rudimentär als JPEG-Bild. Laut Beobachtungen von SecureWorks antwortet der als Webserver arbeitende C&C-Server auf Anfragen der Bots mit einem HTTP-Paket, in dessen Header als Content-Type "image/jpeg" eingetragen ist. Zusätzlich enthält das Paket einen gefälschten, jedoch gültigen JPEG-Header. Der Rest des Pakets enthält statt eines Bildes nur noch einen kodierten Befehl (XOR mit 0x4).

Die Kriminellen wollen damit vermutlich in Firmennetzen installierte Netzwerküberwachungssysteme oder spezielle Bot-Detection-Software austricksen. Je nach Art der Erkennung könnte die Botkommunikation auf den ersten Blick für ein solches System wie eine normale Websession zwischen Browser und Server aussehen, bei dem der Anwender einige Bilder abruft. Um der Botnetzverbindung auf die Schliche zu kommen, müssten die Systeme tiefer in das Paket hineinschauen, was zusätzlich Aufwand bedeutet und gerade in sehr großen Netzwerken mitunter Probleme mit sich bringt.

Auch der Bot Waledac (PDF von Trend Micro) benutzt einen ähnlichen Trick, um nachgeladene Dateien zu verschleiern. Der Bot bekommt vom Server ein gültiges Bild, an dessen Ende ein Binary angehängt wurde (mit XOR 0xed codiert). (dab)