Pikabot hat in den letzten Monaten eine Evolution durchlaufen, die nun von den Analysten des ZscalerThreatLabZ-Teams genauer untersucht wurde.
Der Malware-Loader, der erstmals Anfang 2023 identifiziert wurde, hatte nach dem vom FBI erzwungenen Rückzug von Qakbot im August letzten Jahres mit seinen Aktivitäten an Fahrt aufgenommen, legte jedoch im Dezember eine vorübergehende Ruhephase ein. Jetzt ist die Bedrohung mit verändertem Code zurückgekehrt. Frühere Verschlüsselungstechniken wurden durch einfachere Algorithmen ersetzt, was den Betrieb für Cyberkriminelle vereinfacht. Konfigurationselemente wurden in einem einzigen Speicherblock konsolidiert, um die Effizienz zu erhöhen. Darüber hinaus deuten Änderungen in den Netzwerkkommunikationsprotokollen auf einen koordinierten Versuch hin, Entdeckungen zu unterlaufen.
Pikabot besteht aus zwei Komponenten in Form von einem Loader und einem Kernmodul, das für die Ausführung von Kommandos und die Injektion von Payloads verantwortlich ist. Ein Code-Injektor ist für die Auslieferung des Kernmoduls verantwortlich. Dabei kommen verschiedene Anti-Analysetechniken und String-Verschleierung zum Einsatz. Die analysierten Verbreitungsmodelle, Kampagnen und das Verhalten der Malware ähneln dem von Qakbot. Dabei fungiert die Malware als Backdoor, die es Angreifern erlaubt, dieKontrolle über das infizierte System zu übernehmen und weiteren Schadcode wie Cobalt Strike nachzuladen.
In der neuen Variante von Pikabot fallen vor allem die Anti-Analysemethoden auf, die die Erkennung des Codes zeitaufwendiger gestalten. Frühere Verschlüsselungsmethoden wie die Kombination eines RC4-Algorithmus mit AES-CBC wurden allerdings durch einfachere Alternativen ersetzt. In der jüngsten Version wird die Mehrheit der Strings durch Aufruf jedes Buchstabens und folgendem Push in den Stackkonstruiertoder sind in einigen Fällen nur noch mit dem RC4-Algorithmus verschlüsselt.
Wichtige Änderungen wurden auch beim Initialisierungsprozess vorgenommen. Einstellungen und Informationen werden jetzt in einer einzigen globalen Struktur gespeichert, was die Betriebseffizienz verbessert. Die Speicherung von Konfigurationselementen im Klartext unterscheidet sich von früheren Verschlüsselungspraktiken. Nachdem diese Konfiguration geparst ist, werden alle Bytes auf Null gestellt. Durch diese Anti-Dumping Methode wird die automatische Extraktion der Konfiguration vermieden. Schließlich lädt Pikabot die verbleibenden Windows API Funktionen und generiert einen Bot-Identifier für den kompromittierten Host.
Die Interaktion von Pikabot mit Command und Control-Servern (C&C) hat sich ebenfalls deutlich verändert. Kompromittierte Hosts werden auf einem C&C-Server registriert, was die Kommunikation und den Datenaustausch erleichtert. Im Anschluss werden Informationen zum Host gesammelt wie Monitor-Settings, Windows-Version, Host-/User-Name, Prozess-Informationen usw. In einem nächsten Schritt verschlüsselt Pikabot Daten mit Hilfe eines RC4-Algorithmus, codiert das verschlüsselte Ergebnis und wählt eine zufällige URI und sendet die Daten mit einer POST-Anfrage zum C&C-Server.
Trotz aller Bemühungen, Pikabot zu bekämpfen, bleibt er eine hartnäckige und sich ständig weiterentwickelnde Bedrohung für die Cybersicherheit. Das Wiederauftauchen der Malware im Februar 2024 unterstreicht die ständige Weiterentwicklung und Anpassungsfähigkeit, auch wenn die Entwickler seither mit der Komplexitätsreduktion eine andere Strategie verfolgen. Einige der Features und Kommandos scheinen sich noch im Entwicklungsstadium zu befinden.
Die vollständige Analyse sollte hier zum Nachzulesen verfügbar sein.
www.zscaler.com/