| Glupteba-Malware ist eine widerstandsfähige Schadsoftware, die die Bitcoin-Blockchain nutzt, um sich zu verstecken, erklärt Will Roth, Vice President DACH, Eastern Europe bei Nozomi Networks. | Glupteba malware: Analysis of a resilient malware that uses the bitcoin blockchain to hide and spread, explains Will Roth, Vice President DACH, Eastern Europe Nozomi Networks. |
| Die Bedrohungslandschaft ist ständig im Wandel, nicht zuletzt aufgrund der Kreativität und dem Einfallsreichtum böswilliger Akteure. Diese finden immer neue Wege, ihre Operationen zu verschleiern und ihre Schadsoftware weiterzuentwickeln. In diesem Kontext hat sich die Glupteba-Malware als ein besonders faszinierendes Beispiel für eine raffinierte und widerstandsfähige Bedrohung erwiesen. Mit ihrer Fähigkeit, nicht nur klassische Computersysteme, sondern auch IoT-Geräte anzugreifen, sowie weiteren technischen Besonderheiten, hebt sie sich deutlich von anderen Malware-Familien ab. Obwohl die Botnet-Aktivitäten pausieren zu scheinen, bleibt die Architektur von Glupteba ein Paradebeispiel für die Herausforderungen, denen sich Security-Experten und -Teams derzeit gegenübersehen.
Architektur von Glupteba: Resilienz durch Dezentralisierung Was Glupteba so bemerkenswert macht, ist die Art und Weise, wie es die Eigenschaften der Bitcoin-Blockchain nutzt, um seine Command-and-Control (C2) -Infrastruktur aufzubauen. Herkömmliche Botnets basieren oft auf zentralisierten Servern oder Domains, die von Strafverfolgungsbehörden oder IT-Sicherheitsexperten relativ leicht identifiziert und abgeschaltet werden können. Glupteba hingegen verfolgt einen dezentralen Ansatz, der auf der Blockchain basiert, einem öffentlichen, unveränderlichen und transparenten Ledger, das für Bitcoin-Transaktionen verwendet wird. Diese Eigenschaft macht es nahezu unmöglich, die Kommunikation zwischen den infizierten Systemen und den Angreifern vollständig zu unterbrechen. Der Mechanismus funktioniert wie folgt: Jede Instanz von Glupteba enthält eine eingebettete Bitcoin-Adresse. Über öffentliche APIs von Blockchain-Explorer-Diensten kann die Malware Transaktionen analysieren, die von dieser Adresse ausgehen. Innerhalb bestimmter Transaktionsfelder, wie dem sogenannten OP_RETURN-Feld, speichert der Angreifer verschlüsselte Informationen, die auf neue C2-Domains verweisen. Nur Angreifer, die im Besitz des privaten Schlüssels zu dieser Bitcoin-Adresse sind, können neue Domains bekannt geben. Damit wird sichergestellt, dass die Kontrolle über das Botnet allein bei den Betreibern verbleibt, während gleichzeitig die Transparenz und Unveränderlichkeit der Blockchain genutzt wird, um ein Abschalten zu erschweren. Diese Methode ist nicht nur technisch ein Novum, sondern auch äußerst effektiv. Selbst wenn einzelne Domains entdeckt und gesperrt werden, können die Betreiber schnell neue C2-Adressen über die Blockchain kommunizieren, ohne dass dies direkt verhindert werden kann. Glupteba zeigt damit, wie Cyberkriminelle innovative Technologien für ihre Zwecke adaptieren und nutzen können. Vielseitiges Arsenal: Von Infostealern bis hin zu IoT-Exploits Neben der einzigartigen C2-Kommunikation zeichnet sich Glupteba durch eine bemerkenswerte Modularität aus. Die Malware kann verschiedene Module nachladen, die jeweils spezifische Aufgaben erfüllen. Dazu gehören beispielsweise Infostealer, die sensible Daten wie Passwörter oder Kryptowährungs-Wallets erbeuten, sowie Krypto-Miner, die die Rechenleistung infizierter Systeme zur Generierung von Kryptowährungen missbrauchen. Besonders besorgniserregend ist jedoch die Fähigkeit von Glupteba, Schwachstellen in IoT-Geräten auszunutzen. Da diese Geräte oft weniger gut geschützt sind als herkömmliche Computersysteme, stellen sie ein attraktives Ziel für Angreifer dar. Die Kombination dieser Fähigkeiten macht Glupteba zu einer sehr vielseitigen Bedrohung, die in verschiedenen Szenarien eingesetzt werden kann. Gleichzeitig erhöht dies die Komplexität der Abwehrmaßnahmen, da Sicherheitslösungen sowohl auf Netzwerkebene als auch auf den betroffenen Endgeräten ansetzen müssen, um die Aktivitäten der Malware zu erkennen und zu stoppen. Die Rolle der Blockchain-Analyse bei der Erkennung von Glupteba-Aktivitäten Ein entscheidender Aspekt bei der Untersuchung von Glupteba war die Analyse der Bitcoin-Blockchain. Durch die Verfolgung der Transaktionen, die mit den von der Malware verwendeten Bitcoin-Adressen verbunden waren, konnten Security-Experten wichtige Erkenntnisse gewinnen. So ließen sich beispielsweise Zeitpunkte und Muster von C2-Domain-Registrierungen zurückverfolgen, was wiederum zu Rückschlüssen auf die Aktivitätsphasen der Angreifer führte. Darüber hinaus lieferte die Analyse von passiven DNS-Protokollen und TLS-Zertifikaten weitere Hinweise, die dabei halfen, die Aktivitäten der Angreifer in vier verschiedene Kampagnen zu gruppieren. Trotz der immensen Herausforderung, die Dezentralisierung und Verschlüsselung darstellen, zeigt Glupteba, dass selbst hochentwickelte Malware Spuren hinterlässt, die mit den richtigen Werkzeugen und Methoden verfolgt werden können. Eine nicht zu unterschätzende Bedrohung Für Cybersecurity-Teams bietet die Analyse von Glupteba wertvolle Einblicke in die Funktionsweise moderner Malware und zeigt, wie wichtig es ist, innovative Ansätze zur Erkennung und Bekämpfung solcher Bedrohungen zu entwickeln. Die Nutzung der Blockchain durch Glupteba mag auf den ersten Blick wie eine unüberwindbare Hürde erscheinen, aber die Forschung zeigt, dass es auch hier Möglichkeiten zur Erkennung und Abwehr gibt. Schließlich unterstreicht Glupteba die Notwendigkeit, wachsam zu bleiben und kontinuierlich in die Entwicklung von Sicherheitslösungen zu investieren, um den immer raffinierteren Methoden der Angreifer einen Schritt voraus zu sein. |
The threat landscape is constantly changing, in no small part due to the creativity and ingenuity of malicious actors. They are constantly finding new ways to hide their operations and evolve their malware. In this context, the Glupteba malware has proven to be a particularly fascinating example of a sophisticated and resilient threat. Its ability to attack not only traditional computer systems but also IoT devices, as well as other technical features, set it apart from other malware families. Although botnet activity appears to have paused, Glupteba’s architecture remains a prime example of the challenges facing security professionals and teams today.
What makes Glupteba so remarkable is the way it leverages the properties of the bitcoin blockchain to build its command-and-control (C2) infrastructure. Traditional botnets are often based on centralized servers or domains that are relatively easy for law enforcement or IT security experts to identify and shut down. Glupteba, on the other hand, takes a decentralized approach based on the blockchain, a public, immutable and transparent ledger used for bitcoin transactions. This feature makes it nearly impossible to completely disrupt communication between infected systems and attackers. The mechanism works like this: Each instance of Glupteba contains an embedded bitcoin address. Using public APIs from blockchain explorer services, the malware can analyze transactions originating from this address. Within certain transaction fields, such as the OP_RETURN field, the attacker stores encrypted information pointing to new C2 domains. Only attackers in possession of the private key for that bitcoin address can register new domains. This ensures that control of the botnet remains solely with the operators, while at the same time using the transparency and immutability of the blockchain to make it more difficult to shut it down. This method is not only technically innovative, but also extremely effective. Even if individual domains are discovered and blocked, operators can quickly communicate new C2 addresses via the blockchain without being able to prevent this directly. Glupteba demonstrates how cybercriminals can adapt and use innovative technologies for their own purposes. In addition to its unique C2 communication, Glupteba is notable for its remarkable modularity. The malware can load different modules, each of which performs specific tasks. These include infostealers, which capture sensitive data such as passwords or cryptocurrency wallets, and crypto miners, which exploit the computing power of infected systems to generate cryptocurrency. Of particular concern, however, is Glupteba’s ability to exploit vulnerabilities in IoT devices. These devices are often less well protected than traditional computer systems, making them an attractive target for attackers. The combination of these capabilities makes Glupteba a very versatile threat that can be used in multiple scenarios. At the same time, this increases the complexity of defensive measures, as security solutions must address both the network level and the affected endpoints in order to detect and stop the malware’s activities. The role of blockchain analysis in detecting Glupteba activity A critical aspect of the Glupteba investigation was the analysis of the bitcoin blockchain. By tracking the transactions associated with the bitcoin addresses used by the malware, security experts were able to gain important insights. For example, the timing and patterns of C2 domain registrations could be traced, which in turn led to conclusions about the phases of the attackers‘ activities. In addition, analysis of passive DNS logs and TLS certificates provided additional clues that helped to group the attackers‘ activities into four distinct campaigns. Despite the immense challenge posed by decentralization and encryption, Glupteba shows that even sophisticated malware leaves traces that can be traced with the right tools and methods. A threat that should not be underestimated For cybersecurity teams, Glupteba’s analysis provides valuable insights into how modern malware works and the importance of developing innovative approaches to detecting and combating such threats. Glupteba’s use of blockchain may seem like an insurmountable hurdle, but the research shows that there are ways to detect and defend against it. Finally, Glupteba emphasizes the need to remain vigilant and continually invest in the development of security solutions to stay ahead of the increasingly sophisticated methods used by attackers. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de