Feodo Tracker

#informatik/sicherheit/malware #threat-intelligence

Datenbank von Banking-Trojanern

Feodo Tracker ist ein Service von abuse.ch. Er trackt Command & Control (C&C) Server von Banking-Trojanern.

Was macht Feodo Tracker?

Trackt C&C-Server: Von Banking-Trojanern
Stellt IP-Blacklist bereit: Automatisch blockierbar
Kategorisiert: Nach Malware-Familie
Tägliche Updates: Immer aktuell

Banking-Trojaner

Häufig getrackt:

Emotet: Einer der gefährlichsten Banking-Trojaner
TrickBot: Emotet-Nachfolger
QakBot (Qbot): Banking-Trojaner
Dridex: Banking-Trojaner
Heodo: Emotet-Variante

C&C-Server (Command & Control)

Was ist das:

Infizierter PC ←→ C&C-Server
                    │
                    ├─► Sendet Befehle
                    ├─► Empfängt gestohlene Daten
                    └─► Lädt weitere Malware

Feodo Tracker blockiert:

Infizierter PC → versucht Verbindung zu C&C
                        │
                        ▼
                 Firewall/IDS prüft
                        │
                        ├─► IP auf Feodo-Liste? JA
                        │
                        └─► Blockieren ✗

Verwendung in Firewall

Integration mit Suricata

Services → Intrusion Detection → Download
  - abuse.ch Feodo ✓

→ Blockiert automatisch Verbindungen zu C&C-Servern

IP-Blacklist Download

Formate:

# JSON-Format
wget https://feodotracker.abuse.ch/downloads/ipblocklist.json

# CSV-Format
wget https://feodotracker.abuse.ch/downloads/ipblocklist.csv

# Plain Text (nur IPs)
wget https://feodotracker.abuse.ch/downloads/ipblocklist.txt

In Firewall importieren:

Firewall → Aliases → Add
  - Name: Feodo_Blocklist
  - Type: URL Table (IPs)
  - URL: https://feodotracker.abuse.ch/downloads/ipblocklist.txt
  - Update: Daily

Firewall → Rules → LAN/WAN
  - Block: Destination = Feodo_Blocklist

C&C-Status

Kategorien:

online: C&C ist aktiv
offline: C&C nicht erreichbar
unknown: Status unbekannt

Confidence Level

Wie sicher ist die Erkennung:

High: Sehr sicher, bestätigter C&C
Medium: Wahrscheinlich C&C
Low: Möglicherweise C&C

Web-Interface

Verfügbar unter: https://feodotracker.abuse.ch/

Features:

Browse C&C-Liste
Suche nach IP
Statistiken
Blacklist-Download
API-Zugriff

API-Zugriff

import requests

# Alle C&C-Server abrufen
url = "https://feodotracker.abuse.ch/downloads/ipblocklist.json"
response = requests.get(url)
data = response.json()

for entry in data:
    print(f"IP: {entry['ip_address']}")
    print(f"Malware: {entry['malware']}")
    print(f"Status: {entry['status']}")

Warum wichtig?

Verhindert:

Daten-Exfiltration (gestohlene Zugangsdaten werden gesendet)
Weitere Malware-Downloads
Botnet-Kommunikation
Lateral Movement (Ausbreitung im Netzwerk)

Selbst wenn PC infiziert:

PC ist infiziert mit Emotet
     │
     ├─► Versucht Verbindung zu C&C
     │
     ├─► Firewall blockiert (Feodo-Liste)
     │
     └─► Malware kann nicht kommunizieren
         → Schadensbegrenzung ✓

Präventive Sicherheit

Auch wenn Malware durchkommt, verhindert Feodo Tracker die Kommunikation nach außen. Defense in Depth!