Dipl.-Inform. Carsten Eilers

Botnets – Zombie-Plagen im Internet

Geschrieben von Carsten Eilers am

Die mit einer spezifischen Schadsoftware infizierten Rechner werden oft zu sog.
Botnets zusammengefasst. Wie die Schadsoftware verbreitet wurde, egal ob als
Virus,
Wurm,
Trojaner,
Drive-by-Infektion
oder wie auch immer, ist dabei egal. Die infizierten Clients werden als
Bot oder Zombie bezeichnet, der sie kontrollierende Server als
Command&Control-Server. Die einzelnen Botnets werden oft nach der sie
bildenden Schadsoftware benannt, aber auch anderen Namen sind möglich.

Die Grundlagen

Botnets habe ich allgemein bereits in
About Security #65
beschrieben. Der Schwerpunkt lag damals auf den klassischen IRC-Bots, d.h.
Bots, die über IRC-Kanäle gesteuert werden. Die sind inzwischen
aber “out”, die Cyberkriminellen haben sich neue Steuerkanäle gesucht.
Das kann z.B. die direkte Kommunikation über TCP oder UDP sein, der
Aufbau eines eigenen Peer-to-Peer-Netzes oder die Nutzung eines
unverdächtigen Dritten wie
Twitter
(weitere
Informationen
dazu und zu einem
Vorgänger),
Amazons EC2-Cloud
oder
(Web-)Anwendungen allgemein.
Das Grundprinzip der Botnets ist aber immer gleich: Die Schadsoftware auf
den Client wartet auf Anweisungen des Command&Control-Servers und
führt diese dann aus. Dabei reicht die Spannweite möglicher
Aktionen vom Ausspähen des jeweiligen Benutzers über die
Durchführung von Distributed Denial of Service (DDoS) Angriffen und
das Versenden von Spam bis zum Installieren weiteren Codes. Symantec
nennt
die folgenden 4 typischen Ziele eines Botnet-Einsatzes:

  1. Versenden
    von
    Spam

  2. Ausspähen von Bankverbindungen bzw. “Ausrauben” von Bankkonten
    (eine Spezialität z.B. des bereits vorgestellten Schädlingsbaukastens
    Zeus)

  3. Durchführen von DDoS-Angriffen (z.B. durch die speziell dafür
    entwickelten Bots
    BlackEnergy
    und
    Darkness
    oder diese
    namenlose Variante)

  4. Diebstahl digitaler Güter, z.B. aus Online-Spielen oder in Form von
    Zugangsdaten dazu

Von Symantec nicht erwähnt, aber ebenfalls üblich ist das
Ausspähen aller Informationen, die einen
“Identitätsdiebstahl”
erlauben (wobei das Wort “Diebstahl” wie auch beim
“Datendiebstahl”
in die Irre führt).

Botnets aus Viren…

Einige Botnets haben Sie bereits im Rahmen dieser Serie kennengelernt,
z.B. die von den Viren
Sality und Virut
aufgebauten Botnets
Sality,
das auf Peer-to-Peer-Basis operiert, und Virut, dass im Juli 2010 zumindest
teilweise
lahm gelegt
werden konnte, indem einige der Kontrollkanäle aus dem Verkehr gezogen
wurden.

Botnets aus Würmern…

Auch das vom Wurm
Storm
aufgebaute Storm-Botnet, dass u.a. zum
Spam-Versand
und für
Phishing-Angriffe
genutzt wurde, aber auch
in Teilen
von anderen Cyberkriminellen
angemietet
werden konnte, wurde bereits erwähnt. Das auch Waledac genannte Botnet
stellte Ende 2008 aus
unbekannten Gründen
seinen
Betrieb ein,
der Spamversand stoppte ohne ersichtlichen Grund.

Im Dezember 2008 erfolgte die Veröffentlichung des
‘Stormfucker’,
mit dem die Peer-to-Peer-Kommunikation des Botnets gestört und das Botnet
übernommen
werden konnte. Ende April 2010 wurde Storm dann erneut gesichtet:
Neue Varianten
des Wurm-Codes wurden
zusammen mit einem Fake-Virenscanner
verteilt, und auch Spam wurde wieder
versendet.
Die neue Varianten wurden von
McAfee
und
Mark Schlösser, Tillmann Werner und Felix Leder
vom Honeynet Project analysiert. Der Code ist weitgehend mit dem alten
Storm-Code identisch, allerdings fehlt die Kommunikation über
Peer-to-Peer-Netze. Auch 2011 ist das Botnet noch aktiv und
verteilt
Pharmazie-Spam – erneut gesteuert über Peer-to-Peer-Kommunikation.

Auch das vom “Social Networking Wurm”
Koobface
aufgebaute Koobface-Botnet wurde bereits erwähnt. Koobface baut ebenfalls
ein Peer-to-Peer-Botnet auf und kann u.a.
weitere Schadsoftware nachladen.
Die kann auch von anderen Cyberkriminellen stammen, die
Koobface-Entwickler lassen sich dass dann im Rahmen eines
“pay per install”
bezahlen. Außerdem leitet Koobface Suchanfragen auf Seiten mit Werbung um,
sammelt Zugangsdaten und Lizenzschlüssel,
lässt CAPTCHAs lösen,
… es gibt kaum einen Bereich der Cyberkriminalität, in dem Koobface
nicht aktiv ist.

Im November 2010 konnte ein Teil der Command&Control-Server des Botnets
aus dem Verkehr gezogen
werden, groß geschadet zu haben scheint das den Cyberkriminellen aber
nicht – der Wurm ist immer noch
aktiv.

Update 23.1.2012:


Am 16. Januar 2012
wurden fünf Verdächtige öffentlich bloss gestellt, die
für die Verbreitung von Koobface verantwortlich sein sollen.
Daraufhin wurde die Ausgabe neuer Befehle durch die
Command&Control-Server eingestellt. Ob dies von Dauer ist, muss sich
noch zeigen.


Ende des Updates

Botnets aus Rootkits…

Das auch schon erwähnte Rootkit
Alureon
war
laut Damballa
2010 für das am weitesten verbreitete Botnet verantwortlich
(PDF).
Und das, obwohl es erst im August 2010 anfing, rasant zu wachsen.

Sie sehen also: Egal wie der Schadcode auf die Rechner gelangt, das
Ergebnis ist meist ein neuer Bot in irgend einem Botnet. Und manche
Schadsoftware ist auch gleich für mehrere Botnets verantwortlich:

Zeus – ein Schädling(sbaukasten), viele Botnets

Der Schädlingsbaukasten Zeus wurde ja bereits
ausführlich
beschrieben.
Da es nicht “den” Zeus-Schädling gibt, gibt es auch nicht
“das”
Zeus-Botnet. Stattdessen gibt es eine große Anzahl mehr oder weniger
großer separater Botnets. Und deren Anzahl
schwankt
mitunter stark, z.B. wenn ein Provider für Command&Control-Server vom
Internet abgeschnitten oder ein Server von Strafverfolgern oder
Antiviren-Herstellern übernommen wird, wie es z.B.
im Februar 2011
der Fall war. Und auch die
Aufnahme
von Zbot in Microsofts Malicious Software Removal Tool im Oktober 2010 kostete die Botnets
etliche Mitglieder.

Die Command&Control-Server der Zeus-Botnets werden übrigens vom
ZeuS Tracker
auf abuse.ch erfasst.

Mobile Botnets

Auch infizierte Smartphones lassen sich in ein Botnet integrieren. Ein
erstes Beispiel dafür war der ebenfalls bereits erwähnte iPhone-Wurm
Duh,
der im November 2009 entdeckt wurde. Der Wurm konnte nur durch einen
Jailbreak geöffnete iPhones infizieren, nach der Integration in das Botnet
wurde nach für die Cyberkriminellen interessanten Informationen wie z.B.
mTANs gesucht.

Duh konnte nur (mehr oder weniger) absichtlich unsicher gemachte iPhones
infizieren. Deutlich erfolgreicher war ein Proof-of-Concept von Derek
Brown und Daniel Tijerina aus TippingPoints “Digital Vaccine Group”, die im
Frühjahr 2010 über eine angebliche Wetter-Anwendung ein Botnet
aus 8000 Smartphones (iPhones und Android-Geräte)
aufbauen konnten.
Während der veröffentlichte PoC keinen Schadcode enthielt, wurde die
Gefährlichkeit eines solchen Botnets anhand eines weiteren, nicht
veröffentlichten Schadprogramms demonstriert. Im Oktober 2010 wurden
weitere Forschungsergebnisse zu mobilen Botnet
veröffentlicht.
Aktuelle Entwicklungen wie das als Trojaner verbreitete
DroidDream
für Android sind also eine ernstzunehmende Gefahr.

Zum Abschluss noch ein Hinweis auf zwei interessante Beschreibungen von
Botnets. Von McAfee gib es unter dem Titel
“Botnets Demystified and Simplified”
(oder auch “Mommy, how did Daddy become a zombie?”) eine einfache
Erklärung von Botnets in Form eines Comics. Und von Symantec gibt es
einen
Überblick
über die 5 im Sommer 2010 am weitesten verbreiteten Botnets im Form einer
animierten Weltkarte.

In der
nächsten Folge
werden einige mehr oder weniger erfolgreiche
Versuche zur Eliminierung oder zumindest Eindämmung von Botnets
beschrieben.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits – Schadsoftware im System

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets

Botnets – Zombie-Plagen im Internet

Botnets bekämpfen – mehrere Wege, selten Erfolge

Zeus, Carberp und Khelios – Drei Schläge gegen Botnets

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Binary Planting – Welche Angriffe sind möglich und wie verhindert man sie?

Vorschau anzeigen
Welche Angriffe sind beim auch DLL Preloading genannten Binary Planting möglich und welche Gegenmaßnahmen gibt es für Entwickler und Anwender? Über Binary Planting kann ein Angreifer immer Schadcode in die Anwendung einschleus

Dipl.-Inform. Carsten Eilers am : Ist ASP unsicherer als PHP? Und was ist mit SSH los?

Vorschau anzeigen
ASP-Webanwendungen und SSH-Zugänge sind zur Zeit die Ziele von Massenangriffen. Beides sind eigentlich altbekannte Ziele, nur dass sich das unter ASP-Entwicklern wohl noch nicht rum gesprochen hat. Bei den Angriffen auf SSH gibt es aber wirkli

Dipl.-Inform. Carsten Eilers am : Flame? – Kein Grund zur Panik!

Vorschau anzeigen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist… Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 3.16 – Windows 10 ein Botnet?

Vorschau anzeigen
Im windows.developer 3.16 ist ein Artikel über die Vorträge erschienen, die auf den 32. Chaos Communication Congress (32C3) zu Windows und Co. gehalten wurden. Wie seit vielen Jahren üblich fand zwischen Weihnachten und Silveste

Kommentare

Ansicht der Kommentare:
Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben






Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.



Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!