Skip to content

Botnets bekämpfen - mehrere Wege, selten Erfolge

Für den Kampf gegen Botnets gibt es verschiedene Ansatzpunkte: Die Bots, die Command&Control-Server und die Cyberkriminellen dahinter.

Kampf gegen die Bots

Der Kampf gegen die Bots ist wie ein Kampf gegen Windmühlen, wenn er auch teilweise zumindest zu einem zeitweisen Erfolg führt. Ein durchschlagender Erfolg ist aber schon rein technisch unmöglich: Da das Botnet selbst weiter besteht, kommen i.A. laufend neue Bots hinzu, und so lange die Cyberkriminellen die Kontrolle über den Command&Control-Server haben, können sie das Botnet nutzen. Aktionen wie die Anti-Botnet Initiative von eco und BSI oder der "International Kill-A-Zombie Day" von Sophos stören sie dabei aber zumindest, und das allein ist den Aufwand schon wert. Denn jeder bereinigte Rechner schwächt das Botnet, und jeder nicht neu infizierte Rechner verhindert sein wachsen. Ein wirklicher Sieg gegen ein Botnet ist aber nur möglich, wenn sowohl zumindest der größte Teil der Bots aus dem Verkehr gezogen als auch eine Neuinfektion effektiv verhindert wird. Beides dürfte schon allein relativ unwahrscheinlich sein, und beides gleichzeitig nahezu unmöglich.

Kampf gegen die Command&Control-Server

Erfolgversprechender ist der Kampf gegen die Command&Control-Server. Verlieren die Cyberkriminellen die Kontrolle über den Command&Control-Server (oder -Kanal, da inzwischen ja auch andere Ansätze als die Verwendung tatsächlicher Server verfolgt werden), verlieren sie auch die Kontrolle über das Botnet: Das darüber kontrollierte Botnet ist zumindest zeitweise lahmgelegt und kann nicht mehr für kriminelle Machenschaften und insbesondere die Verbreitung der Schadsoftware genutzt werden.

Gelingt es Strafverfolgern oder Antivirenherstellern, einen Command&Control-Server unter ihre Kontrolle zu bringen, hat das einen weiteren positiven Effekte: Sie erfahren dadurch mehr über die Hintergründe des Botnets. Die Folgen dieses sog. sinkholing beschreiben z.B. David Sancho und Rainer Link von Trend Micros im Whitepaper "Sinkholing Botnets" (PDF) am Beispiel des Botnets CARBERP.

Kampf gegen die Cyberkriminellen

Der Kampf gegen die Cyberkriminellen packt das Übel bei der Wurzel: Wenn die Cyberkriminellen aus dem Verkehr gezogen sind, können sie keinen Schaden mehr anrichten. Da Botnet und Command&Control-Server aber weiterhin vorhanden sind, besteht die Gefahr, dass das Botnet von anderen Cyberkriminellen übernommen wird.

Die Cyberkriminellen versuchen zwar, ihre Spuren zu verwischen, trotzdem können sie zumindest manchmal mit mehr oder weniger viel Aufwand enttarnt und verhaftet werden.

Aktionen gegen Botnets

Das folgende ist nur eine willkürliche Auswahl einiger mehr oder weniger erfolgreicher Aktionen gegen verschiedene Botnets.

Spanien gegen Mariposa

Im Dezember 2009 wurde das Mariposa-Botnet lahm gelegt, indem die extra für diesen Zweck gegründete "Mariposa Working Group" die Kontrolle über die Command&Control-Server übernahm. Einem der Urheber gelang es zwar zeitweise, die Kontrolle über das Botnet zurück zu erlangen, durch Änderungen der DNS-Einträge konnte die "Mariposa Working Group" die Kontrolle aber ihrerseits zurück erlangen und gleichzeitig die Bots an der Kontaktaufnahme mit dem Server hindern.

Im März 2010 ging die spanische Polizei gegen die Betreiber des Botnets vor: Drei Verdächtige wurden verhaftet. Im Juli 2010 wurden erst drei der mutmaßlichen Entwickler des Bots in Slowenien verhaftet, kurz darauf der vermutete "Mastermind" dahinter.

Im Januar 2010 nahm Microsoft das für das Botnet verantwortlichen Wurm Rimecud in sein Malicious Software Removal Tool auf, woraufhin über eine Million Rechner davon gereinigt werden konnten. Trotzdem stieg die Aktivität des Botnets ebenso wie die Anzahl aktiver Command&Control-Server seit dem 3. Quartal 2010 erneut stark an.

Microsoft gegen Waledac

Im Februar 2010 startete Microsoft die "Operation b49" gegen das Botnet Waledac. Mit Erlaubnis eines US-Gerichts wurden 277 Domains, die Command&Control-Servern zugerechnet wurden, lahm gelegt.

Der Schwerpunkt der Bot-Infektionen lag in Europa, den USA und dem Nahen Osten, gefolgt von Australien, Brasilien und Kanada. In einem ersten Fazit im März 2010 sahen die Ergebnisse noch sehr positiv aus, und im September 2010 wurden die lahm gelegten Domains dauerhaft auf Microsoft übertragen. Wie zu erwarten war, hatten die Eigentümer nicht gegen die zeitweise Beschlagnahmung protestiert. Zum Jahreswechsel 2010/2011 meldete sich das Botnet trotzdem zurück und versendete in Wellen große Mengen Spam, wobei gleichzeitig eine neue Variante des Schädlings zum Einsatz kam.

Die Niederlande gegen Bredolab

Im Oktober 2010 gelang es der niederländischen "National Crime Squad", das Botnet Bredolab auszuschalten, indem die Command&Control-Server beschlagnahmt wurden - 143 Stück, um genau zu sein. Bots, die sich danach mit den Servern verbinden wollten, wurden auf eine Informationsseite geleitet. Kurze Zeit später konnte auch ein als Urheber Verdächtiger in Armenien verhaftet werden.

Microsoft gegen Rustock

Im März 2011 startete Microsoft gemeinsam mit Polizeibehörden in den USA und den Niederlanden einen "Operation b107" genannten Schlag gegen das Botnet Rustock. Eine Reihe von Command&Control-Servern wurde beschlagnahmt und auf mögliche Hinweise auf und Beweise gegen die Urheber untersucht. An der Aktion beteiligte sich auch Pfizer, indem der durch die vom Botnet versendeten Spam-Mails entstehende Schaden dokumentiert wurde.

Der Spamversand brach nach der Beschlagnahmung der Command&Control-Server tatsächlich signifikant ein. Das war zwar schon zuvor periodisch der Fall und hätte auch ein normales Verhalten des Botnets sein können, diesmal stieg das Spamvolumen aber zumindest bisher nicht wieder an. Diese Aktion gegen ein Botnet scheint also erfolgreich gewesen zu sein.

Die Hintergründe zur "Operation b107" hat Brian Krebs zusammengefasst.

FBI gegen Coreflood

Im April 2011 startete das US-amerikanische FBI eine bisher nie da gewesene Aktion gegen das Coreflood-Botnet: Eine Reihe von Command&Control-Servern wurde lahmgelegt und der für diese Server bestimmte Netzwerkverkehr auf einen Server unter der Kontrolle des FBI umgeleitet. Stammten die Anfragen von Rechnern aus den USA, wurde dem Bot im Juni 2011 befohlen, sich zu beenden, wovon 19.000 Rechner betroffen waren.

Ein derartiger Eingriff auf Rechnern von Benutzern, gegen die weder Ermittlungen noch eine Anklage liefen, war bisher nie erlaubt worden. U.a. die Electronic Frontier Foundation (EFF) und Paul Ducklin von Sophos halten einen derartigen Eingriff in die Rechner unbescholtener Benutzer für gefährlich, da unerwartete Nebenwirkungen nicht ausgeschlossen werden können. Zumindest war die Aktion erfolgreich, das Botnet ist gewaltig geschrumpft und steht vorerst nicht mehr unter der Kontrolle der Cyberkriminellen.

Microsoft gegen Qakbot

Im Mai 2011 veröffentlichte Microsofts Malware Protection Center einen Threat Report zu Qakbot. Außer einer Beschreibung des Schädlings und des davon aufgebauten Botnets enthält der Bericht auch Informationen über die Verbreitung des Bot(net)s. Besonders auffällig: Nach der Aufnahme von Qakbot in Microsofts Malicious Software Removal Tool (MSRT) im Dezember 2011 ging die Anzahl der gesichteten Bots erkennbar zurück, begann im Februar 2011 aber wieder zu steigen. Qakbot ist also ein sehr gutes Beispiel für die oben getroffene Feststellung, dass ein Kampf gegen die Bots wenn überhaupt, dann nur zu einem zeitweiligem Erfolg führt.

Fazit

Botnets im Internet sind wie Giersch im Garten: Beide wird man nicht wieder los. Bleibt beim Entfernen auch nur ein kleines Stückchen zurück, reicht das als Keimzelle einer neuen Welle. Beim Giersch kann man aber mit dessen Eindämmung leben, immerhin ist er ja auch ein Heilmittel. Botnets dagegen sind ausschließlich schädlich und müssen daher mit allen Mitteln bekämpft werden - auch, wenn das letztendlich ein aussichtsloser Kampf zu sein scheint.

Aber das soll weder Ihre noch meine Sorge sein, für uns ist es wichtig, die eigenen Rechner sauber zu halten. Wie Sie die verschiedenen Arten von Schadsoftware von Ihren Rechner fern halten und ggf. eingedrungene Schädlinge entfernen können, erfahren Sie ab der nächsten Folge.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets
Botnets - Zombie-Plagen im Internet
Botnets bekämpfen - mehrere Wege, selten Erfolge
Zeus, Carberp und Khelios - Drei Schläge gegen Botnets
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Keine Trackbacks