Skip to content

Zeus, Carberp und Khelios - Drei Schläge gegen Botnets

Es ist mal wieder Zeit, einen Blick auf die verschiedenen Botnets zu werfen. Denen geht es zur Zeit an den Kragen. Zumindest einigen, und zumindest teilweise.

Microsoft gegen Zeus-Botnets

Microsofts "Digital Crimes Unit" hat gemeinsam mit Finanzunternehmen und dem Sicherheitsunternehmen Kyrus einen Schlag gegen zwei Zeus-Botnets geführt. Zuvor war einer Klage gegen die Beschuldigten beim "U.S. District Court for the Eastern District of New York" statt gegeben worden.

Vertreter von Microsoft und seinen Partnern beschlagnahmten daraufhin in Begleitung von US-Marshals Command&Control-Server an zwei Standorten in den USA, außerdem wurden zwei vom Botnet genutzte IP-Adressen lahm gelegt und Microsoft überwacht zur Zeit 800 im Rahmen der Aktion gesicherte Domains. Laut Gary Warner vom "Center for Information Assurance and Joint Forensics Research" der University of Alabama at Birmingham werden sogar 1703 Domain-Namen auf eine Microsoft gehörende IP-Adresse umgeleitet.

Bevor ich zu den weiteren Fakten komme, muss ich doch erst mal anmerken, dass ich es merkwürdig finde, dass Microsoft und die Finanzunternehmen, wenn auch begleitet von US-Marshals, die Server beschlagnahmen. Das sollte doch eigentlich in einem Rechtsstaat die alleinige Aufgabe der Polizei- und Justizbehörden sein, oder? Ich kann mir eigentlich nicht vorstellen, dass das US-Gericht ein Privatunternehmen wie Microsoft mit der Beschlagnahme der Rechner beauftragt und hoffe, dass das von Microsoft nur entsprechend dargestellt wurde. Es sieht für Microsoft natürlich besser aus, wenn man selbst die Rechner beschlagnahmt hat, während die Marshals nur zur Zierde daneben standen, statt selbst nur quasi als Hilfskraft für die Beratung der Marshals zuständig zu sein.

Aber weiter zu den Fakten: Ziel der "Operation b71" genannten Aktion waren Botnets, die auf den Schädlingsfamilien (bzw. -baukästen) Zeus, dessen Konkurrenten SpyEye und Ice-IX aufbauen. Dabei sollten nicht alle Botnets ausgeschaltet werden, was sowieso illusorisch wäre, sondern die Strukturen der Cyberkriminellen unterminiert und Beweismittel für weitere Untersuchungen und Aktionen gesammelt werden. Außerdem soll versucht werden, die infizierten Rechner zu ermitteln und deren Benutzer zu informieren.

Die zwei ausgeschalteten Botnets sind in der Tat nur ein Tropfen auf einen sehr heißen Stein: Der ZeuS Tracker, der die Aktivitäten der Zeus-Command&Control-Server verfolgt, führt aktuell (d.h. am 29.3.2012) 329 Server als "online" auf, 19 enthalten Dateien und sind online. Microsofts Aktion war auch nicht der erste Schlag gegen Zeut-Botnets, 2010 ging das US-amerikanische FBI gegen Zeus-Botnet-Betreiber vor, auch das hat den Zeus-Botnets insgesamt nicht viel geschadet. Was einfach daran liegt, dass es nicht "das" Zeus-Botnet oder "die" Zeus-Bande gibt, sondern eine unbekannte Anzahl voneinander unabhängiger Cyberkrimineller den Zeus-Baukasten zum Aufbau ihrer eigenen Botnets nutzen.

Russische Justiz gegen Carberp

Die russische Justiz ist gegen eine Gruppe von Cyberkriminellen vorgegangen, die über ein von Carberp aufgebautes Botnet Bankdaten ausgespäht (und danach Geld von den Konten gestohlen) und DDoS-Angriffe durchgeführt haben. Da die Entwickler von Carberp nicht verhaften wurden, bleibt der Trojaner selbst jedoch aktiv. Er kann von Cyberkriminellen sowohl gekauft als auch im Rahmen eines "Partnerprogramms" verteilt werden. Auch die verhafteten Cyberkriminellen verbreiteten Carberp über Drive-by-Infektionen.

Kaspersky gegen Khelios

Kaspersky Lab hat in Zusammenarbeit mit dem CrowdStrike Intelligence Team, Dell SecureWorks und Mitgliedern des Honeynet Projects ein Kelihos-Botnet übernommen.

Im Gegensatz zu üblichen Botnets, die über einen oder zumindest wenige Command&Control-Server gesteuert werden, basiert das Khelios-Botnet auf einer Peer-to-Peer-Architektur: Jeder infizierte Rechner ist nicht nur ein Bot im Botnet, sondern kann auch als Server oder sogar beides agieren. Um das Botnet lahm zu legen, wurde ein sog. Sinkhole-Botnet aufgebaut, dass in das Khelios-Botnet eingeschleust wurde. Das Sinkhole-Botnet versorgt die Bots mit gefälschten Anweisungen und Informationen, so dass sie nicht mehr auf die Befehle der Cyberkriminellen reagieren.

Nach und nach konnten über das Sinkhole-Botnet immer mehr Rechner des Khelios-Botnets kontrolliert werden, was im Gegenzug bedeutete, dass die Kontrolle der Cyberkriminellen über ihr Botnet immer weiter abnahm. Inzwischen werden die infizierten Rechner nahezu komplett vom Sinkhole-Botnet kontrolliert, und die Cyberkriminelle haben keine Kontrolle mehr darüber. Damit entsteht aber ein neues Problem: Wie geht es weiter? Immerhin kann Kaspersky ja nicht bis in alle Ewigkeit die Kontrolle über das Botnet behalten. Man hofft, dass die Rechner nach und nach von den Benutzern gereinigt werden. Theoretisch könnte der Khelios-Schadcode über seine Update-Funktion neutralisiert werden, was aber in vielen Staaten illegal ist (und das ist auch gut so, unbefugte Dritte haben gefälligst ihre virtuellen Finger von anderer Leute Rechner zu lassen! Außerdem: Wer würde die Verantwortung übernehmen, wenn es zu unerwarteten Nebenwirkungen käme?) und daher nicht gemacht wird. Stattdessen werden die betroffenen ISPs informiert, die dann ihrerseits ihre betroffenen Kunden ermitteln und informieren können.

Außerdem ist das "Sinkholing" sowieso nur eine temporäre Lösung, da die Cyberkriminellen bisher nicht enttarnt wurden und einfach ein neues Botnet aufbauen können. Schon kurz nach der Übernahme der Botnets kompilierten die Cyberkriminellen eine neue Khelios-Version und verteilten sie über Facebook.

Auf die Möglichkeit, Schadcode durch harmlosen Code zu ersetzen, werde ich vermutlich im "Standpunkt" der kommenden Woche eingehen. Hier geht es in der nächsten Folge wie eigentlich schon für diese Folge vorgesehen mit der Beschreibung der schwachen RSA-Schlüssel weiter.

Carsten Eilers


Übersicht über alle Artikel zum Thema "Botnets"

Botnets - Zombie-Plagen im Internet
Botnets bekämpfen - mehrere Wege, selten Erfolge
Zeus, Carberp und Khelios - Drei Schläge gegen Botnets

Trackbacks

Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte

Vorschau anzeigen
Wie angekündigt geht es heute um die Frage, wieso es eine schlechte Idee ist, nach der Übernahme eines Botnets den Schadcode auf den einzelnen Bots durch harmlosen Code zu ersetzen. Mal abgesehen davon, dass so eine Manipulation fremder