Honigtopf, vice versa

Kriminelle haben ihre Botnetz-Kontrollserver offenbar mit Funktionen ausgestattet, um Neugierige in die Irre zu führen und zu beobachten sowie Analysen zu erschweren. Das schreibt der Sicherheitsdienstleister Tllod (The Last Line of Defense) in seinem Blog. Demnach gaukelte der Server bei der Eingabe vermeintlich leicht zu erratender Zugangsdaten einen erfolgreichen Login in eine rudimentäre Weboberfläche vor.

Zum Login genügte etwa die Kombination admin/admin. Der untersuchte Server war sogar auf SQL-Injection-Angriffsversuche auf das Passwortfeld vorbereitet und täuschte vor, auf Eingaben wie 'or 1=1--" hereinzufallen. Nach dem Login protokollierte der Server sämtliche Aktivitäten mit. Nach Meinung von Tllod sei ein möglicher Zweck der Täuschung, die Vorgehensweise potenzieller Eindringlinge zu analysieren. Bislang kennt man solche Honeypots eigentlich nur mit dem umgedrehten Ansatz: Sicherheitsforscher wollen die Arbeitsweise von Kriminellen unter die Lupe nehmen.

Tllod hatte während der Analysen des Sourcecodes eines von Kriminellen installierten Kontrollservers zudem festgestellt, dass die Statistik zur Anzahl der infizierten PCs (Bots) und der verwendeten Exploits zufällige Zahlen anzeigte. Die Zahlen waren also nicht zu gebrauchen – Botnetz-Forscher sollten bei Kontrollservern anderer Netze die Zahlen ebenfalls misstrauisch betrachten. In der Vergangenheit hatten Sicherheitsdienstleister des Öfteren die internen Statistiken übernommener Kontrollserver veröffentlicht.

Darüber hinaus täuschte die Weboberfläche des untersuchten Servers eine Funktion zum Hochladen einer ausführbaren Datei auf die Bots vor. Die Datei wurde jedoch nur gespeichert – vermutlich für spätere Analysen. (dab)