Botnetz versteckt sich im Tor-Netzwerk

Zwei Sicherheitsforscher haben einen Botnetz-Client gefunden, dessen Betreiber sich mit Hilfe des Tor-Netzwerks versteckt. Die Arbeit von Sicherheitsexperten und Strafverfolgern wird durch diese Vorgehensweise deutlich erschwert.

Wie Claudio Giarnieri und Mark Schloesser schreiben, sind sie in den letzten Wochen über ein außergewöhnliches Botnetz gestolpert, dessen Ursprung sie zunächst kaum ausmachen konnten. Allerdings fielen ihnen Parallelen zwischen dem gefundenen Botnetz und den Ausführungen von GData auf, die ein ähnliches Tor-Botnetz schon im September beschrieben.

Die Botnetz-Schadsoftware mit dem Beinamen "Skynet" ist ein Trojaner, den die beiden Blogger im Usenet gefunden haben. Die Malware war mit 15MB relativ groß und beinhaltete neben Datenmüll, der wohl den eigentlichen Zweck der Downloaddatei verschleiern soll, vier verschiedene Teile: Einen herkömmlichen Zeus-Bot, den Tor-Client für Windows, das CGMiner Bitcoin-Tool, und eine Kopie von OpenCL.dll, was CGMiner zum Kracken von CPU- und GPU-Hashes benötigt.

Bei der Analyse des Clients hat sich herausgestellt, dass er Tor Hidden Services nutzt. Die wurden nachträglich zum Tor-Netzwerk hinzugefügt, um Internet Dienste zu ermöglichen, ohne dass deren IP-Adressen des Servers zurückverfolgt werden können. Damit können zum Beispiel Whistleblower geschützt werden. Das Tor-Netzwerk bietet mit dieser Funktion aber auch Botnetz-Betreibern einen Zufluchtsort.

Sicherheitsexperten und Strafverfolger können den C&C-Server damit nicht mehr ohne weiteres aufspüren und stilllegen. Bei herkömmlichen Bot-Netzen genügt es im Wesentlichen, die Kommunikation eines Botnetz-Clients zu analysieren, um festzustellen, mit welchen IP-Adressen dieser kommuniziert. Die können die Ermittler stilllegen oder unter ihre Kontrolle bringen, um das gesamte Botnetz lahm zu legen. Bei Tor Hidden Services sprechen die Zombies aber nicht mehr direkt mit ihrem C&C-Server. Sie kontaktieren über das Tor-Netzwerk nur einen Dienst mit einer Pseudo-Adresse wie x3wyzqg6cfbqrwht.onion, die das Tor-Netz auflöst und vermittelt. Dabei sind immer mehrere Tor-Nodes als Vermittlungsstellen zwischengeschaltet; zu keinem Zeitpunkt gibt es eine direkte Verbindung zwischen Client und Server. Trotzdem kann der Betreiber das gängige IRC-Protokoll für die Kommunikation nutzen und muss kein neues Protokoll implementieren.

Allerdings sind Tor Hidden Services wie auch Tor im allgemeinen weder sonderlich schnell noch verlässlich. Das sind ziemliche Handicaps, wenn man eine zuverlässige Echtzeit-Kommunikation mit tausenden Clients benötigt. Vielleicht ist das die Erklärung dafür, dass das Konzept zwar bereits seit Jahren heftig diskutiert wird, aber bislang kaum konkrete Implementierungen in freier Wildbahn gesichtet wurden.

Update, 10.12.2012, 18:15: Die Angaben zu den Autoren des Blog-Artikels wurden korrigiert. (kbe)