Im Körper des Feindes: Forscher kontrollieren Botnetz

Forschern ist es gelungen, für zehn Tage die Kontrolle über das Torpig-Botnetz zu übernehmen und die davon gesammelten Daten zu analysieren.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Daniel Bachfeld

Forschern der Universität Santa Barbara, Kalifornien ist es Anfang dieses Jahres gelungen, für zehn Tage die Kontrolle über das Torpig-Botnetz (alias Sinowal) zu übernehmen. Torpig gilt unter Virenspezialisten als ein hoch entwickelter Trojaner für Windows, der neben Daten für Bankkonten auch Kreditkartendaten und FTP-Accounts ausspäht. In den vergangenen drei Jahren soll es den Autoren des Schädlings mit verschiedenen Varianten gelungen sein, die Daten von mehr als 300.000 verschiedenen Konten mitzulesen und an eine Datenbank zu versenden. Torpig schreibt sich in den Master Boot Record der Platte und benutzt Rootkit-Techniken, um sich vor Virenscannern zu verbergen.

Der kürzliche Einbruch gelang den Forschern auf einem ähnlichem Weg, wie es der Conficker Working Group derzeit gelingt, den Conficker-Wurm mehr oder minder in Schach zu halten: Sie registrierten die Domains, mit denen sich die Torpig-Bots verbanden, um ihre gesammelten Daten abzulegen, Updates zu laden und Befehle entgegenzunehmen. Dazu mussten sie allerdings zunächst den (deterministischen) Domain-Generation-Algorithmus (DGA) entschlüsseln, mit der die Bots ständig neue Domains berechnen (Domain Flux) und anschließend einen Server auf die Lauer legen. Laut Bericht war aber die Zusammenarbeit mit den Registraren und Hostern ziemlich schwierig.

Erstmals wurde ein derartiger DGA vom Srizbi-Botnetz im November 2008 beobachtet, mit der die Bots nach dem Abschalten des Webhosters McColo auf eine Notfallkommunikation schalteten, um Kontakt zu ihrem Steuerserver aufzunehmen. Seitdem wechseln die Betreiber von Botnetzen vermehrt von Fast-Flux-Netzen auf Domain-Flux-Netze, um Kontakt zu den infizierten PCs zu halten. Bei Fast-Flux-Netzen bleibt der Domain-Name konstant, während die IP-Adresse ständig wechseln und auf infizierte Rechner zeigen.

Mittlerweile haben die Betreiber des Torpig-Botnetzes den Domain Generation Algorithmus aber verändert und lassen eine Zufallskomponenten einfließen, die das Voraussagen und somit das frühzeitige Registrieren der Domains erschwert. Für die Zufallskomponente nutzen die Betreiber die Twitter-API zur Abfrage der wöchentlichen Trends bei den Suchbegriffen.

Während der zehntägigen Kontrolle machten die Forscher interessante Beobachtungen. So registrierten sie zwar mehr als 1,2 Millionen IP-Adressen von infizierten Systemen, aufgrund der übermittelten eindeutigen ID der Bots minimierte sich die Zahl der dahinter stehenden Systeme aber auf rund 180.000. Da die bisherigen Schätzungen der Conficker-Infektionen ebenfalls auf IP-Adressen beruhen, könnten diese Zahlen auch um den Faktor sieben daneben liegen.

Torpig übertrug während der zehn Tage reichlich Daten an die Forscher, darunter 8310 Kontodaten von 410 verschiedenen Finanzinstituten. An erster Stelle rangierte PayPal mit 1770 Konten gefolgt von Poste Italiane mit 765, Capital One mit 314 und E*Trade mit 304. Dazu kamen 1700 Kreditkartendaten, wobei der größte Teil von Opfern aus den USA stammte. Insgesamt übertrugen die Bots 70 GByte Daten, wozu neben den Bankdaten auch mehrere hundertausend Zugangsdaten für Mail-, FTP- und andere Online-Konten wie Google, Facebook und MySpace gehörten. Nach der Datenkollekte informierten die Forscher in Zusammenarbeit mit Behörden die Opfer.

Über die genaue Herkunft Sinowals und seine jetzigen Drahtzieher gibt es aber weiterhin nur Spekulationen. So soll der Trojaner ursprünglich von russischen Kriminellen mit Verbindungen ins Russian Business Network (RBN) betrieben worden sein. Mittlerweile scheint das RBN aber keine nennenswerte Rolle mehr zu spielen.

Der komplette 13-seitige Bericht steht zum Download zur Verfügung: Your Botnet is My Botnet: Analysis of a Botnet Takeover

Siehe dazu auch:

(dab)