Security-Experten isolierten über 2 Millionen Gameover-Bots

Im Rahmen der Aktionen gegen das Botnetz Gameover Zeus musste ein riesige Peer-to-Peer-Netz ausgeschaltet werden. Über zwei Millionen infizierte Rechner mussten dazu manipuliert werden.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Lesezeit: 3 Min.

Anfang Juni legten FBI, Europol und einige IT-Security-Firmen das Gameover-Zeus-Botnetz lahm. Insgesamt über 2 Millionen Rechner waren mit der auf Online-Banking-Betrug spezialisierten Schad-Software infiziert und mussten aufwendig isoliert werden.

Die Gameover-Variante des Zeus-Trojaners (GoZ) setzt primär auf Peer-to-Peer-Kommunikation. Bei herkömmlichen Botnetzen, genügt es, die zentralen Command&Control-Server außer Betrieb zu nehmen, um die Kommunikation und die Verbreitung von Updates zu unterbinden. Ohne C&C-Server ist das Botnetz im wesentlichen tot. Anders bei Peer-to-Peer-Netzen: Hier pflegt jeder Bot eine Liste von anderen, ebenfalls infizierten Rechnern, mit denen er direkten Kontakt hält.

Bei einem Peer-to-Peer-Netz genügt es nicht mehr, einen einzelnen Server stillzulegen, um die Kommunikation vollständig zu unterbrechen.

Die Standard-Methode, solche P2P-Botnetze lahm zu legen, ist das sogenannte Sinkholing. Dabei vergiften die Botnetz-Jäger die Liste der Peers systematisch mit Einträgen eigener Rechner bis der Bot effektiv isoliert ist. Wie Crowd Strike beschreibt, gelang es ihnen, die GoZ-Bots mit solchen in das Bot-Netz eingeschleusten Peer-Listen zu isolieren und die P2P-Kommunikation lahm zu legen. Über die Grundlagen solcher Aktionen berichtete heise Security bereits in P2P-Botnetze viel größer als vermutet.

Nachdem CryptoLocker die Dateien seines Opfers verschlüsselt hat, fordert er 600 Euro für deren Entschlüsselung.

(Bild: Crowdstrike )

Als Fallback können die GoZ-Bots auch eine Liste von Server-Namen abarbeiten, in der Hoffnung, ihren Herrn und Meister auf einem davon zu erreichen. Diese Server-Namen werden über einen Domain Generation Algorithmus (DGA) erzeugt und sehen dann etwa so aus: aalvscvacujpbkm.biz. Durch Reverse Engineering gelang es den Jägern, diese Server-Namen vorab zu bestimmen und in Zusammenarbeit mit den Domain-Registraren respektive DNS-Administratoren ebenfalls zu blockieren. Gezielte Angriffe auf das Backend des Botmasters verhinderten, dass dieser rechtzeitig gegensteuerte und das Gameover-Botnetz konnte durch die konzertierte Aktion weitgehend still gelegt werden.

Der ebenfalls über dieses Bot-Netz verteilte und gesteuerte Erpressungs-Trojaner CryptoLocker verwendete übrigens ebenfalls einen DGA. Damit bestimmte er den Namen des Servers, von dem er jeweils einen Schlüssel bezog, um anschließend damit die Dateien seines Opfers zu verschlüsseln. Indem die Botnetz-Jäger die DGA-Servernamen lahmlegten, blockierten sie somit auch die Erpressungs-Aktivitäten von CryptoLocker, der den Gaunern immerhin rund 27 Millionen Dollar Lösegeld eingebracht haben soll.

Die Analyse des GoZ-Botnetzes durch Crowd Strike ergab, dass insgesamt mindestens 2 Millionen PCs mit Gameover-Zeus infiziert waren und somit unter der direkten Kontrolle des Botmasters standen. Da die Bots auch für ferngesteuerte Angriffe genutzt werden können, stellt eine solch riesige Zombie-Armee auch eine massive Bedrohung für das gesamte Internet dar. Microsoft versichert in einem eigenen Blog-Beitrag, dass alle Opfer von GoZ über diesen Sachverhalt informiert und ihre Systeme gereinigt werden. (ju)