Kelihos-Botnet ausgeknipst – Live on stage

Während einer Präsentation hat ein Sicherheitsforscher live die Kommunikationskanäle des Viagra-Spam-Botnets Kelihos vergiftet und das Zombie-Netzwerk damit de facto abgeschaltet.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Uli Ries

Tillmann Werner von Crowdstrike hat während seines Vortrags auf der RSA Conference dem Kelihos-Botnetz vor Publikum den Todesstoß versetzt. Diese inzwischen dritte Generation des Schädlingsnetzes verschickt – wie üblich – Viagra-Spam, klaut Bitcoin-Wallets und Logindaten. Die gleiche Gang, die auch Kelihos betreibt, stand laut Werner zuvor bereits hinter den Botnetzen Waledac und Sturm.

Die Teilnehmer der Veranstaltung konnten das Sterben des Botnets live auf einer Weltkarte mitverfolgen. Das Foto zeigt die Situation rund drei Minuten nach dem Start des Takedown.

(Bild: Uli Ries)

Der Forscher schleuste einen PC in die Gemeinde der Zombie-PCs ein, der sich über das legitime Kommunikationsprotokoll der Bots mit den infizierten Rechnern verständigen kann. Auf diesem Weg verbreitete dieser PC innerhalb des Peer-to-Peer-Netzes der Schadsoftware eine Liste mit 500 IP-Adressen von vermeintlichen benachbarten Nodes im Botnet. Mehr als 500 Adressen können die Bots lokal nicht speichern. Die Bots teilen sich mittels dieser Listen gegenseitig die Netzwerkroute zu den Command&Control-Servern mit, die die Arbeitsaufträge an die Bots verschicken.

Im Fall des "Angriffs" durch Tillmann Werner zeigten die 500 Einträge alle auf den gleichen Server: Einen von Werner und anderen Experten, darunter Vertreter der aufs Bekämpfen von Malware-Netzen spezialisierten Shadowserver Foundation, betriebener Sinkhole-Server.

Durch Analyse des Kommunikationsprotokolls des Malware-Netzes entdeckte Werner, dass dieser Teil des Datenaustauschs nicht digital signiert und somit anfällig für gefälschte Nachrichten ist. Zudem lässt sich der Doubletten-Check der Bots, der doppelte IP-Adressen ausfiltern soll, aufgrund einer Schwäche austricksen: Die Malware-Macher sehen für das Festlegen des TCP-Ports vier Bytes vor, obwohl zwei Bytes genügten. Die Forscher können also durch Zuhilfenahme der beiden oberen Bytes auf den ersten Blick variierende Port-Einträge für die gleiche IP-Adresse in der Liste erzeugen. De facto zeigen die Einträge aber alle auf Port 80, der innerhalb des Botnetzes zum Datenaustausch dient.

Botnet-Experte Tillmann Werner auf der RSA Conference in San Francisco.

(Bild: Uli Ries)

Haben die infizierten PCs einmal Kontakt zum Sinkhole gehabt, versorgt sie der Server mit unsinnigen Arbeitsaufträgen, die keinen Schaden anrichten, die Bots aber beschäftigen. Gleichzeitig mit den 500 IP-Adressen wurden den Zombie-PCs von den Forschern auch neue Einträge für die Blacklist übermittelt. Die neuen Einträge gehören den sechs derzeit bekannten Command & Control-Proxyservern des Kelihos-Netzes. Somit können die Betreiber des Netzes den infizierten PCs keine neue Konfiguration zukommen lassen.

Laut Tillmann Werner hat er die Aktion mit internationalen Behörden wie dem FBI abgesprochen und sich zuvor auch grünes Licht von Juristen geholt. Die Forscher wollen die Liste der IP-Adressen der infizierten Rechner, die sich mit dem Sinkhole verbanden, baldmöglichst an die Behörden und die Shadowserver Foundation geben, damit diese sich dann mit den Internetprovidern der betroffenen Opfer in Verbindung setzen können.

Wie lange dieser Schlag gegen die Botmaster diese von ihrem Treiben abhält, steht auf einem ganz anderen Blatt: Als die Vorgängerversion Kelihos.b abgeschaltet wude, dauerte es laut Werner lediglich 20 Minuten, bis der jetzt abgeschaltete Nachfolger Kelihos.c wieder auf 40.000 Zombie-PCs angewachsen war. Wie groß Kelihos.c zum Zeitpunkt seines Abschaltens ist, wollen die Forscher in den nächsten Tagen in einem Blogbeitrag bekannt geben.

Werner ist in der Security-Szene kein Unbekannter: Unter anderem hat er zusammen mit anderen Forschern ähnliche Schwachstellen in der Infrastruktur des Sturmwurms ausgemacht. (rei)