P2P-Botnetze viel größer als vermutet
Mit eingeschleusten Sensoren hat ein internationales Forscherteam große Botnetze mit Peer-to-Peer-Infrastruktur vermessen. Sie fanden zum Teil über vierzig Mal mehr infizierte Systeme als mit herkömmlicher Zählweise.
Über eine Million infizierter Rechner kontrollieren die großen Bot-Netze ZeroAccess und Sality über Peer-to-Peer-Kommunikation; der bekannte Online-Banking-Trojaner Zeus bringt es immerhin auf knapp 200.000. Diese Werte ermittelte ein internationales Forscherteam, indem es sogenannte Sensoren in die Netze einschleuste. Außerdem zeigten sich die P2P-Botnetze deutlich widerstandsfähiger gegen Versuche, sie durch gezielte Eingriffe lahm zu legen, als bisher angenommen wurde.
Herkömmliche Bot-Netze erhalten ihre Befehle durch einen zentralen Command&Control-Server, der damit auch ihre zentrale Schwachstelle darstellt. Gelingt es, den auszuschalten, hat der Botnetz-Master die Kontrolle über die infizierten Rechner verloren. Deshalb setzen neuere Botnetze bereits seit einiger Zeit auf dezentrale Peer-to-Peer-Strukturen, wie sie etwa auch in Filesharing-Netzen zum Einsatz kommen. Dabei vernetzen sich die infizierten Systeme untereinander; jeder Zombie-PC hat dazu eine Liste von unmittelbaren Kommunikationspartnern, den Peers, die ebenfalls zum gleichen Botnetz gehören.
Um die Größe eines solchen P2P-Botnetzes zu bestimmen, fragt man die Peer-Listen bekannter Bots ab und hangelt sich dann von einem zum nächsten, in der Hoffnung, irgendwann alle abgeklappert zu haben. Dieses sogenannte Crawling ergibt jedoch viel zu niedrige Zahlen, stellten Christian Rossow, Dennis Andriesse, Tillmann Werner, Brett Stone-Gross, Daniel Plohmann, Christian J. Dietrich und Herbert Bos jetzt fest. Sie schleusten eigene Systeme in die P2P-Botnetze ein, die an deren Kommunikation aktiv teilnahmen und dabei alle aktiven Bots registrierten. Ihre Sensoren sahen dabei innerhalb eines Tages allein über 920.000 Rechner, die unter der Kontrolle einer bestimmten Sality-Version standen. Die Crawler hatten für dieses Botnetz lediglich 22.000 Bots ausgemacht.
Die großen Unterschiede kommen vor allem dadurch zustande, dass Botnetz-Clients mittlerweile sehr wählerisch geworden sind, welche Rechner sie in die aktive Peer-Liste aufnehmen. So tauchen dort oftmals PCs von Heimanwendern so gut wie gar nicht auf, da sie hinter einem NAT-Router von außen nicht ohne weiteres zu erreichen sind.
Auch bei den Möglichkeiten, solche Botnetze still zu legen, gibt es schlechte Neuigkeiten. Ein oft diskutierter Ansatz ist das so genannte Sinkholing, bei dem man versucht, die Peer-Listen der Bots mit Adressen eigener Systeme zu füllen. Damit kann man die Kommunikation innerhalb des P2P-Netzes effektiv lahmlegen. Bei ihren Untersuchungen mussten die Forscher jedoch feststellen, dass die P2P-Botnetze dagegen zum Teil deutlich widerstandsfähiger sind als angenommen. So hat etwa Sality ein internes Reputationssystem für Kommunikationspartner und es ist nur schwer möglich, einen gut bewerteten, echten Bot aus den Peer-Listen zu verdrängen.
Die Erkenntnisse der Forscher beruhen zum größten Teil auf der Analyse echter Bots; zusätzlich stellen sie in ihrem Paper P2PWNED: Modeling and Evaluating the Resilience of Peer-to-Peer Botnets auch eine Methode vor, P2P-Botnetze durch formale Modelle zu beschreiben, mit denen man dann auch bestimmte Operationen simulieren kann. (ju)