Botnetz unter der Lupe

Forscher haben ihr eigenes Netzwerk aus Zombie-Rechnern geschaffen, um besser zu verstehen, wie Online-Gauner ihrem Handwerk nachgehen.

Um einen Kriminellen zu fangen, muss man erst einmal verstehen, wie er tickt. Ein internationales Forschungsprojekt versucht nun, genau dies auf dem Gebiet der Computerkriminalität zu erreichen: Mit einem unter Laborbedingungen aufgebauten Botnetz. Damit gemeint sind Netzwerke aus Abertausenden von infizierten Rechnern, die Cyber-Gauner kontrollieren. Mit diesen sogenannten Bots oder auch Zombie-PCs wird dann beispielsweise Spam verschickt.

"Wir haben etwas aufgebaut, was echten Botnetzen "in der Natur" sehr nahe kommt", sagt Pierre-Marc Bureau, Sicherheitsanalyst bei der IT-Security-Firma ESET, die zu den Projektbeteiligten gehört. Mit dabei sind außerdem die Ecole Polytechnique de Montreal und die Carlton University in Kanada sowie Wissenschaftler der Universität Nancy. "Unseres Wissens nach ist das das erste derart realistische Experiment", sagt Bureau stolz.

Über 3000 Kopien der noch immer weitläufig eingesetzten Windows-Version XP wurden dazu auf einem Cluster aus 98 Servern an der Ecole Polytechnique installiert. Zwischen jedem einzelnen Knoten existiert eine Internet-ähnliche Verbindung.

Alle Systeme wurden dann mit dem "Waledac"-Wurm infiziert. Die Malware war noch Anfang 2010 auf Hunderttausenden Rechnern zu finden und verschickte laut Analyseergebnissen von Microsoft Tag für Tag bis zu 1,5 Milliarden Spammails. Mittlerweile ist das Verhalten von Waledac recht gut erforscht.

Das Wissenschaftlerteam ahmte anschließend die Kontrollstruktur nach, die notwendig ist, um ein Waledac-Botnetz zu kontrollieren. Dabei verschickt ein zentraler "Command and Control"-Server (C&C) Anweisungen an eine Handvoll einzelner Bot-PCs, die die Instruktionen dann an die anderen Maschinen verteilen.

In den letzten Jahren haben Forscher verschiedene Techniken entwickelt, um "lebende" Botnetze abzuhören und sogar eigene Kommandos in ihre Kommunikationsabläufe zu injizieren. Der Aufbau eines kompletten Botnetzes im Labor erlaubt aber deutlich mehr Forschungsspielraum. "Wenn man an einem Botnetz in freier Wildbahn experimentiert, kann man böse Reaktionen des "Besitzers" provozieren, der dann die infizierten Maschinen vielleicht noch mehr beschädigt", sagt Bureau. Außerdem übten Forscher dann potenziell Kontrolle über Rechner unschuldiger Nutzer aus. "Das führt zu ethischen wie rechtlichen Problemen."

Mit einem eigenen Botnetz unter Laborbedingungen können Forscher dagegen beobachten, was in seinem Inneren abläuft und nachstellen, was passiert, wenn es von außen attackiert wird. Außerdem lassen sich statistisch signifikante Analysen durchführen, die sonst nicht möglich wären.

Bevor das Experiment beginnen konnte, mussten die Forscher den Besitzer des Clusters, also die Ecole Polytechnique, zunächst von der Sinnhaftigkeit überzeugen. "Ein Rechenzentrum im Wert von einer Million Dollar wird ja normalerweise nicht zur Installation von Malware eingesetzt", grinst Bureau.

Deshalb trafen die Forscher zunächst zahlreiche Sicherheitsmaßnahmen, damit Waledac nicht aus dem Labor entweichen konnte, denn viele Rechner an der Hochschule setzten eine potenziell angreifbare Windows-Version ein. Aus diesem Grund wurde das Cluster zunächst elektrisch vom restlichen Universitätsnetz getrennt. Software gelang deshalb nur über externe Datenträger (unbeschreibbare DVDs) auf die Rechner.

Interessante Ergebnisse gab es während der Experimentalphase einige. Die Forscher wissen nun beispielsweise, dass manche Botnetze leichter angreifbar sind, als bislang bekannt – und warum die Entwickler bestimmte Entscheidungen treffen. So fiel die Verschlüsselung der Kommunikation zwischen einzelnen Bots und dem C&C-Server bei Waledac eher schwach aus. Bislang dachten viele Sicherheitsexperten, dass dies an schlechter Programmierarbeit läge. Tatsächlich handelt es sich aber offensichtlich um eine bewusste Design-Entscheidung, sagt Bureau. "Wir fanden heraus, dass unser C&C-Server mit all den verschlüsselten Botschaften auf Dauer nicht umgehen konnte – er war überlastet. Wir lernten, dass die Entwickler hinter Waledac bestimmte Kompromisse eingehen mussten, um ein derart großes Botnetz kontrollieren zu können."

Das Team erprobte auch eine sogenannte "Sybil Attack", bei der zahlreiche falsche Bots in ein Netzwerk eingeschleust werden, um das Verhalten des Gesamtnetzes zu beeinflussen. Das war durchaus erfolgreich: Im Experiment zeigten die Forscher, dass sich mit diesem Ansatz die Spamfähigkeiten des Botnetzes deutlich reduzieren und teilweise ganz abschalten ließe.

Thorsten Holz, der an der Ruhr-Uni Bochum Botnetze und Malware erforscht, sieht in dem Labortest ein sinnvolles Werkzeug. "Es ist eine kontrollierte Umgebung, in der man fast alles machen kann."

Der Bochumer Forscher war Teil des Wissenschaftlerteams, das versuchte, den Waledac-Ahnen "Storm" mit Hilfe eingeschleuster Botschaften zu beeinflussen, um sein Verhalten besser zu verstehen. Die Interpretation der Ergebnisse wurde durch die Tatsache verkompliziert, dass Kollegen am Georgia Institute of Technology und der University of California, Santa Barbara, ähnliche Tests durchführten. "Wir konnten dann alle plötzlich Nachrichten sehen, die von den anderen Forschergruppen stammten", so Holz. Das sei dann eine Art Spielplatz für Infiltrationsversuche geworden. "Das hat unsere Arbeit erschwert."

Allerdings gilt auch: Ein Botnetz in Gefangenschaft wird sich nie so verhalten wie in freier Wildbahn. "Der Nachteil ist, dass sich nicht jedes Szenario emulieren lässt." Ein typisches Waledac-Botnetz würde zudem aus 50.000 bis 100.000 infizierten Computern bestehen, nicht aus den 3000 wie im Experiment. Ein echtes Botnetz verhält sich außerdem den Verkehrsmustern im Internet angepasst. Das lässt sich nur schwer nachahmen.

Bureau hofft nun, dass es ähnliche Experimente wie das seine geben wird – beispielsweise, um bislang noch kaum bekannte Malware zu analysieren. "Wir haben nun erstmals gezeigt, dass es geht – und hoffen, dass bald die notwendigen Rechenzentrumsressourcen freigegeben werden, damit noch mehr experimentiert werden kann." (bsc)