Neue Gefahr durch Bot-Netze mit P2P-Strukturen
Erste Bot-Netze der nächsten Generation nutzen ähnlich wie Tauschbörsen dezentrale Kommunikationsstrukturen und lassen sich deshalb nicht mehr einfach abschalten.
Das Internet Storm Center (ISC) hat einen Bot analysiert, der offenbar verschlüsselte, dezentrale Kommunikationsstrukturen nutzt. Solche Bot-Netze der nächsten Generation erhöhen das Bedrohungspotenzial beträchtlich, denn sie lassen sich nicht mehr einfach abschalten.
Bot-Netze wiederholen damit sozusagen die Evolution der Tauschbörsen: Wie bei Napster verbinden sich die bisherigen Schädlinge mit einem zentralen (IRC-)Server, über den sie dann ihre Anweisungen bekommen. Das kann zum Beispiel der Start einer DDoS-Attacke sein oder ein Befehl zum Nachladen eines neueren Moduls mit erweiterten Funktionen, der gleichzeitig an tausende von Zombie-Rechnern übermittelt wird. Gelingt es jedoch, den zentralen IRC-Server aus dem Netz zu nehmen, ist das Bot-Netz lahm gelegt. Die Rechner sind zwar nach wie vor infiziert, der Kommandeur des Bot-Nets kann sie jedoch nicht mehr erreichen und damit auch nicht kontrollieren.
Die nächste Generation wird nicht mehr so einfach stillzulegen sein. Sie nutzt dezentrale Peer-to-Peer-Strukturen und verschlüsselt ihre Kommunikation. Selbst wenn es gelingt, einzelne Rechner aus dem Netz zu nehmen, "lebt" ein P2P-Bot-Netz weiter. In der Testumgebung kontaktierte der infizierte Rechner des ISC 22 IP-Adressen, die offenbar als eine Art Seeds dienten, um eine aktuelle Liste der Zombie-Peers zu erhalten. Er selbst lauschte auf TCP-Port 8 auf eingehende Anfragen. Durch die Verschlüsselung der Kommunkation ist es viel schwieriger als beim Klartextprotokoll des IRC, die Kommunikation mit den Bots zu belauschen und zu analysieren. Das ISC spekuliert, dass dabei das P2P-Protokoll Waste zum Einsatz kommen könnte.
Der aktuelle Schädling verbreitet sich anscheinend über AIM hat jedoch bislang keine nennenswerte Verbreitung gefunden. Es steht jedoch zu befürchten, dass diese Technik sehr schnell Einzug in die verbreiteten Bot-Familien wie RBot oder SDBot finden wird. Die Konsequenzen einer solchen Weiterentwicklung sind bisher noch nicht zu übersehen – sie werden uns jedoch ziemlich sicher auf Jahre hinaus beschäftigen. (ju)
