Botnetz-Studie: Bots verbreiten sich über uralte Lücken
Die Studie fasst die Ergebnisse einer einjährigen Beobachtung von Malware und Bots mit Hilfe von 17 verteilten Honeypot-Sensoren in China zusammen.
- Daniel Bachfeld
Die Universität Mannheim hat zusammen mit der Peking University einen Bericht über IRC-basierte Bot-Netze und einen Bericht zu bösartigen Webseiten im chinesischen Internet veröffentlicht. Der Botnet-Bericht fasst die Ergebnisse einer einjährigen Beobachtung von Malware und Bots mit Hilfe von 17 verteilten Honeypot-Sensoren in China zusammen. Mit mehreren selbst geschriebenen Tools sei es gelungen, die Aktivität von knapp 3300 Botnetzen zu untersuchen, die über IRC-Server ihre Befehle entgegennehmen.
Die meisten Bots beruhten mit rund 26 Prozent auf Abkömmlingen der Rbot-Familie, 16 Prozent auf der Virut-Familie und immerhin noch 8 Prozent auf SdBot. Zwar nutzen diese Bots IRC zur Kommunikation mit ihrem Command&Control-Server (C&C), den Beobachtungen zufolge würden aber nur noch 36 Prozent auf dem IRC-Standard-Port 6667 arbeiten. Vermutlich wollen die Bot-Hirten mit der Wahl anderer Ports die Erkennung ihrer Bot-Herde erschweren. Als IRC-C&C-Server zählten die Autoren der Studie den Unreal-Server am häufigsten mit fast 60 Prozent.
Zwar registrierte das Honeynet-Team mehr als 1,5 Millionen Bots, das größte Bot-Netz zählte allerdings nur etwas mehr als 50.000 Mitglieder. Zwar sei aufgrund von verschleiernden Funktionen wie NAT nur eine grobe Schätzung, verglichen mit den fast 1,3 Millionen Bots eines neuseeländischen Hackers wirkt dies allerdings dennoch eher wie eine Straßenbande.
Die Analyse setzt sich zudem mit den Aktivitäten der Botnetze auseinander: Am häufigsten werden sie aktiv, um sich zu vermehren – ähnlich ihren biologischen Äquivalenten. In ihre Wirte dringe sie dabei größtenteils über Windows-Uralt-Lücken im ASN.1-Parser, DCOM und LSASS ein. Zweitliebste Beschäftigung der Bots sind laut Statistik DDoS-Attacken in diversen Variationen von SYN-, TCP- und UDP-Flooding. Erst an fünfter Stelle steht der Diebstahl von Informationen. Das Versenden von Spam taucht in der Liste gar nicht auf.
Der zweite Bericht setzt sich mit der chinesischen Internet-Wirtschaft im Untergrund und dem Handel mit Exploits, Schädlingen und gestohlenen Daten auseinander. Dabei hat man sich unter anderem auf die Suche nach bösartigen Webseiten gemacht und kam zu dem Ergebnis, dass fast jede siebzigste Seite Schädlinge enthält und verbreitet. Der Bericht ist auch insbesondere unter dem Aspekt der Großen Chinesischen Firewall interessant, die den Verkehr ins ausländische Internet filtert. Beide Berichte stehen als PDF-Dokument zum Download bereit und rühren aus den gemeinsamen Aktivitäten im Rahmen des Honeynet-Projektes her.
Siehe dazu auch:
- Characterizing the IRC-based Botnet Phenomenon, Studie der Universität Mannheim und der Peking University
- Studying Malicious Websites and the Underground Economy on the Chinese Web, Studie der Universität Mannheim und der Peking University
(dab)
