Botnetz kartographiert das gesamte Internet

Das Sality-Botnetz hat offenbar im vergangenen Jahr das gesamte Internet systematisch nach verwundbaren VoIP-Endpunkten durchsucht. Dabei ging es Wissenschaftlern zufolge sehr behutsam vor.

In Pocket speichern vorlesen Druckansicht 117 Kommentare lesen
Lesezeit: 2 Min.

Das Sality-Botnetz hat im Februar 2011 offenbar den gesamten IPv4-Adressraum auf zu korrumpierende Voice-over-IP-Endpunkte (VoIP) durchsucht. Forscher der University of California, San Diego (UCSD) und der Universität von Neapel, Italien, haben diese Aktivitäten des Botnetzes beobachtet und ausgewertet.

Der Scan dauerte insgesamt 12 Tage und zeichnete sich durch eine besonders behutsame Vorgehensweise aus, die normalerweise kaum Alarm auslösen würde. Die Forscher registrierten die Aktivitäten mit dem UCSD Network Telescope, auch das "UCSD darknet" genannt. Für dieses Darknet hat die Universität einen kompletten /8-IP-Bereich reserviert; also alle IP-Adressen aus einem Netz, bei dem wie bei 10.0.0.0 nur das erste Byte die Netzwerkadresse festlegt. Von diesen Adressen geht regulär keinerlei Netzwerkaktivität aus. Damit steht fest, dass jeglicher an dieses Netz gerichtete Netzwerkverkehr von externen Quellen verursacht wurde. Im Februar 2011 registrierte das UCSD Telescope den besagten systematischen Scan seines kompletten Adressraums. Indem die Forscher dies mit öffentlich zugänglichen Daten über weltweiten Netzwerkverkehr korrelierten, kamen sie zu dem Schluss, dass nicht nur ihr eigenes Netz, sondern anscheinend das komplette Internet gescannt wurde.

Die Grafik zeigt, dass das Botnetz zwischendurch auch mal 3 Tage Pause gemacht hat.

(Bild: Dainotti, King, Claffy , Papale, Pescapé)

Die Art des Scans und der Umstand, dass er von insgesamt mehreren Millionen IP-Adressen ausging, führte zu dem Schluss, dass nur eines der wirklich großen Bot-Netze als Verursacher in Frage kommt. Die regionale Verbreitung schloss Kandidaten wie Conficker aus. Schließlich lokalisierten die Forscher den für den Scan verantwortlichen Code in einem Modul, das von mit Sality infizierten Rechnern auf Befehl des Bot-Netz-Operators nachgeladen wurde.

Interessant ist auch, dass die Sality-Herren VoIP als Ziel auserkoren haben. Alberto Dainotti, beteiligter Forscher der UCSD, vermutet gegenüber DarkReading: "Sie haben möglicherweise versucht, mit einer Brute-Force-Attacke über SIP-Server Benutzerkonten für kostenlose Telefonanrufe, anonyme Anrufe, VoIP-Betrug und Ähnliches zu generieren." Ausführliche Ergebnisse ihrer Analysis of a “/0” Stealth Scan from a Botnet werden die Forscher bei der 'Internet Measurement Conference 2012' im November in Boston vorstellen. (kbe)