Hydra der Moderne - Die neuen Tricks der Spammer und Phisher

Tausende infizierte Rechner, die auf Befehl Spam versenden oder Websites lahmlegen - solche Bot-Netze konnte man früher über den zentralen Server lahmlegen. Doch neuerdings verstecken sie sich hinter Proxies - erwischt man einen, tauchen zwei neue auf.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 12 Min.
Inhaltsverzeichnis

Klassische Bot-Netze funktionieren vergleichsweise einfach: Die infizierten PCs – die Bots oder Zombies - verbinden sich mit einem zentralen IRC-Server. Auf diesem Chat-Server erteilt ihnen dann ihr Herr und Meister Anweisungen, wie die, eine neue Spam-Mail massenhaft zu verbreiten, sich an einer DDoS-Attacke zu beteiligen oder eine aktualisierte Schädlings-Version nachzuladen.

Dank dieser zentralisierten Organisation lassen sich solche Bot-Netze vergleichsweise einfach stilllegen: Man muss lediglich die Kommunikation eines einzigen Clients beobachten, darüber den zentralen Command&Control-Server aufspüren und diesen aus dem Verkehr ziehen. Damit haben dann auch die anderen tausend Clients keinen Ansprechpartner mehr und der Bot-Master kann ihnen keine Befehle mehr erteilen. Man schlägt den Kopf ab und das Bot-Netz ist tot. Alternativ können Admins möglichst nah an der Quelle die IP-Adresse des Servers blockieren und damit die Kommunikation zwischen Client und Server lahm legen.

Ähnliches gilt auch für Phishing-Sites: Die gefälschten Bank-Seiten, auf denen die Betrüger Zugangsdaten abzocken, liegen auf einem einzigen, meist gekaperten Server. Ziehen die Internet-Cops den aus dem Verkehr, hat es sich erstmal ausgephisht. Eventuell bereits verschickte Phishing-Mails mit dieser Adresse waren umsonst. Wer auf den Link klickt, erhält nur noch eine Fehlermeldung.

In den letzten Jahren haben sich Behörden und diverse Organisationen darauf eingeschossen und eine Infrastruktur aufgebaut, mit der es ihnen möglich ist, zum Beispiel Phishing-Sites innerhalb weniger Stunden oder höchstens Tage nach ihrem Auftauchen aus dem Netz zu nehmen [1].

Doch die Gegenseite schläft nicht und reagiert mit Arbeitsteilung und Dezentralisierung. So ziehen derzeit Bot-Netz-Betreiber und Phisher eine Zwischenschicht in die Kommunikation ein. Statt direkt mit dem Server kommunizieren die Opfer nur noch mit einer Zwischenstation. Davon gibt es sehr viele, und im Hintergrund stehen etliche Ersatz-Proxies bereit, falls mal einer abgeschaltet wird.