Drive-by-Botnetz von Innen

Ein Team von US-Forschern konnte in ein Malware-Netzwerk eindringen und dabei wertvolle Erkenntnisse über die sich stark ausbreitende PC-Plage gewinnen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 5 Min.
Von
  • Robert Lemos

Wissenschaftlern der University of California in Santa Barbara (UCSB) ist es gelungen, in ein Malware-Netzwerk einzudringen, das es auf Besucher legitimer Websites abgesehen hat. Den Forschern gelang es dabei, neue Einblicke in den Bereich so genannter "Drive-by"-Angriffe zu gewinnen. Sie fanden dabei mehr als 6500 Websites, auf denen sich Schadcode verbarg. Betroffen waren bis zu 340.000 Surfer.

Damit ihre Methode funktioniert, hacken die Online-Gauner zunächst seriöse Angebote, von denen aus Nutzer dann auf Websites mit Schadcode umgeleitet werden. In der bislang noch unveröffentlichten Studie zeigen die Forscher, wie sie vier Monate lang das "Mebroot"-Botnetz infiltrieren konnten. Dabei fanden sie unter anderem heraus, dass längst nicht mehr nur zwielichtige Angebote von "Drive-by"-Attacken heimgesucht werden. Zwar waren insbesondere Pornoangebote besonders erfolgreich beim Verteilen der Malware, doch gewöhnliche Geschäfts-Websites waren insgesamt in der Mehrzahl.

"Es gab eine Zeit, da konnte man denken, es würde ausreichen, sich einfach nicht auf ominösen Sex-Websites herumzutreiben, um nicht zum Opfer zu werden", sagt Giovanni Vigna, Professor für Computerwissenschaften an der UCSB und einer der Autoren der Studie. Das reiche inzwischen nicht mehr aus. "Auch wer sich nicht auf Rotlichtseiten herumtreibt, kann angegriffen werden."

Das Mebroot-Botnetz wurde erstmals 2007 entdeckt. Es verwendet kompromittierte Websites, um die Besucher auf zentrale Download-Server umzuleiten, die dann wiederum versuchen, ihre Rechner zu infizieren. Die Malware, benannt nach einer Infektionsart bei Windows-Rechnern (MBR steht für Master Boot Record), erwies sich bei der Untersuchung als durchaus professionell. So scheinen die Programmierer durch diverse Debugging-Zyklen zu gehen. "Das ist definitiv eines der modernsten Botnetze, die es gibt", meint Kimmo Kasslin von der finnischen Anti-Viren-Software-Firma F-Secure.

Mebroot nutzt eine Reihe von Methoden, um legitime Web-Angebote nach eigenen Wünschen zu verändern. Dazu gehört spezieller JavaScript-Code, der Nutzer automatisch auf eine andere Adresse umleitet und die sich regelmäßig ändert. Dort versucht dann ein von den Online-Gangstern beherrschter Server, den Rechner des Benutzers mit Malware zu infizieren, die es ihnen erlaubt, diesen später fernzusteuern.

Die eigens für Mebroot entwickelte Generierung neuer Schadcode-Domains sei ein relativ cleverer Weg, Versuche zu unterbinden, das Malware-Netzwerk abzuschalten, schreiben Vigna und sein Team. Ältere "Drive-by"-Angriffe hätten die Opfer dagegen auf stets gleiche Adressen umgeleitet. Statt statisch zu bleiben, erzeugt das von Mebroot verwendete JavaScript jeden Tag eine neue Adresse. Der Domain-Algorithmus erinnert dabei stark an einen anderen Datenschädling, der die Welt bis vor kurzem in Atem hielt: "Conficker". Doch Mebroot ist schlauer. Während die bei Conficker verwendete Technik inzwischen bekannt ist und dazu führte, dass zahlreiche Steuerserver ihren Betrieb erst gar nicht aufnehmen konnten, nutzt das Botnetz zusätzliche Methoden zur Verschleierung.

In den vier Monaten, in denen die UCSB-Forscher Mebroot untersuchten, wurden drei verschiedene Domain-Algorithmen ermittelt. Zwei davon, die relativ einfach zu beherrschen waren, nutzten nur das jeweilige Tagesdatum. Die letzte Variante war jedoch erstaunlich schlau gewählt und ließ sich nicht einfach von Sicherheitsexperten vorhersagen: Sie nutze als zusätzliche Variable Buchstaben aus dem am jeweiligen Tag populärsten Suchbegriff beim Kurznachrichtendienst Twitter. "Die Mebroot-Hintermänner nutzen eine Variable, die niemand kontrollieren kann", sagt Marco Cova, UCSB-Student und Co-Autor der Studie.

Nachdem sie die Domain-Generierung entschlüsselt hatten, gelang es den Forschern, Mebroot immerhin kurzzeitig zu kompromittieren. Sie ermittelten die Steuerdomain und registrierten diese kurzerhand selbst. Allerdings reagierten die Online-Gauner darauf schnell: Nachdem sie mitbekamen, dass ein "Konkurrent" Adressen registrierten, reservierten sie gleich Dutzende im Voraus.

Den Forschern gelang es auch, die Systeme der potenziellen Mebroot-Opfer zu erkennen. Fast 64 Prozent der Benutzer nutzten Windows XP, 23 Prozent Windows Vista. Danach folgten Mac OS 10.4 und 10.5 mit 6,4 Prozent aller Besucher. (Allerdings bedeutet das nicht, dass alle dieser Nutzer auch wirklich infiziert wurden, Mebroot ist auf Windows-Sicherheitslücken abgestimmt.)

Zwar übernahmen die Forscher nicht auch Endbenutzersysteme, doch konnten sie anhand mehrerer Merkmale feststellen, ob diese bereits infiziert waren oder nicht. Demnach waren zwischen 6,5 und 13,3 Prozent aller Nutzer Mebroot-Opfer. Mehr als die Hälfte der angegriffenen Systeme verwendete zwar Antiviren-Programme, doch 12 Prozent der Rechner dieser Benutzer waren bereits von anderer Malware befallen.

Die Forscher entdeckten außerdem, dass fast 70 Prozent der potenziellen Mebroot-Opfer klassifiziert nach Internet-Adressen stark gefährdet waren. Mindestens eine von 40 Sicherheitslücken, die von Online-Gaunern besonders gerne ausgenutzt werden, stand bei ihnen offen. Von Mebroot selbst hätte immerhin die Hälfte angegriffen werden können; insgesamt sechs verschiedene Lücken nutzt das Botnetz aus, wissen die Forscher.

Die Studie zeige vor allem, wie wichtig es sei, sein System auf dem neuesten Stand zu halten, meint IT-Wissenschaftler Vigna. "Solche Aktualisierungen helfen den Nutzern normalerweise sehr gut dabei, ihr Risiko zu vermindern." Allerdings seien noch zu viele User Update-faul. (bsc)