Neues von der Botnet-Front
Zwar versuchen Botnetz-Betreiber neuerdings, mit Googles Cloud-Services ihre Aktivitäten zu verschleiern, Anti-Bot-Dienstleister kommen ihnen aber dennoch auf die Schliche. Wenn Provider und Registrare zusammenarbeiten, lässt sich sogar die Bot-Kommunikation empfindlich stören.
- Daniel Bachfeld
Die Betreiber von Botnetzen haben neue Wege gefunden, um die Kommunikation ihrer Drohnen mit dem zentralen Steuerserver (Command&Control-Server) zu verschleiern. Berichten zufolge haben sie dazu Googles App Engine missbraucht, mit der Anwender eigene Webanwendungen in Googles Infrastruktur verlagern können. Bei diesem Cloud-Service steht der Anwendung kein dedizierter Server zu Verfügung, ihr werden in der Cloud nur CPU-Zeit, Speicher und 500 MByte Plattenplatz zugeordnet. Immerhin stellt der Dienst bis 5 Millionen Page Views pro Monat kostenlos zur Verfügung.
Diese Infrastruktur spielt leider auch Kriminellen in die Hände. Bots können mit dem in Googles Cloud verlagerten C&C-Server Kontakt auf- und neue Befehle entgegennehmen. Die vom DDoS-Abwehrspezialisten Arbor Networks aufgedeckten C&C-Server sind allerdings von Google mittlerweile entfernt worden.
Einen Erfolg im Kampf gegen Botnetze konnte nach eigenen Angaben kürzlich auch der Sicherheisdienstleister FireEye verbuchen. In einer konzertierten Aktion gelang es ihm, die C&C-Infrastruktur des Ozdok/Mega-D-Botnetzes lahmzulegen respektive schweren Schaden zuzufügen. Dazu waren allerdings sorgfältige Vorbereitungen notwendig, um die mittlerweile in vielen Bots implementierten Fallback- beziehungsweise Backup-Maßnahmen auszuhebeln und Gegenmaßnahmen der Botnetzbetreiber ind Leere laufen zu lassen.
Verliert ein Ozdok-Bot den Kontakt zu einem seiner fest einkodierten C&C-Server, so beginnt er ein Notfallprogramm, bei dem er ähnlich wie der Conficker-Wurm anhand eines vorgegebenen Algorithmus neue Domainnamen (C&C-Domains) generiert und diese versucht, zu kontaktieren. Da der Algorithmus den Botherdern bekannt ist, können diese unter den Domainnamen neue C&C-Server platzieren. FireEye konnte jedoch den Algorithmus entschlüsseln und Teile der Fallback-Domains selbst registrieren.
Zusätzlich nahm FireEye Kontakt mit verschiedenen Registraren auf und bat sie, bereits belegte C&C-Domains zu sperren – was die meisten auch taten. Schließlich bat der Sicherheitsdienstleister mehrere Provider, in deren Netzen aktive Steuerserver standen, die Server der Botherder vom Netz zu nehmen. Das ganze Zusammenspiel mt Registraren und Providern funktionierte offenbar so gut, dass Beobachtungen zufolge das Spamaufkommen des Ozdok-Botnetzes sofort nachließ und gegen Null tendierte – wobei der Bericht aber offenlässt, warum ein Bot aufhört, Spams zu versenden, nur weil der C&C-Server unerreichbar ist. Üblicherweise sind Drohnen in der Lage, in weiten Teile autonom zu agieren.
FireEye ist sich jedoch nicht sicher, wie lange sie das Botnetz noch in Schach halten können, da das Registrieren künftiger C&C-Domains sehr aufwändig sei. (dab)
