Dem Bericht entnehme ich, dass die Behörden einen definierten Satz
von C&C-Servern abgeschaltet haben. Vielleicht hatte die Malware
einen Fallback, sich über bestimmte Domains ggf. neue C&C-Server-IPs
beschaffen zu können, also hat man die auch ausgeschaltet bzw.
umgeleitet.
Aber mit den Servern und den Domains haben die Botnetzbetreiber den
Strafverfolgern ja auch relativ stationäre Ziele geboten. Könnten die
Botnetzbetreiber dem nicht entgegenwirken, indem sie die infizierten
Rechner befähigen, sich gegenseitig Informationen über neu errichtete
C&C-Server zuzuspielen? Ich stelle mir das so vor, dass der
bestehende C&C-Server jeden Sklavenrechner über die IPs einiger
anderer Knechtrechner informiert, so dass diese dezentral miteinander
verwoben sind. Wenn jetzt ein neuer C&C-Server auftaucht, dann spielt
er einem oder mehreren Knechtrechnern eine Listendatei mit
IP-Adressen der neuen C&C-Server zu. Wichtig dabei: Diese Listendatei
ist digital von den Herren des Botnets signiert. Jeder Knechtrechner
prüft die Signatur und kann damit verifizieren, dass die Datei
tatsächlich von den wahren Herren des Botnets stammt und nicht etwa
von den Strafverfolgern (der zur Prüfung erforderliche öffentliche
Schlüssel ist fest in die Malware einkodiert, während der private
Schlüssel, der zum Signieren benötigt wird, nur den Herren des
Botnets bekannt ist).
Ist die Listendatei authentisch, dann gibt der Knechtrechner sie an
alle ihm bekannten anderen Knechtrechner weiter, die sie dann
wiederum weiterverbreiten. So sollten die Herren des Botnets in der
Lage sein, auch nach einem vollständigen Takedown aller C&C-Server
und Domains relativ schnell wieder Kontrolle über ihr Botnet zu
erlangen. Dafür müssen sie nur die Kontrolle über ihren geheimen
Schlüssel behalten - und den brauchen sie auf keinem Server ablegen;
den können sie in der Hosentasche mitführen.
Ein solches Botnetz sollte unmöglich final zu besiegen sein, oder?
Jedenfalls solange es nicht gelingt, die Herren des Botnets
persönlich festzunehmen.
von C&C-Servern abgeschaltet haben. Vielleicht hatte die Malware
einen Fallback, sich über bestimmte Domains ggf. neue C&C-Server-IPs
beschaffen zu können, also hat man die auch ausgeschaltet bzw.
umgeleitet.
Aber mit den Servern und den Domains haben die Botnetzbetreiber den
Strafverfolgern ja auch relativ stationäre Ziele geboten. Könnten die
Botnetzbetreiber dem nicht entgegenwirken, indem sie die infizierten
Rechner befähigen, sich gegenseitig Informationen über neu errichtete
C&C-Server zuzuspielen? Ich stelle mir das so vor, dass der
bestehende C&C-Server jeden Sklavenrechner über die IPs einiger
anderer Knechtrechner informiert, so dass diese dezentral miteinander
verwoben sind. Wenn jetzt ein neuer C&C-Server auftaucht, dann spielt
er einem oder mehreren Knechtrechnern eine Listendatei mit
IP-Adressen der neuen C&C-Server zu. Wichtig dabei: Diese Listendatei
ist digital von den Herren des Botnets signiert. Jeder Knechtrechner
prüft die Signatur und kann damit verifizieren, dass die Datei
tatsächlich von den wahren Herren des Botnets stammt und nicht etwa
von den Strafverfolgern (der zur Prüfung erforderliche öffentliche
Schlüssel ist fest in die Malware einkodiert, während der private
Schlüssel, der zum Signieren benötigt wird, nur den Herren des
Botnets bekannt ist).
Ist die Listendatei authentisch, dann gibt der Knechtrechner sie an
alle ihm bekannten anderen Knechtrechner weiter, die sie dann
wiederum weiterverbreiten. So sollten die Herren des Botnets in der
Lage sein, auch nach einem vollständigen Takedown aller C&C-Server
und Domains relativ schnell wieder Kontrolle über ihr Botnet zu
erlangen. Dafür müssen sie nur die Kontrolle über ihren geheimen
Schlüssel behalten - und den brauchen sie auf keinem Server ablegen;
den können sie in der Hosentasche mitführen.
Ein solches Botnetz sollte unmöglich final zu besiegen sein, oder?
Jedenfalls solange es nicht gelingt, die Herren des Botnets
persönlich festzunehmen.