Seite 2: Fast Flux

Inhaltsverzeichnis

Fast Flux

Will sich etwa ein infizierter Zombie-PC in einem mehrschichtigen Netz auf der Suche nach einem Herrn und Meister verbinden, kontaktiert er einen Rechner wie mymaster.bot.net. Schon für diesen Namen liefert der Domain Name Service gleich fünf IPAdressen zurück, von denen er sich eine aussuchen kann. Dieses Verfahren wird seit vielen Jahren unter dem Namen Round-Robin-DNS zur Lastverteilung beispielsweise auf Web-Servern eingesetzt. Jeder Client sucht sich zufällig eine der zurückgelieferten Adressen aus und die Last der Anfragen verteilt sich somit (mehr oder weniger gleichmäßig) auf mehrere Schultern.

Im Bot-Netz-Szenario gehören diese IP-Adressen für mymaster. bot.net jedoch nicht den echten Command&Control-Servern, sondern zu ebenfalls infizierten Systemen mit Dialup-Verbindung, auf denen nur ein Weiterleitungsservice läuft. Im Hintergrund kommuniziert der Vermittler mit dem Mutterschiff und leitet dessen Daten an die Clients weiter.

Um die Situation für Ermittler weiter zu verkomplizieren und auch Offline-Zeiten beziehungsweise wechselnde IP-Adressen dieser Zombie-Proxies abzufedern, haben die DNS-Einträge eine kurze Lebensspanne (Time To Live, TTL) von wenigen Minuten und ändern sich ständig. Typischerweise besteht diese Zwischenschicht aus mehreren hundert, manchmal sogar tausend solcher Vermittler. Sie alle einzeln ausschalten zu wollen ist illusorisch.

Das Honeynet-Projekt (www.honeynet.org) bezeichnet eine solche Infrastruktur als Fast Flux Service Network. Sie haben Anfang des Jahres den Domain-Namen eines Bot-Netz-Servers beobachtet, für den das DNS innerhalb von acht Tagen über 3000 verschiedene IP-Adressen lieferte [2]. Honeynet hat sich darauf spezialisiert, speziell präparierte, verwundbare Systeme – sogenannte Honigtöpfe – aufzustellen und die dort eingeschleuste Schad-Software zu analysieren.

Für den Betrieb eines Fast-Flux-Netzes muss man natürlich eine Domain kontrollieren, sprich: einen eigenen DNS-Server betreiben, den das für die Namensauflösung zuständige Domain Name System (DNS) als für die Domain ".bot.net" zuständig erachtet. Doch wo ein Markt ist, finden sich auch Anbieter. Die offerieren schon seit einiger Zeit sogenannte "kugelsichere" Server in Ländern wie China, Südkorea und Brasilien, bei denen E-Mails mit Beschwerden über Missbrauch im digitalen Mülleimer landen. Und mittlerweile finden sich auch Angebote für "Bullet Proof Domains" im Internet. Für nur 100 US-Dollar pro Jahr kann man da beispielsweise völlig anonym eine .com oder .net-Domain registrieren lassen, für die der Anbieter unverblümt verspricht, dass sie "nicht durch E-Mail-Beschwerden stillgelegt wird".

Nach der Registrierung landen dann alle Nachfragen für Adressen, die auf ".bot.net" enden, auf einem Server, den der Bot-Master kontrolliert. Er arbeitet vergleichbar zu herkömmlichen dynamischen DNS-Diensten wie DynDNS. Die Proxy-Zombies melden sich dort mit ihrer IP-Adresse an, wenn sie online sind und der Server pickt sich aus diesem Pool für jede DNSAnfrage ein paar Adressen heraus.

Zweistufig

Um noch mehr "Ausfallsicherheit" zu erreichen, beziehen die Bot-Netz-Architekten mittlerweile sogar das Domain Name System in dieses Spiel mit ein. So unterscheidet das Honeynet-Projekt zwischen Single-Flux- und Double-Flux-Netzen. Bei Double-Flux-Netzen sind zusätzlich auch die für bot.net zuständigen Name Server, die Anfragen nach mymaster.bot.net beantworten, nur wechselnde, infizierte Zombie-Systeme. Auch sie beziehen ihre Informationen über die aktuelle Bot-Netz-Struktur von einem Mutterschiff im Hintergrund. Oft ist es dasselbe, auf dem auch der eigentliche Command& Control-Server läuft.

Die IP-Adressen für die zuständigen DNS-Server wechseln dabei langsamer als bei den Host-Namen – erst nach etwa 90 Minuten tauchten neue Name-Server-Einträge auf. Das liegt daran, dass es dazu notwendig ist, die Einträge beim Top-Level-DNS-Server zu ändern. Wie das in der Praxis geschieht, ist nicht ganz klar. Auf jeden Fall bedarf es dazu eines überdurchschnittlich kooperativen Registrars, der es seinen Kunden nicht nur ermöglicht, Nameserver-Einträge automatisiert über E-Mails oder Formulare zu ändern, sondern auch keinen Anstoß daran nimmt, dass dies im Stundentakt passiert.

Um das Weiterleiten der Bot-Netz-Kommunikation zu vereinfachen und das Aufspüren und Filtern zu erschweren, setzen derartige Fast-Flux-Bot-Netze statt des traditionellen Internet Relay Chats zur Steuerung fast nur noch normale HTTP-Anfragen ein. Vor allem in Firmennetzen sind die klassischen IRC-Ports ab 6667 ohnehin gesperrt. Immer mehr Firewalls sind auch in der Lage, IRC-Verkehr unabhängig vom Port zu erkennen und blockieren. Surfen – zumindest dienstliches – ist jedoch meist erlaubt, was sich die Bot-Netz-Bauer zunutze machen.

Das heißt, dass der Bot-Client in regelmäßigen Abständen HTTP-GET-Anfragen stellt, die wie Abrufe normaler Webseiten aussehen. Der Fast-Flux-Web-Proxy reicht diese dann an eine Web-Applikation auf dem Mutterschiff weiter, die ihre Befehle in eine HTTP-Antwort verpackt.

Das Honeynet-Projekt berichtet, dass in den letzten Monaten unter anderem die weit verbreiteten Schädlingsfamilien Warezov/ Stration und der sogenannte Sturmwurm zumindest teilweise auf Fast-Flux-Dienste umgestellt wurden. Beide sind für Bot-Netze verantwortlich, die hauptsächlich zur Auslieferung von Spam eingesetzt werden. In Kasperskys Virenstatistik für Juli gehört Warezov/Stration neben den Oldtimern Netsky und Bagle zu den am weitesten verbreiteten Schädlingen.