Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Hydra der Moderne - Die neuen Tricks der Spammer und Phisher

Tausende infizierte Rechner, die auf Befehl Spam versenden oder Websites lahmlegen - solche Bot-Netze konnte man früher über den zentralen Server lahmlegen. Doch neuerdings verstecken sie sich hinter Proxies - erwischt man einen, tauchen zwei neue auf.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 12 Min.
Security
Von
Inhaltsverzeichnis

Klassische Bot-Netze funktionieren vergleichsweise einfach: Die infizierten PCs – die Bots oder Zombies - verbinden sich mit einem zentralen IRC-Server. Auf diesem Chat-Server erteilt ihnen dann ihr Herr und Meister Anweisungen, wie die, eine neue Spam-Mail massenhaft zu verbreiten, sich an einer DDoS-Attacke zu beteiligen oder eine aktualisierte Schädlings-Version nachzuladen.

Dank dieser zentralisierten Organisation lassen sich solche Bot-Netze vergleichsweise einfach stilllegen: Man muss lediglich die Kommunikation eines einzigen Clients beobachten, darüber den zentralen Command&Control-Server aufspüren und diesen aus dem Verkehr ziehen. Damit haben dann auch die anderen tausend Clients keinen Ansprechpartner mehr und der Bot-Master kann ihnen keine Befehle mehr erteilen. Man schlägt den Kopf ab und das Bot-Netz ist tot. Alternativ können Admins möglichst nah an der Quelle die IP-Adresse des Servers blockieren und damit die Kommunikation zwischen Client und Server lahm legen.

Ähnliches gilt auch für Phishing-Sites: Die gefälschten Bank-Seiten, auf denen die Betrüger Zugangsdaten abzocken, liegen auf einem einzigen, meist gekaperten Server. Ziehen die Internet-Cops den aus dem Verkehr, hat es sich erstmal ausgephisht. Eventuell bereits verschickte Phishing-Mails mit dieser Adresse waren umsonst. Wer auf den Link klickt, erhält nur noch eine Fehlermeldung.

In den letzten Jahren haben sich Behörden und diverse Organisationen darauf eingeschossen und eine Infrastruktur aufgebaut, mit der es ihnen möglich ist, zum Beispiel Phishing-Sites innerhalb weniger Stunden oder höchstens Tage nach ihrem Auftauchen aus dem Netz zu nehmen [1].

Doch die Gegenseite schläft nicht und reagiert mit Arbeitsteilung und Dezentralisierung. So ziehen derzeit Bot-Netz-Betreiber und Phisher eine Zwischenschicht in die Kommunikation ein. Statt direkt mit dem Server kommunizieren die Opfer nur noch mit einer Zwischenstation. Davon gibt es sehr viele, und im Hintergrund stehen etliche Ersatz-Proxies bereit, falls mal einer abgeschaltet wird.

Das flexible Fast-Flux-Netz arbeitet als Vermittler und schirmt das zentrale Mutterschiff mit dem Command&- Control-Server ab.

Will sich etwa ein infizierter Zombie-PC in einem mehrschichtigen Netz auf der Suche nach einem Herrn und Meister verbinden, kontaktiert er einen Rechner wie mymaster.bot.net. Schon für diesen Namen liefert der Domain Name Service gleich fünf IPAdressen zurück, von denen er sich eine aussuchen kann. Dieses Verfahren wird seit vielen Jahren unter dem Namen Round-Robin-DNS zur Lastverteilung beispielsweise auf Web-Servern eingesetzt. Jeder Client sucht sich zufällig eine der zurückgelieferten Adressen aus und die Last der Anfragen verteilt sich somit (mehr oder weniger gleichmäßig) auf mehrere Schultern.

Im Bot-Netz-Szenario gehören diese IP-Adressen für mymaster. bot.net jedoch nicht den echten Command&Control-Servern, sondern zu ebenfalls infizierten Systemen mit Dialup-Verbindung, auf denen nur ein Weiterleitungsservice läuft. Im Hintergrund kommuniziert der Vermittler mit dem Mutterschiff und leitet dessen Daten an die Clients weiter.

Um die Situation für Ermittler weiter zu verkomplizieren und auch Offline-Zeiten beziehungsweise wechselnde IP-Adressen dieser Zombie-Proxies abzufedern, haben die DNS-Einträge eine kurze Lebensspanne (Time To Live, TTL) von wenigen Minuten und ändern sich ständig. Typischerweise besteht diese Zwischenschicht aus mehreren hundert, manchmal sogar tausend solcher Vermittler. Sie alle einzeln ausschalten zu wollen ist illusorisch.

Das Honeynet-Projekt (www.honeynet.org) bezeichnet eine solche Infrastruktur als Fast Flux Service Network. Sie haben Anfang des Jahres den Domain-Namen eines Bot-Netz-Servers beobachtet, für den das DNS innerhalb von acht Tagen über 3000 verschiedene IP-Adressen lieferte [2]. Honeynet hat sich darauf spezialisiert, speziell präparierte, verwundbare Systeme – sogenannte Honigtöpfe – aufzustellen und die dort eingeschleuste Schad-Software zu analysieren.

Für den Betrieb eines Fast-Flux-Netzes muss man natürlich eine Domain kontrollieren, sprich: einen eigenen DNS-Server betreiben, den das für die Namensauflösung zuständige Domain Name System (DNS) als für die Domain ".bot.net" zuständig erachtet. Doch wo ein Markt ist, finden sich auch Anbieter. Die offerieren schon seit einiger Zeit sogenannte "kugelsichere" Server in Ländern wie China, Südkorea und Brasilien, bei denen E-Mails mit Beschwerden über Missbrauch im digitalen Mülleimer landen. Und mittlerweile finden sich auch Angebote für "Bullet Proof Domains" im Internet. Für nur 100 US-Dollar pro Jahr kann man da beispielsweise völlig anonym eine .com oder .net-Domain registrieren lassen, für die der Anbieter unverblümt verspricht, dass sie "nicht durch E-Mail-Beschwerden stillgelegt wird".

Für 100 Dollar bekommt man hier eine "kugelsichere" Domain.

Nach der Registrierung landen dann alle Nachfragen für Adressen, die auf ".bot.net" enden, auf einem Server, den der Bot-Master kontrolliert. Er arbeitet vergleichbar zu herkömmlichen dynamischen DNS-Diensten wie DynDNS. Die Proxy-Zombies melden sich dort mit ihrer IP-Adresse an, wenn sie online sind und der Server pickt sich aus diesem Pool für jede DNSAnfrage ein paar Adressen heraus.

Um noch mehr "Ausfallsicherheit" zu erreichen, beziehen die Bot-Netz-Architekten mittlerweile sogar das Domain Name System in dieses Spiel mit ein. So unterscheidet das Honeynet-Projekt zwischen Single-Flux- und Double-Flux-Netzen. Bei Double-Flux-Netzen sind zusätzlich auch die für bot.net zuständigen Name Server, die Anfragen nach mymaster.bot.net beantworten, nur wechselnde, infizierte Zombie-Systeme. Auch sie beziehen ihre Informationen über die aktuelle Bot-Netz-Struktur von einem Mutterschiff im Hintergrund. Oft ist es dasselbe, auf dem auch der eigentliche Command& Control-Server läuft.

Die IP-Adressen für die zuständigen DNS-Server wechseln dabei langsamer als bei den Host-Namen – erst nach etwa 90 Minuten tauchten neue Name-Server-Einträge auf. Das liegt daran, dass es dazu notwendig ist, die Einträge beim Top-Level-DNS-Server zu ändern. Wie das in der Praxis geschieht, ist nicht ganz klar. Auf jeden Fall bedarf es dazu eines überdurchschnittlich kooperativen Registrars, der es seinen Kunden nicht nur ermöglicht, Nameserver-Einträge automatisiert über E-Mails oder Formulare zu ändern, sondern auch keinen Anstoß daran nimmt, dass dies im Stundentakt passiert.

Um das Weiterleiten der Bot-Netz-Kommunikation zu vereinfachen und das Aufspüren und Filtern zu erschweren, setzen derartige Fast-Flux-Bot-Netze statt des traditionellen Internet Relay Chats zur Steuerung fast nur noch normale HTTP-Anfragen ein. Vor allem in Firmennetzen sind die klassischen IRC-Ports ab 6667 ohnehin gesperrt. Immer mehr Firewalls sind auch in der Lage, IRC-Verkehr unabhängig vom Port zu erkennen und blockieren. Surfen – zumindest dienstliches – ist jedoch meist erlaubt, was sich die Bot-Netz-Bauer zunutze machen.

Das heißt, dass der Bot-Client in regelmäßigen Abständen HTTP-GET-Anfragen stellt, die wie Abrufe normaler Webseiten aussehen. Der Fast-Flux-Web-Proxy reicht diese dann an eine Web-Applikation auf dem Mutterschiff weiter, die ihre Befehle in eine HTTP-Antwort verpackt.

Das Honeynet-Projekt berichtet, dass in den letzten Monaten unter anderem die weit verbreiteten Schädlingsfamilien Warezov/ Stration und der sogenannte Sturmwurm zumindest teilweise auf Fast-Flux-Dienste umgestellt wurden. Beide sind für Bot-Netze verantwortlich, die hauptsächlich zur Auslieferung von Spam eingesetzt werden. In Kasperskys Virenstatistik für Juli gehört Warezov/Stration neben den Oldtimern Netsky und Bagle zu den am weitesten verbreiteten Schädlingen.

Auch Phishing-Banden setzen immer mehr auf Proxies und Fast-Flux-Dienste. So zeichnet der äußerst erfolgreiche Phishing-Baukasten Rock Phish nach Schätzungen von Experten mittlerweile für etwa die Hälfte aller Phishing-Sites verantwortlich. Sein wichtigstes Unterscheidungsmerkmal zu herkömmlichen Phishing-Tools ist die Trennung zwischen dem Backend mit den eigentlichen Phishing-Seiten, aber ohne direkten "Kundenkontakt" und einem Frontend, dessen Adresse in E-Mails verbreitet wird. Dieses Frontend bilden meist kompromittierte Systeme mit Proxies, die sich einfach ersetzen lassen.

Der zentrale Rock-Phish-Server hält die eigentlichen Phishing-Seiten für verschiedene Ziele vor. "Kundenkontakt" haben nur die leicht ersetzbaren Proxies.

So kann ein Phisher auf einem Server gleichzeitig mehrere gefälschte Bankseiten aufsetzen, dessen Adresse er nicht nach außen geben muss und deren Namen deshalb auch keinen Bezug zu Banken aufweisen. Auf den Systemen, deren Adressen die Opfer zu sehen bekommen, finden sich andererseits weder verräterische Webseiten noch Log-Dateien. Lediglich ein unscheinbarer Dienst im Hintergrund leitet auf Kommando Anfragen an das Backend weiter und liefert dessen Antwort zurück.

Darüber hinaus tauchen auch schon erste Rock-Phish-Versionen auf, die nach Fast-Flux-Manier mit sehr kurzlebigen DNS-Einträgen arbeiten und Hunderte von IP-Adressen benutzen. Und diese Vorgehensweise zeigt beängstigende Erfolge. So ergeben Analysen des Computer Laboratory der University of Cambridge, dass Fast-Flux-Phishing-Domains mit einer im Vergleich zu herkömmlichen Phishing-Sites fast achtmal höheren mittleren Lebensdauer aufwarten können – nämlich rund 19 statt nur zweieinhalb Tage (454 statt 58 Stunden [1]).

Doch nicht immer geht es direkt ums Geld. Auf die Zugangsdaten von Myspace-Nutzern hatte es kürzlich eine Phishing-Attacke abgesehen, die ein Double-Flux-Netz einsetzte: Den Namen login.mylspace.com lösten immer wieder andere Nameserver auf und leiteten sie auf wechselnde Systeme mit Proxies um, die täuschend echt aussehende Login-Seiten präsentierten.

Amerikanische Medien berichten sogar, dass über eine ähnliche Attacke im Juni über Fast-Flux-Server fast 100.000 MySpace-Accounts kompromittiert wurden. Dabei diente Myspace einmal mehr als Versuchslabor für eine neuartige Wurm-Gattung, die sich über ein spezielles Medium ausbreitet. Die kompromittierten Accounts wurden nämlich sofort genutzt, um weitere Phishing-Fallen aufzustellen. Sie öffneten dann ebenfalls beim Klick auf einen Link eine Login-Seite, deren eigentliche Herkunft ein Fast-Flux-Netz verschleierte.

Der Einsatz von Proxies und Fast-Flux-Netzen erhöht aus Sicht der kriminellen Banden die mögliche Nutzungsdauer und damit auch die Rentabilität ihrer wichtigsten Infrastruktur. Die Umstellung ist daher für sie eine äußerst lukrative Investition und bereits in vollem Gange.

Die "good guys" hingegen, die ein Bot-Netz oder Phishing-Sites aus dem Verkehr ziehen wollen, haben es nicht mehr nur mit einem Server zu tun, sondern mit einer Hydra, der ständig neue Köpfe nachwachsen. Hunderte oder gar Tausende von Proxies aus dem Verkehr zu ziehen ist von vornherein ein aussichtsloses Unterfangen.

Um stattdessen den zentralen Server im Hintergrund abzuschalten, sind zusätzliche Ermittlungen notwendig. Dazu muss man zunächst mal über die IP-Adresse an einen der Proxy-Bots herankommen – was sich ziemlich aufwendig gestalten kann. Provider geben die Namen und Adressen ihrer Kunden meist nur im Rahmen konkreter Ermittlungsverfahren an Strafverfolgungsbehörden heraus. Die müssen dann den Rechner vor Ort – also in aller Regel in einem anderen Land – analysieren oder beschlagnahmen lassen. Auf dem finden sich dann weder Log-Dateien noch andere Spuren der bisherigen Aktivitäten. Man muss also warten, bis der Proxy-Dienst wieder aktiv wird. Damit wird schon deutlich, dass bei solchen Ermittlungen nicht mehr von Stunden oder Tagen bis zum Aufspüren und Stilllegen eines bösartigen Servers die Rede sein kann, sondern eher von Wochen oder Monaten.

Als wichtigster Ansatzpunkt, ein Bot-Netz oder eine Phishing-Site direkt und zeitnah aus dem Verkehr zu ziehen, bleibt damit der Domain Name Service. Denn über den müssen die Angreifer letztlich ihre IP-Adressen verbreiten. Doch die Registrare zeigen sich oftmals noch uneinsichtiger als Web-Hoster, wenn es darum geht, offensichtlich missbrauchte Ressourcen in ihrem Verantwortungsbereich stillzulegen. Schließlich ist der Beschuldigte erstmal ein zahlender Kunde und der Kläger ein Außenstehender, der nur Ärger macht. So weigerte sich erst kürzlich der zentrale österreichische Domain-Registrar NIC.at hartnäckig, über 60 Rock-Phish-Domains stillzulegen, die für Phishing-Angriffe gegen Banken genutzt wurden [3].

[1] Tyler Moore and Richard Clayton, University of Cambridge Computer Laboratory: An Empirical Analysis of the Current State of Phishing Attack and Defense

[2] The Honeynet Project & Research Alliance, Know Your Enemy: Fast-Flux Service Networks - An Ever Changing Enemy

[3] Spamhaus.org: Report on the criminal 'Rock Phish' domains registered at Nic.at (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten