Kritik an Damballas Analyse zu Botnetz-Kontrollservern [Update]
Die Analyse zur Verteilung von Botnetz-Kontrollservern bei Providern weist offenbar schwere Fehler auf. Damit darf auch die Schlussfolgerung, 1&1 sei bei Botherdern besonders beliebt, bezweifelt werden.
- Daniel Bachfeld
Das Ergebnis der Analyse des Antibotnet-Spezialisten Damballa, der Webhoster und ISP 1&1 sei bei Betreibern von Kontrollservern (C&C-Server) für Botnetze besonders populär, hat erhebliche Kritik ausgelöst. Damballa begründete seine Aussage mit Analysen, wonach sich die Spuren von fast 11 Prozent aller C&C-Server in die Netze des deutschen Anbieters 1&1 zurückverfolgen ließen.
Nach Aussagen mehrerer Botnetz-Spezialisten sowie von 1&1-Pressesprecher Michael Frenzel hat Damballa offenbar eine fehlerhafte Liste verdächtiger Server zusammengestellt. Damballa hat seinen Blogeintrag zu der Statistik mittlerweile gelöscht.
Thorsten Holz vom deutschen Honeynet-Projekt hat bei der Durchsicht der von Damballa als C&C-Server eingestuften Server in kurzer Zeit dutzende harmloser Domains entdeckt. Damballa stufte beispielsweise Name- und Mailserver von GMX, 1&1 und der Telekom fälschlicherweise als Kontrollserver ein. Zudem habe Damballa sogenannte Sinkhole-Domains nicht beachtet.
Sinkhole-Domains dienen zur Umleitung der Kommunikation von Bots mit ihrem Kontrollserver. Provider verbiegen dabei einfach die Namensauflösung, sodass die Bots Verbindung zu einem harmlosen Server aufnehmen. Damit lässt sich verhindern, dass die Bots neue Befehle entgegennehmen und gesammelte Daten abliefern können – und 1&1 hat zahlreiche solcher Sinkholes platziert, unter anderem für den Banking-Trojaner Torpig.
Kenntnisse über solche Abwehrmaßnahmen sollte Damballa eigentlich besitzen, immerhin analysieren sie Botnetze selbst mit dieser Technik. Ob die mitgezählten Sinkhole-Domains die Statistik aber derart stark verfälschen können, bliebt weiterhin offen. Auf Anfrage von heise Security, wie es zu der fehlerhaften Liste kam, hat Damballa bislang nicht reagiert.
Nach Aussage von 1&1-Sprecher Frenzel ist seinem Unternehmen kein C&C-Server bekannt, der derzeit in seinen Netzen betrieben werde. Ein Grund dafür seien die guten Take-Down-Prozesse für C&C-Server bei 1&1. Dafür betreibe das Unternehmen ein 40-köpfiges-Anti-Abuse-Team, welches rund um die Uhr besetzt sei und sehr schnelle reagiere.
[Update] Damballa hat in seinem Blog Stellung zu der fehlerhaften Statistik genommen. Demnach habe man die Sinkhole-Domains bei 1&1 mitgezählt, was zu dem falschen Schluß geführt habe, 1&1 sei bei Botherdern besonders beliebt. Da es keine zentrale Stelle gebe, bei der man Informationen über Sinkholes einsehen könne, sei es nach Meinung von Damballa für Forscher sehr schwierig, zwischen kriminellen Servern und harmlosen Servern zu unterscheiden.
Damballa gibt jedoch weiterhin keine Erklärung dafür ab, wie legitime Mail- und Nameserver von GMX und der Telekom in die Liste gelangten. 1&1-Sprecher Frenzel gibt sich erleichtert: "Wir sind sehr froh, dass die Behauptung, in den Netzen von 1&1 würden sich C&C-Servern konzentrieren, sich als blanker Unsinn herausgestellt hat."
(dab)
