cnt

Ein kleiner Fiesling wird zur grossen Bedrohung

Botnets werden immer grösser, professioneller, raffinierter und damit auch gefährlicher. Aber: Über Erfolg oder Misserfolg der Bots entscheidet immer noch der User selbst.

Artikel erschienen in Swiss IT Magazine 2008/07

     

Grid-Computing ist eine Technologie, die überflüssige Rechenkapazität ans Internet angeschlossener PCs für komplexe Berechnungen zur Verfügung stellt. So beteiligen sich beim World Community Grid, an dem sich IBM beteiligt, allein in Europa über 96’000 Personen (Schweiz: 1800) mit ihren Computern freiwillig an der Berechnung eines komplexen Proteins in der Krebsforschung. Weit weniger Freiwillige wird man finden, wenn man Rechner für den Spam-Versand oder die Passwortspionage zusammenschliessen will. Und trotzdem rechnen täglich mehrere Millionen PCs genau an solchen Aufgaben.



Die Nutzer wissen davon freilich meist nichts – sie sind Opfer eines Botnet geworden. Diese Netze aus ferngesteuerten Maschinen werden in der letzten Zeit immer gefährlicher. Wo früher vor allem einzelne Server oder Seiten mit sogenannten Denial-of-Service-Attacken betroffen waren, sind jetzt auch die grössten Webseiten, ja sogar das Internet-Backbone nicht mehr gegen Angriffe dieser Systeme gewappnet.


Die Bots werden raffinierter

Bots sind kleine Programme, die sich vom Nutzer unbemerkt auf seinem System einnisten. Dort geben Sie dem Bot-Erfinder unsichtbar die Kontrolle über den Rechner und binden ihn in ein ganzes Netzwerk weiterer infizierter Maschinen. So entsteht ein ganzes Netzwerk fleissiger Rechner, die am Aufspüren von Passwörtern oder dem Knacken von Zugangscodes arbeiten.


Um ein Botnet aufzubauen, muss der Erfinder möglichst viele PCs mit seinem Bot-Programm infizieren und dafür sorgen, dass ihre Aktivität nicht bemerkt oder unterbrochen wird. Bei beidem tauchen immer raffiniertere Va­rianten auf. Um die kleinen Programme auf die Rechner der Opfer zu bringen, setzen die Erfinder immer mehr auf Social Engineering: Sie parken bösartigen Code auf bekannten Webseiten oder Foren oder verschicken Spam-Mails mit einem vielversprechenden Dokument mit versteckter Ladung. Die Variationen sind sehr vielfältig, haben aber alle ein Ziel: die Infektion des Systems des Benutzers, wenn möglich ohne dass dieser darauf aufmerksam wird. Gegen solche Methoden bieten auch gut gepatchte Systeme keinen ausreichenden Schutz mehr, denn einen Patch gegen Social Engineering gibt es nicht.



Auf der anderen Seite wurden die Bots nicht nur im Angriff besser – sie erweiterten auch ihre Fähigkeiten, wenn sie einmal Fuss gefasst haben. Die Entwickler haben die Tarnung nahezu perfektioniert: Sowohl der Nutzer als auch Anti-Viren-Programme können die Bots kaum mehr erkennen. Zum Beispiel verändern einige Bots ihren Code und verschlüsseln sich selber immer wieder neu, um es der Anti-Viren-Software schwer zu machen. Rootkit-Technologien machen die Programme für die Nutzer unsichtbar oder der Bot hängt sich an bestehende Anwendungen und nutzt diese zur Tarnung. Einmal eingenistet, bietet der moderne Bot seinem Master erweiterte Funktionalitäten. Er kann Spam-Mails versenden, alle Keyboard-Eingaben des Users aufzeichnen, dessen Passwörter und Accounts ausspionieren, interessante Dateien kopieren und vieles mehr. Die Erfindungswut der Entwickler kennt keine Grenzen.


Bots knacken CAPTCHAS

Botnets profitieren aktuell vor allem von der enormen Verbreitung von Breitbandanschlüssen in den Haushalten. Es ist fast schon selbstverständlich, 24 Stunden online zu sein. Durch die Dauerverbindung ins Internet können solche Maschinen jederzeit im Botnet genutzt werden. So konnten die illegalen Netze in den vergangenen Monaten stark wachsen und erreichten neue Rekordgrössen. Das Botnet «Storm» setzte vergangenes Jahr beispielsweise eine neue Höchstleistung mit weit über einer Million aktiver Bots. Davon waren innerhalb des beobachteten Zeitraums von 24 Stunden über 250’000 aktiv. Diese Dimensionen machen Botnets plötzlich zu gefährlichen wie auch mächtigen Instrumenten.


Die Schwierigkeit besteht vor allem in der Erkennung solcher Angriffe, da diese von einer enor­men Vielzahl von Systemen kommen und meist wie legitimer Traffic aussehen – jedoch in einer solch hohen Zahl, dass die Sys­teme schlichtweg überfordert sind. Dabei gehen die Botnetze immer intelligenter vor, die Ziele der Angriffe werden breiter. Waren vor kurzem vor allem Endsysteme die Opfer der Angriffe, geraten immer mehr Internetseiten ins Visier der Botnetze, um die Verbreitung und Infektion möglichst vieler Systeme zu erweitern. So findet man immer häufiger bösartigen Code zur Installation von Bots in Blogs, Foren oder auch Suchmaschinen. Der Benutzer muss immer vorsichtiger werden, welche Seiten er besucht und welchen Code sein System ausführen darf.



Neuartige, gefährliche Bots machten in den vergangenen Wochen mehrmals Schlagzeilen: So gelang es einem starken Botnetz, die sogenannten CAPTCHA-Bildchen (Completely Automated Public Turing test to tell Computers and Humans Apart) zu knacken, welche ein automatisches Erstellen von neuen Nutzerkonten zum Beispiel bei E-Mail-Diensten verhindern sollen. Sowohl Windows Live wie auch G-Mail wurden Opfer solcher Angriffe. Die Botnetze konnten Unmengen neuer Accounts eröffnen und die Services für ihre Zwecke nutzen.


Botnets kaufen im Web

Ein weiterer wichtiger Antrieb für die Bots und Botnets ist die Entwicklung des sogenannten Cybercrime. Das organisierte Verbrechen hat über die letzten Jahre Interesse am Internet gefunden und sich entsprechend organisiert, denn mit den Diensten eines Botnet lässt sich Geld verdienen. Bereits heute sind Angebote im Internet zu finden, welche Distributed-Denial-of-Service-Attacken mit mehr als 50’000 Bots anbieten – und dies für Preise von unter 500 US-Dollar pro Stunde. Aber auch Spam-Dienste oder das Sammeln von ganz spezifischen Passwörtern können gekauft werden. So kann ganz einfach per Suchauftrag ein gültiger Zugang zur Firma XY in Auftrag gegeben werden.



Als neue Dienstleistung haben Botnetze die Vermietung von Teilen des Netzwerks an Dritte entdeckt. Beim Storm-Bot tauchte diese Variante schon auf. Neu daran ist die Tatsache, dass nicht nur ein Service gemietet werden kann, sondern dass ganze Teile eines Botnet gekauft werden können. Die Entwickler der illegalen Netze gehen dabei recht professionell vor und bieten ein sogenanntes Partitioning an. Dabei verschlüsseln sie im Botnet die Kommunikationspfade und versehen sie mit einem Key, so dass nur der Besitzer Einblick in die Kommunikation hat. Durch den Aufbau verschiedener «Key-Ringe» können gezielt nur Teile des Botnet angesprochen werden. Das Partitioning könnte den Botnets vor allem im Bereich des organisierten Verbrechens weiter Auftrieb geben.


Was kommen wird

Ein Blick in die Kristallkugel ist deshalb gefragter denn je: Wie wird es mit Bots und Botnetzen weitergehen? Von einer kleinen Unannehmlichkeit haben sich Bots zur wahren Bedrohung hochgearbeitet. Bereits heute tragen Bot-Entwickler und die Verteidiger (z.B. Anti-Viren-Hersteller) ein Wett­rüsten aus. Neue Ideen auf Seiten der Bot-Entwickler verlangen nach neuen Mitteln der Verteidigung. Neue Verteidigungs-Strategien und -Software führen zu noch clevereren Tarntechniken der Bots. Weitere Energie ziehen Botnets aus dem Geld, welches mit ihrer Entwicklung verdient werden kann.



Heute werden die Botnets noch für verhältnismässig einfache Aufgaben eingesetzt: E-Mail versenden, Passwörter aufzeichnen, Webanfragen ausführen. Moderne Botnets mit mehreren hunderttausend Bots vereinen aber eine unglaubliche Rechenpower. Es entstehen regelrechte illegale Grids, die Aufgaben lösen können, für die einzelne Systeme Jahre benötigten. Die vergangenen Attacken auf CAPTCHAs sind wohl erst der Beginn der Möglichkeiten. Bots werden sich in den nächsten Monaten weiter auf mobile Endgeräte wie zum Beispiel Smartphones ausdehnen. Daten zu Telefonaten und der Location des Nutzers sind für kriminelle Entwickler eine interessante Beute. Durch ein Botnet könnten sie geliefert und ausgewertet werden.


Die ersten Peer-to-Peer-Bots tauchen auf

Daneben werden die Bot-Entwickler weiter an der Verfeinerung der Bots bauen. Heute basieren die Bots und deren Betrieb noch stark auf dem Einsatz eines zentralen Kommunikations-Channels (meist einem Chat-Kanal auf einem Internet Relay Chat Server). Diese Kommunikation wird aktuell meist noch im Klartext abgewickelt und gilt als eine mögliche Achillessehne der Bots, denn wenn der zentrale Kommunikationsserver ausgeschaltet werden kann, so stirbt das Botnet.


Allerdings ist auch schon die Lösung für das Problem in Sicht: Sogenannte Fast-flux-Botnets setzen Domain Names anstatt einer IP-Adresse für die Kommunikation zu einem zentralen Server ein. Die Domain-Names zeigen zwar auf eine IP-Adresse, sie wird aber in rascher Folge immer wieder gewechselt. Der Single-Point-of-Failure, der zentrale Kommunikationsserver, wird dadurch plötzlich vervielfacht – stirbt einer, ist dies für das Botnet nicht das Ende. Es kann auf den nächsten ausweichen.



Das Aufspüren der zentralen Server wird durch die schnellen Wechsel auch bedeutend schwieriger und aufwendiger. Mittels dem «Rock-Phishing» werden dazu die Kommunikationsserver hinter einer Reihe von Proxys versteckt, um die Suche noch weiter zu erschweren. Parallel sieht man auch erste Ansätze von Peer-to-Peer Botnets. Statt auf einen oder mehrere zentrale Server zurückzugreifen, versuchen die Bots untereinander ein Netzwerk zu knüpfen, welches gegen Ausfälle einzelner Knoten praktisch immun ist.


Sich selbst und auch die anderen schützen

Die Entwicklung der Bots und Botnets ist beeindruckend und beängstigend zugleich. Schon jetzt zeichnet sich eine harte Aufholjagd für die Verfolger und Anti-Viren-Hersteller ab. Aber über Erfolg oder Scheitern eines Botnet wird am Ende jeder einzelne Benutzer entscheiden. Denn wenn die Infektionen einzelner Systeme durch Bots eingeschränkt werden können, so verlieren die Botnets an Kraft und somit an Bedeutung.



Verschiedene technische Massnahmen stehen parat oder sind in Entwicklung, neue kommen fast wöchentlich dazu. Es liegt in der Hand der Nutzer – und ihrer Entscheidung – wie viel Sicherheit ihre Systeme benötigen. Nur treffen sie die Entscheidung wie bei Viren nicht nur für sich, sondern womöglich für das gesamte Internet.


Alles zu Bots und Botnets in Kürze

Bots sind kleine Programme, die gewisse Dienste im Internet übernehmen. Bots gibt es, seit es das Internet gibt, und nicht alle sind «böse». Gutartige Bots übernehmen zum Beispiel in Computerspielen die Steuerung der Figuren.



· Hat sich ein Bot erst einmal auf einem System (PC) installiert, schliesst es sich mit anderen «infizierten» Systemen zu einem Botnet zusammen.



· Botnets führen gemeinsam Befehle wie zum Beispiel Denial-of-Service-Attacken aus.


· Zur Kommunikation nutzen Bots meist Chat Channels (IRC – Internet Relay Chat) – über sie erhalten sie ihre Befehle.


· In letzter Zeit werden Botnets verstärkt auch für komplexere illegale Aufgaben genutzt, wie zum Beispiel das gezielte Ausspionieren von Passwörtern und Identitäten. Es gelang Bots sogar, automatisch Accounts zu erstellen, die durch in Bildern versteckten Text geschützt waren. Bislang konnten Maschinen den Textcode in den Bildern nicht entschlüsseln.


· Eines der grössten aufgedeckten Botnets war 2007 das «Storm»-Netz. Es hatte weit über eine Mil­lion aktive Bots und ist auch im 2008 noch äusserst aktiv.


· Um aktiv werden zu können, muss sich ein Bot unbemerkt vom User in dessen System einnisten. Die ersten Bots drangen meist nur über eine bekannte Schwachstelle in die PCs der Nutzer ein. Mittlerweile können sie auf ein ganzes Arsenal von möglichen Angriffen und Infektionswegen zurückgreifen.


Der Autor

Reto Baumann, IT Security Architect, Ethical Hacker,
IBM Schweiz AG




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER