Mit Honeynets gegen Botnets
Artikel erschienen in Swiss IT Magazine 2005/07
Eine Million Zombie-PCs weltweit», titelte InfoWeek Online am 17. März dieses Jahres. Diese Zahl basiert auf einer Studie des German Honeynet Project, das im November 2004 mit der Sammlung von Daten über Botnets begonnen und nun einen ersten Zwischenbericht veröffentlicht hat.
Unter Zombie-PC versteht man einen gewöhnlichen Rechner, der durch einen Virus wie Sobig oder MyDoom infiziert wurde. Der Virus hinterlässt bei der Infektion ein Stück Software, das oft auch bei der Entfernung des eigentlichen Schadprogramms zurückbleibt. Diese «Bot» genannte Software sorgt dafür, dass sich der Rechner vom User unbemerkt in einen Chatroom (meist IRC) einloggt und dort auf Instruktionen wartet.
Typischerweise verfügt der digitale Unhold über zahlreiche solcher Zombie-PCs, die in sogenannten Botnetzen zusammengefasst sind. Meist besteht ein Botnetz aus einigen Hundert ferngelenkten Rechnern, mitunter steigen die Zahlen aber auch in weit höhere Sphären; das grösste von über hundert Botnetzen, die das Honeynet Project bisher untersucht hat, bestand aus nicht weniger als 50'000 Zombies.
Allerdings haben die Forscher festgestellt, dass der Trend eher dahin geht, dass eine Person mehrere kleinere Botnets kontrolliert. Dies hat für den Hacker den Vorteil, dass er seine Zombiearmeen über mehrere Server befehligen kann, was sie schwieriger zu entdecken macht.
Ob Riesennetz oder kleinere Einzelsammlungen – es versteht sich von selbst, dass die Botnets aus fremdkontrollierten Rechnern ihrem Besitzer eine gewaltige Macht verleihen: Schon 1000 zusammengeschlossene Bots mit einer durchschnittlichen Upstream-Bandbreite von 128 kbps können einen verheerenden Schaden anrichten. So werden die Netze etwa für DDoS-Attacken, den Spam-Versand und die Verteilung weiterer Bots genutzt, mitunter aber auch für Identitätsdiebstähle, Passwort-Sniffing und andere Formen der organisierten Cyberkriminalität.
Umso wichtiger ist es für Sicherheitsexperten herauszufinden, wie solche Netze aufgebaut sind, wie sie funktionieren und kommunizieren und was für Leute dahinterstehen.
Um diese und andere Fragen zu klären, installierten die Forscher vom German Honeynet Project drei ungepatchte, aber nur scheinbar ungeschützte Rechner mit Windows XP und 2000 bei T-Online, NetCologne und der technischen Hochschule Aachen. Diese Honeypots hatten die Aufgabe, die ständig aktiven Suchprogramme der Hacker, die im Internet nach ungeschützten Rechnern suchen, anzuziehen. Dabei zeigte sich, dass die meisten Angriffe immer noch über längst bekannte Sicherheitslöcher in NetBIOS und RPC ausgeführt werden, dass aber auch typische Bots wie «Agobot» oder «Phatbot» sich ständig weiterverbreiten.
Nachdem die Rechner des Honeynet Project auf diese Weise zu Zombies der Hacker gemacht wurden, verfolgten die Forscher die Kommunikation zwischen den Bots und ihren Herren. Mit diesen Informationen wiederum waren sie in der Lage, ihren eigenen Spionage-Bot «Drone» so zu programmieren, dass sie ihn in die Botnetze einschleusen konnten.
«Drone» empfängt wie die Originalbots die Befehle der Hacker, führt sie aber nicht aus. An der Verbreitung von Spam ist «Drone» ebensowenig beteiligt wie das Tool an DDoS-Attacken teilnimmt – und genau da ist das Programm verwundbar. So wurde «Drone» während der Untersuchungen von einigen Hackern entdeckt, weil es die Befehle nicht ausführte, worauf die Zugangsdaten zum IRC-Channel geändert wurden, so dass der Spion keine Infos mehr erhielt. Teils wurde nach Aussage der Forscher sogar mit DDoS-Attacken auf die Enttarnung reagiert.
Mit ihrer Untersuchung liefern die Forscher erstmals Zahlen zur Verbreitung von Botnetzen; bisherige Zahlen basierten meist auf Schätzungen. So überwachte das Honeypot Project innert vier Monate über 100 Zombienetzwerke, von denen rund 35 noch aktiv sind. Innerhalb dieser Netze konnten die Forscher 226'585 einzelne Zombies identifizieren, weil das aber nicht in jedem Netz gelang, rechnet man mit über einer Million gekaperter Rechner weltweit. Während der Untersuchung konnten die Forscher 226 DDoS-Attacken gegen 99 Ziele beobachten, allerdings nur auf wenige grössere Websites. Dennoch kommen sie zum Schluss, dass schon mittelgrosse Botnets fast jede Website oder Netzwerke niederringen können. Auch wenn dezentralisierte Provider wie Akamai dank Redundanz einen gewissen Schutz vor solchen Szenarien bieten, gehen die Forscher davon aus, dass grosse Zombiearmeen selbst diese Grossprovider und möglicherweise gar militärische und Regierungsinstitutionen lahmlegen könnten.
Nach Ansicht von Experten liefert das Projekt hervorragende Resultate, die auf andere Weise kaum zu erhalten wären. Die Informationen könnten etwa genutzt werden, um bessere Tools gegen die Ausbreitung von Botnetzen zu entwickeln, aber auch die Strafverfolgung von Eignern von Botnetzen würde so möglicherweise vorangebracht.
Derweil arbeitet das Honeynet Project an Phase 2: Mit dem neuen Tool «mwcollect2» soll die entdeckte Malware automatisch gesammelt und einer weitergehenden Analyse zugeführt werden. Geforscht wird auch an intelligenteren Honeypots, die sich aktiv in verschiedenen Netzwerken tummeln und so beispielsweise auch Einblick in Peer-to-Peer-Netzwerke bieten sollen.
Weitere nützliche Informationen finden sich unter www.honeynet.org/papers/bots.
Am Rande ihrer Untersuchungen haben die Forscher vom German Honeynet Project auch einiges über die hinter den Botnetzen stehenden Hacker herausgefunden. So versuchen derzeit offenbar einige, die Netze von Rivalen zu erobern, indem sie die Bots verändern, und andere haben das Ziel, ihre aufgebauten Zombienetze zu verkaufen. Und offensichtlich sind nicht alle Botnet-Besitzer gleichermassen technisch begabt. So wimmelt es dem Bericht zufolge in einschlägigen Foren von Fragen wie «How can I compile?» – was jedem talentierten Script-Kiddie ein breites Lächeln aufs Gesicht locken dürfte.