Kampf mit р2р-Botnetz – keine leichte Aufgabe

Experten für Netzsicherheit und Gesetzeshüter haben eine Reihe von Siegen über Botnetze mit zentralisierter Infrastruktur erringen können, solche also, die C&C-Server zur Kommunikation mit den Bots, zum Diebstahl von Anwenderdaten und dem Weitergeben von Befehlen verwenden. Ein peer-to-peer-Botnetz unschädlich zu machen, ist dagegen deutlich komplizierter, was nun auch durch neue Studienbelegt wird.

Eine Gruppe von Spezialisten des deutschen Instituts für Internetsicherheit, der amerikanischen Freien Universität und der amerikanischen Sicherheitsunternehmen Dell SecureWorks und Crowdstrike hat die Evolution von р2р-Botnetzen verfolgt und eine Einschätzung ihrer Überlebensfähigkeit abgegeben. Die Infrastruktur der ersten Generation dieser Botnetze, wie etwa Waledac und Storm, war nach Meinung der Forscher noch weit entfernt davon, perfekt zu sein und zudem reichlich angreifbar. Ihre Nachfolger, die beispielsweise auf Sality oder р2р-Modifikationen von ZeuS basierten, waren schon sehr viel widerstandsfähiger gegenüber dem Eindringen von Strohmännern ins Netz (sinkholing) sowie gegenüber fremdartigen Einschleusungen und anderen längst bekannten Methoden zum Abfangen der Kontrolle.

Einigen Botnetzen mit ausgereifterer p2p-Infrastruktur gelang es, verschiedene Versuche der Zerschlagung zu überstehen. Ein klares Beispiel für eine solche Langlebigkeit ist Kelihos, alias Hlux. Der gleichnamige Schädling ist – wie viele andere Bots auch – in erster Linie auf den Spamversand ausgerichtet, allerdings wurde er im Laufe seiner Evolution auch darauf spezialisiert, alles zu stehlen, was für Cyberkriminelle von Interesse sein könnte – von persönlichen Daten bis hin zu Bitcoin-Geldbörsen. Mit einem Versuch, „live“ eine der Versionen des Kelihos-Botnetzes zu neutralisieren, zog Tillmann Werner vor kurzem die Aufmerksamkeit aller Teilnehmer der RSA-Konferenz auf sich.

„Viele р2р-Botnetze sind gegenüber Zerschlagungsversuchen sehr viel widerstandsfähiger als Botnetze mit zentralisierter Steuerung, da sie keine Single Points of Failure haben.“, erklären die Experten in ihrem Bericht.

In Botnetzen mit p2p-Infrastruktur kommunizieren die Bots miteinander und nicht mit einem Steuerungsserver. Nicht selten wird in solchen Botnetzen ein individuelles Datenübertragungsprotokoll verwendet, wobei die Analyse dieses Traffics zunächst eine Entschlüsselung erforderlich macht. Nach Aussage der Experten waren die Versuche, die zahlenmäßige Stärke eines р2р-Botnetzes zu bestimmen, in den meisten Fällen nicht von Erfolg gekrönt. Zu Forschungszwecken entwickelten die Spezialisten ein Modell, das in der Lage ist, den Schutz vor der Analyse des Schadcodes, vor Sinkholing und Aufspaltung des Netzes in nutzlose Segmente zu durchbrechen.

Um die Ausmaße von Kontroll-Botnetzen festzustellen, haben die Forscher Suchroboter gestartet und spezielle Sensoren in die Netze eingeschleust. Es stellte sich heraus, dass manche dieser Botnetze über eine Million infizierte Rechner zählen. Trotzdem könnte es sein, dass diese Zahlen noch viel zu tief gegriffen sind: Die „Spinnen“ können nicht durch Proxyserver und Firewalls dringen.

Gemäß den Untersuchungsergebnissen sind Botnetze auf der Grundlage von Sality und р2р-Modifikationen von ZeuS am besten geschützt. Die Langlebigkeit von Sality wird durch das System zur Bewertung der Reputation der Peers gewährleistet – das von ZeuS durch die Schwarzen Listen der Sinkhole-Server. Andere Botnetze nutzen zu diesem Zweck Reserve-C&C-Kanäle, die Technologie der dynamischen Umregistrierung von IP-Adressen (fast flux) und DGA-Algorithmen. Letztere wenden die Botmaster von TDSS/TDL-4 und – seit kurzem – Pushdo an.

Durch Sinkholing am stärksten gefährdet ist Kelihos. Als Ersatz-Verbindungskanäle verwenden seine Bots fast-flux-Domains, wobei sich jede Bot-Version eine individuelle, streng vorgegebene Reserve-Domain erhält. Die Experten entdeckten, dass sie problemlos die Liste der Peers auf den Bots austauschen können, indem sie die Adresse des Sinkhole über das Botnetz verbreiten. „Da das auf Kelihos v3 basierende Botnetz ein р2р-Protokoll und eine Architektur verwendet, die bereits aus den Versionen 1 und 2 bekannt sind, sind groß angelegte Attacken des Typs Sinkholing nach wie vor zum Erfolg verdammt.“, erklären die Experten.

Das Reputationsschema von Sality hingegen hält das Botnetz nachhaltig über Wasser. Um ihre Mission erfolgreich zu erfüllen, müssen Sinkhole-Server sich in Botnetzen eine tadellose Reputation verschaffen. Sality hat keine Ersatz-C&C – zur Wiederherstellung verwendet es vorher geladene schädliche Dateien.

ZeroAccess aktualisiert fast sekündlich die Liste der Peers, vergleicht sie mit den vorherigen und speichert letztlich die 256 neusten Adressen. Um die Aktualität der Sinkhole-Adressen zu bewahren, müssen die Forscher das Botnetz förmlich mit ihren Versendungen überschwemmen. Wie auch Sality kann ZeroAccess seinen Status mit Hilfe vorher geladener Plug-Ins wiederherstellen.

„Man kann die Bots isolieren, indem man ihnen eine Peer-Liste mit falschen Einträgen und frischen Zeitangaben sendet. Zwei Varianten von ZeroAccess verwenden unterschiedliche Protokolle zum Austausch der Peer-Listen.“, erläutern die Experten. „Version 1 tauscht die Listen nur auf Anforderung aus. Um die Kontrolle über die Peers in einem solchen Botnetz abzufangen, ist der Versand einer gefälschten Liste vom Sinkhole bei jeder Anfrage erforderlich.“

Was die р2р-Variante von ZeuS angeht, so kann sie unschädlich gemacht werden, indem die Arbeitsknoten angegriffen werden, die keine direkte Verbindung zum Internet haben. Diese kann man mit modifizierten Peer-Listen füttern, in die vorher die IP-Adresse des Sinkhole geschrieben wurde.

„Obgleich unsere Untersuchung gezeigt hat, dass einige р2р-Botnetze über eine hohe Widerstandsfähigkeit verfügen, fanden wir doch zugleich heraus, dass alle realen p2p-Botnetze unschädlich gemacht werden können, indem man eine der in unserem Modell beschriebenen Methoden anwendet.“, heißt es in dem Bericht. „Trotzdem ist die Anwendung der bestehenden Techniken zum Abfangen neuer р2р-Botnetze keine leichte Aufgabe, die in erster Linie solide Kenntnisse des C&C-Protokolls erfordert, das in jedem Netz verwendet wird. Zudem macht ein Angriff auf ein Botnetz, das in sich Millionen von Peer vereint, bedeutende Ressourcen erforderlich, die unter Umständen über einen langen Zeitraum mobilisiert werden müssen. Wir sind davon überzeugt, dass es an der Zeit ist, nach alternativen Methoden zum Kampf gegen р2р-Botnetze zu suchen.“

Zum Schluss noch eine Zahl: Laut Statistik von Damballa ist die Gesamtzahl der Bots in allen p2p-Netzen innerhalb des letzten Jahres um das 5-Fache gestiegen. Die größte Population findet sich in Botnetzen auf der Grundlage von ZeroAccess.

Quelle: Christian Rossow

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.