Symantec eliminiert großen Teil von ZeroAccess

Die Experten von Symantec haben eine breite Bresche in die Phalanx von ZeroAccess geschlagen, indem sie ein Viertel der Teilnehmer des riesigen p2p-Botnetzes mittels Sinkholing isolierten (Austausch der Netzteilnehmer). Nach Einschätzungen des Unternehmens umfasste das ZeroAccess-Netz im vergangenen August circa 1,9 Millionen infizierte Rechner.

Die Vorbereitungen für diese Zerschlagungsaktion begannen bereits im Frühjahr. Ursprünglich war vorgesehen, dass auch Strafverfolgungsorgane an dieser Aktion teilnehmen, allerdings begannen die Botmaster Ende Juni Updates zu laden, die die Sicherheitslücke zum Sinkholing schlossen, und Symantec trieb die Abfang-Aktion daher eilig voran.

Wie die Praxis zeigt, verfügen р2р-Botnetze über eine längere Lebensdauer, da sie keine separaten Steuerungszentren haben, die einzeln blockiert werden können. Überdies werden in Botnetzen dieser Art meist maßgeschneiderte Datenübertragungsprotokolle und Verschlüsselung verwendet. Nachdem die Experten den inneren Mechanismus und die Schwächen ihres Zieles studiert hatten, begannen sie eine neue Peer-Liste mit gefälschten Einträgen und frischen Zeitangaben auf das Botnetz zu laden. Nach Einschätzungen von Symantec entfielen auf das Abfangen jedes Bots durchschnittlich fünf Minuten. Unter dem Strich konnten die „Abfänger“ 500.000 + aktive Botnetz-Teilnehmer umleiten oder vollständig isolieren.

Im Laufe der Operation wurde zudem die Hauptfunktionalität von ZeroAccess getestet. Dieser Schädling wird bekanntermaßen von Cyberkriminellen hauptsächlich zum Click-Jacking im Rahmen von PPC-Programmen (pay-per-click) eingesetzt sowie zur Installation von Bitcoin-Minern. Die getesteten Bots generierten pro Stunde um die 257 MB Traffic (6,1 GB in 24 h), und produzierten dabei etwas mehr als 40 gefälschte Klicks (etwa 1.000 pro Stunde). Nach Einschätzung der Experten kann das Jahreseinkommen der Botmaster für die Teilnahme an PPC-Partnerprogrammen bei einer solchen Produktivität bei mehreren Millionen Dollar liegen.

Der Diebstahl von Rechenkapazität zur Generierung von Bitcoins im Botnetz ZeroAccess könnte laut Berechnungen von Symantec 3,5 Millionen Kilowatt-Stunden betragen, die die Infektionsopfer bezahlen. Dieser Verbrauch ist möglich, wenn alle Bots einträchtig 24 Stunden am Tag Bitcoin-Mining betreiben. Nach Angaben der Experten ist so ein enges Profil von ZeroAccess kaum rentabel: Ungeachtet des kolossalen Energieverbrauchs bringt die Aktivität des Schädlings seinen Betreibern etwas mehr als 2.000 Dollar pro Tag.

Leider ist die teilweise Neutralisierung eines Botnetzes für deren Betreiber meist nur eine nervende Störung, wie spürbar auch immer sie sein mag. Trotzdem hoffen die Experten, dass ihr Schlag sich für ZeroAccess als tödlich erweisen wird. „Uns ist bekannt, dass die Ordnungshüter die Sache unter ihre Kontrolle gebracht haben.“, erklärt Vikram Thakur, Principal Security Response Manager bei Symantec. „Daher besteht die Hoffnung, dass sich die Botmaster nach einem solchen Schlag nicht wieder erholen.“

Laut Symantec stammen die Betreiber von ZeroAccess aus Osteuropa, möglicherweise aus Russland oder der Ukraine. 70-80% der zum Botnetz gehörenden Rechner sind infizierte PCs von Heimanwendern. Die Fachleute haben bereits Kontakt zu ausländischen Internet-Providern und CERTs aufgenommen, um die Desinfektion voranzutreiben.

Quelle: darkreading

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.