1 Titel Inhaltsverzeichnis

Transcrição

Evil_Clouds:_Botnetzwerke
1 Titel
Name des Autors / der Autoren: Christoph Riese, Stefan Talkenberg, Rene Pauels
Titel der Arbeit:
Evil Clouds: Botnetzwerke
Hochschule und Studienort:
FOM Köln
Inhaltsverzeichnis
• 1 Titel
• 2 Abkürzungsverzeichnis
• 3 Abbildungsverzeichnis
• 4 Tabellenverzeichnis
• 5 Einführung
• 6 Grundlagen
♦ 6.1 Begriffsdefinition
◊ 6.1.1 Bot
◊ 6.1.2 Botnetzwerk
◊ 6.1.3 Cloud Computing
♦ 6.2 Grundlagen Cloud Computing
◊ 6.2.1 IaaS (Infrastructure as a Service)
◊ 6.2.2 PaaS (Platform as a Service)
◊ 6.2.3 SaaS (Software as a Service)
♦ 6.3 Klassifizierung von Schadsoftware
◊ 6.3.1 Klassifizierung nach Art der
Verbreitung
⋅ 6.3.1.1 Trojanische Pferde
⋅ 6.3.1.2 Computer-Viren
⋅ 6.3.1.3 Computer-Würmer
◊ 6.3.2 Klassifizierung nach Nutzteil der
Schadsoftware
⋅ 6.3.2.1 Backdoor
⋅ 6.3.2.2 Rootkits
⋅ 6.3.2.3 Botnetzwerke
♦ 6.4 Abgrenzung Cloud Computing zu Botnetzwerken
♦ 6.5 Intention für den Aufbau von Botnetzwerken
◊ 6.5.1 Nicht kommerzielle Gesichtspunkte
◊ 6.5.2 Kommerzielle Gesichtspunkte
◊ 6.5.3 Cyberwar
♦ 6.6 Historie von Botnetzwerken
♦ 6.7 Aktueller Stand 2008 zu Botnetzwerken und
Prognosen für 2009
• 7 Aufbau von Bots/ Botnetzwerken
♦ 7.1 Verbreitung von Botnetzwerken
◊ 7.1.1 Infektionsmethoden
◊ 7.1.2 Updatemechanismen
◊ 7.1.3 Schutzfunktionen
♦ 7.2 Kontrollstrukturen von Botnetzwerken
◊ 7.2.1 Zentral
1 Titel
1
◊ 7.2.2 Dezentral
♦ 7.3 Kommunikationsprotokolle von Botnetzwerken
◊ 7.3.1 IRC
◊ 7.3.2 Fast Flux
♦ 7.4 Nutzfunktionen von Botnetzwerken
◊ 7.4.1 Spam
◊ 7.4.2 DDoS
◊ 7.4.3 Klick-Betrug
◊ 7.4.4 Spionagefunkionen
• 8 Gegenmassnahmen gegen Botnetzwerke
♦ 8.1 Client
◊ 8.1.1 AV-Software
◊ 8.1.2 Personal Firewalls
◊ 8.1.3 Immunisierung
♦ 8.2 Unternehmensweite Gegenmassnahmen
◊ 8.2.1 Hardwarefirewalls
◊ 8.2.2 Intrusion Detection Systeme
◊ 8.2.3 Proxy Server
◊ 8.2.4 Schnittstellenkontrolle
◊ 8.2.5 Aktualität der Software
♦ 8.3 Ganzheitliche Gegenmassnahmen
◊ 8.3.1 Abriegelung von Steuerung
◊ 8.3.2 Übernahme der Kontrolle
◊ 8.3.3 Automatische Updates durch den
Betriebssytemhersteller
• 9 Fazit und Ausblick
• 10 Fußnoten
• 11 Literatur- und Quellenverzeichnis
2 Abkürzungsverzeichnis
Abkürzung
AV
DoS
DDoS
DNS
SaaS
EDV
HIPS
IaaS
IDS
IPS
IRC
PaaS
SaaS
Bedeutung
Antivirus
Denial of Service
Distributed Denial of Service
Domain Name Service
Software as a Service
Elektronische Datenverarbeitung
Host Intrusion Prevention System
Infrastructure as a Service
Intrusion Detection System
Intrusion Prevention System
Internet Relay Chat
Platform as a Service
Software as a Service
Inhaltsverzeichnis
2
TLD
TTL
Top Level Domain
Time to Live
3 Abbildungsverzeichnis
Abb.-Nr.
1
2
99
91
93
20
21
22
Abbildung
Volumen der Suchanfragen in [Google Trends] zu den Suchbegriffen "Cloud Computing" und
"Botnet"
Gartner Hype Cycle 2008
großangelegter DDoS-Angriff 2000
Botnet-Struktur für Spamversand
Zunahme von Klickbetrug
Christoph
Christoph
4 Tabellenverzeichnis
Tabelle
Nr.
1
2
Quelle
Damballa Inc. (2008), in http://www.gtiscsecuritysummit.com/pdf/CyberThreatsReport2009.pdf
Secure Works (2009), in
http://www.secureworks.com/research/threats/botnets2009/?threat=botnets2009
5 Einführung
Diese Fallstudie im Rahmen des Themenbereiches "Cloud Computing" behandelt als Thema "Evil Clouds:
Botnetzwerke" und verfolgt damit den Ansatz, dass Cloud Computing und Botnetzwerke signifikante
Gemeinsamkeiten aufweisen. Es wird gezeigt, dass bei beiden Technologien auf einen verteilten Pool von
kleineren Ressourcen zurückgegriffen wird, um ein übergeordnetes Problem zu bewältigen.
In dieser Arbeit wird ein Einblick in die Grundlagen des Cloud Computings ebenso wie Grundlagen von
Schadsoftware mit der Einordnung von Botnetzwerken gegeben. Nach der Darstellung wichtiger Botnetzwerke
der vergangenen Jahre und aktuelle Statistiken wird der Aufbau von Botnetzwerken detailierter beschrieben. In
Zuge dessen werden alle wichtigen Bestandteile und die dabei möglichen Variationen beschrieben. Danach
werden Gegenmassnahmen gegen Botnetzwerke für Einzelpersonen, Unternehmen und ganzheitliche Ansätze
gegen Botnetzwerke um dann abschliessend zu einem Fazit und einem Ausblick zu kommen.
6 Grundlagen
2 Abkürzungsverzeichnis
3
6.1 Begriffsdefinition
6.1.1 Bot
Der Begriff "Bot" ist von dem Wort "Roboter" (eng. "Robot") abgeleitet, was dem tschechischen Wort "robota"
für Arbeit entspringt. Darunter versteht man im technischen Bereich eine Vorrichtung, die ohne menschliche
Aktion gleichartige, wiederkehrende Tätigkeiten durchführt. Infizierte Computersysteme eines Botnetzwerks
werden Bots bzw. Zombies genannt.
6.1.2 Botnetzwerk
Unter einem Botnetzwerk (auch Bot Armee genannt) versteht man eine Gruppe von Computersystemen, die mit
einer Botnetzsoftware infiziert wurden und als Bots fungieren.
6.1.3 Cloud Computing
Wie man an der folgenden Google Trends Darstellung (Analyse der Popularität von Suchbegriffen zum Zeitpunkt
der Suchabfrage) sehen kann, wurde der Begriff Cloud Computing erst im 3. Quartal 2007 populär.
Abbildung 1: Volumen der Suchanfragen in [Google Trends] zu den Suchbegriffen "Cloud Computing" und
"Botnet"
Cloud Computing ist ein sehr junger, neu geprägter Begriff, der der eine Vielzahl von Assoziationen zulässt und
Ähnlichkeiten zu bisherigen Begrifflichkeiten wie Grid Computing aufweisst. Es gibt viele verschiedene
Definitionen von Gewerbetreibenden zum Cloud Computing, die sich zumeist nach dem jeweiligen Geschäft der
definierenden Firma ausrichten.[1]
6.1 Begriffsdefinition
4
Die Gartner Inc., eines der führenden Beratungs- und Marktforschungsunternehmen, definiert Cloud Computing
als eine Art von EDV, wo eine massiv skalierbare Anzahl von IT-Ressourcen als Service über
Internettechnologien für mehrere externe Kunden bereit gestellt wird[2]. Diese Definition wird für diese Arbeit
zugrunde gelegt.
6.2 Grundlagen Cloud Computing
In dem Gartner Hype Cycle von 2008 (Darstellung von Phasen bei der Einführung einer neuen Technologie[3])
wird Cloud Computing noch in der Anfangsphase dargestellt. Einem Hype Cycle liegt die Annahme bzw. die
Erfahrung zugrunde, dass neue Technologien nach ihrer Entdeckung vom Markt überbewertet und anschliessend
kurzzeitig fallen gelassen werden, bevor ein produktiver Markt entsteht.
Abbildung 2: Gartner Hype Cycle 2008
Dabei ist für Botnetzwerke nicht der Aufbau (privat, öffentlich) sondern vor allen die Arten von Diensten
interessant, die durch Cloud Computing bereit gestellt werden können:
6.1.3 Cloud Computing
5
Abbildung 3: Darstellung IaaS PaaS SaaS
6.2.1 IaaS (Infrastructure as a Service)
IaaS beinhaltet die Bereitstellung von physikalischen oder virtuellen Computer Ressourcen (wie Rechenleistung
oder Speicherplatz) bei denen auf die Ressource direkt zugegriffen werden kann[4].
Ein Botnetzwerk kann einem (zahlenden) Kundenkreis alle Ressourcen eines Computers zu Verfügung stellen,
wie z.B. per Filesharing einen sehr hohen Datendurchsatz zu illegalen Dateien wie Malware oder Kopien von
aktuellen Kinofilmen, wobei der stark erhöhte Datenverkehr und die Verwendung von Filesharingprotokollen
Gefahr der Entdeckung erhöht. Intern nutzen die Botnetze die Bots als Pishing- oder Malware-Server.
6.2.2 PaaS (Platform as a Service)
PaaS beschreibt eine Umgebung für die durch Entwickler spezielle Programme geschrieben werden können.
Üblicherweise akzeptiert der Entwickler einige Einschränkungen bezüglich der Art der Software, die geschrieben
werden kann, im Austausch für die eingebaute Skalierbarkeit bei der zentralen Bereitstellung seiner Software[4].
Botnetzwerke können zur Verbreitung von Schadsoftware auf die Bots gemietet werden, auch wenn der Ansatz
hier dezentral ist, wird trotzdem die Plattform als Service bereitgestellt.
6.2.3 SaaS (Software as a Service)
SaaS weisst auf Software für Spezialgebiete hin, die über das Internet bereitgestellt wird und direkt genutzt
werden kann[4]. Hierbei handelt es sich um fertige Software, die in der Cloud betrieben wird und im
programmierten Funktionsumfang genutzt werden kann.
Botnetzwerke bieten viele vorgefertigte Serviceleistungen an, die direkt als Leistung erworben werden können,
wie z.B. der Versand von massiven Mengen an SPAM-Emails oder DDoS-Attacken.
6.2 Grundlagen Cloud Computing
6
6.3 Klassifizierung von Schadsoftware
"Zur Schadsoftware (also Malicious Software, kurz Malware) zählen Würmer, Viren, Trojaner, Hacker-Tools und
andere Programme, die dem infizierten Computer und anderen Programmen in einem Netzwerk absichtlich
Schaden zufügen."[5] Da die Schadsoftwareprogrammierer i.d.R. keine saubere Versionierung betreiben, entstehen
Unmengen an ähnlichen, aber nicht gleichen Schadsoftwares, die alle gewisse Eigenheiten aufweisen.
Falls eine Schadsoftware erstellt wurde, die in einem unbeobachteten Augenblick manuell auf einem Computer
installiert z.B. das unbemerkte Aufzuschalten auf den Computer zu ermöglichen, so verfügt sie über einen
Nutzteil (Schadteil). Wenn diese Software selbstständig andere Computer in ihrem Umfeld infizieren kann und
sich somit selbstständig reproduzieren kann, weisst sie einen Softwareteil zur Verbreitung auf.
Es handelt sich bei den folgenden Beschreibungen um Kernkritien, die für die Gattung der Schadsoftware typisch
sind. I.d.R. finden sich häufig hybride Formen.
6.3.1 Klassifizierung nach Art der Verbreitung
Die nachfolgenden Schadsoftwarearten definieren sich primär aus der Art und Weise wie sie sich auf andere
Computer überträgt. Inbesondere der Verbreitungsteil der Schadsoftware wird immer wieder überarbeitet um
aktuellen Updates von Betriebssystem-, Email-, Browser- und Antivirusherstellern entgegenzuwirken.
6.3.1.1 Trojanische Pferde
Trojanische Pferde tarnen sich als nützliche Software/ Bilder/ Emails/ Webseiten um den Anwender zum Aufruf
der Datei zu animieren. Dabei enthalten sie neben der ursprünglich gewünschten Funktion der gestarteten
Software einen geheimen, dem Anwender nicht transparenten Teil. Der geheime Teil steht nur für die
Ausführungsdauer des Wirtsprogramms zur Verfügung, wenn der Trojaner keinen Softwareteil beinhaltet, der ihn
eine andere Form des Starts gestattet[6].
6.3.1.2 Computer-Viren
"We define a computer 'virus' as a program that can 'infect' other programs by modifying them to include a
possibly evolved copy of itself. With the infection property, a virus can spread throughout a computer system or
network using the authorizations of every user using it to infect their programs. Every program that gets infected
may also act as a virus and thus the infection grows."[7] Diese erste Definition eines Computervirus wurde 1985
von Fred Cohen getätigt und entspricht der heute geläufigen Definition eines Virus.
Computerviren verbreiten sich dadurch, dass sie sich in geeignete Wirtsdateien eines Computers hineinkopieren.
Dies geschieht nach Möglichkeit ohne den eigentlichen Programmablauf der Datei zu behindern, um der
Entdeckung zu entgehen. Dabei wird eine möglichst große Zahl von Wirtsdateien infiziert, da diese zur
Verbreitung auf die Weitergabe einer infizierten Wirtsdatei durch den Anwender angewiesen sind. Der Virus ist
auf seinen einmaligen ggf. auch wiederholten Aufruf durch den Anwender oder eine Betriebssystemfunktion
angewiesen[8].
6.3 Klassifizierung von Schadsoftware
7
6.3.1.3 Computer-Würmer
Computerwürmer verbreiten sich eigenständig indem sie Sicherheitslücken in Kommunikationsprotokollen
ausnutzen oder ihren Programmaufruf auf dem Clientsytem fehlergestützt herbeiführen. Dabei infizieren sie im
Gegensatz zum Computervirus keine einzelnen Wirtsprogramme sondern das System als solches[9].
6.3.2 Klassifizierung nach Nutzteil der Schadsoftware
Die nachfolgenden Schadsoftwarearten definieren sich primär durch den Nutzen, den sie dem Programmierer
bieten.
6.3.2.1 Backdoor
Backdoors ermöglichen den unerwünschten Zugriff auf Clients, indem diese so verändert werden, dass ein
permanenter Zugriff auf das System möglich ist[10].
6.3.2.2 Rootkits
Rootkits ermöglichen den unerwünschten Zugriff auf Clients durch eine Sammlung von Funktionen, indem diese
so verändert werden, dass durch die Verschleierung der Zugriffe und der dazu notwendigen Software ein
permanenter Zugriff auf das System möglich ist[11].
6.3.2.3 Botnetzwerke
Bei einem Botnetzwerk handelt es sich um eine Gruppe von Computersystemen, die so verändert wurden, dass
auf sie von zentraler Stelle als Einheit zusammengefasst und gesteuert werden können[12]. Die zentrale
Steuerungsstelle ist der eigentliche Schwachpunkt eines Botnetzwerks und wird durch starke
Sicherheitsmassnahmen wie Firewalls oder/ und hohe Mobilität geschützt, d.h. die Steuerungsstelle wechselt nach
einem vorgegebnen, aber geheimen Muster, so dass nur der Zugriff für authorisierte möglich ist.
Üblicherweise sind diese Systeme bzw. deren Nutzer nicht freiwillig Bestandteil dieser Gruppe wie beim Cloud
Computing, sondern die Syteme wurden infiziert und die Infektion ist für den Anwender nicht transparent.
Bei Botnetzwerken kommt erschwerend noch die Möglichkeit dazu, die bereits im Umlauf befindlichen Bots mit
Aktualisierungen zu versorgen, um diese mit neuen Funktionalitäten auszurüsten, ohne das die Hürde der
Neuinfektion erneut genommen werden muss.
6.4 Abgrenzung Cloud Computing zu Botnetzwerken
Da es sich bei Botnetzwerken um Schadsoftware handelt, haben diese andere Rahmenbedingungen als normale
Cloud Computing Clients. Da ihre Clientsoftware unerwünscht ist, muss diese aufwendig versteckt und geschützt
werden, wohingegen bei Cloud Computing Clientsoftware eher kommerzielle Gesichtspunkte wie Useability,
Performance und Wartbarkeit überwiegen. Obwohl bei Cloud Computing Clientsoftware auch Sicherheitsaspekte
zum Schutz der Cloud berücksichtigt werden, können Ansätze wie eine zentrale Steuerung aufgrund der Legalität
problemlos verfolgt werden.
6.3.1.3 Computer-Würmer
8
6.5 Intention für den Aufbau von Botnetzwerken
Die Gründe für die Programmierung einer Schadsoftware können vielfältig sein, dies geht von rein privaten
Interessen von Jugendlichen über kommerzielle Interessen bis hin zum Cyberwar.
Rechtliche Aspekte
In einer Vielzahl von Ländern, unter anderen in der Bundesrepublik Deutschland, ist die Beschaffung, Herstellung
und Verbreitung von Schadsoftware (§202c StGB) ebenso strafbar wie Veränderung von Daten (§303a StGB),
Computersabotage (§303b StGB) oder -betrug (§263a StGB).
6.5.1 Nicht kommerzielle Gesichtspunkte
Diese Gruppe von Schadsoftwareprogrammierern ist breit gefächert.
Es gibt Anfänger, die auf Starter-Kits und fertige Quelltexte angewiesen sind, die alle notwendigen Bestandteile
bereits mitbringen und nur noch kompiliert werden müssen. Da diese Starter-Kits und Quelltexte selbst eine
gewisse Zeit benötigen, bis sie publiziert worden sind, sind die enthaltenen Module nicht topaktuell. Diese
zumeist jugendlichen Personen werden vom Reiz des Verbotenen bzw. der Möglichkeit Anerkennung in der
Szene zu finden, angezogen. Sie werden zumeist als "Script Kiddies" bezeichnet.
Nur wenige dieser Anfänger sind potentiell gute Programmierer und beschäftigen sich dauerhaft mit dem Thema
weiter. Diese sind in der Lage mit Hilfe von Webseiten, die sich mit der Erstellung von Schadsoftware
beschäftigen oder auf Sicherheitslücken zum Zwecke der Beseitigung hinweisen, in der Komplexität steigende
Schadsoftware selbst zu programmieren. Da sie dabei aber immer noch im vollen Bewusstsein illegal und
zerstörerisch handeln werden sie als "Cracker" bezeichnet.
Im Gegensatz zu der Gruppe der "Hacker", die sich klar von der vorrangegangenen Gruppe durch eine eigen
auferlegte Ethik distanziert. Diese Gruppe legt Wert darauf, dass ihre Programme keinen direkten Schaden
anrichten[13]. Sie schreiben Schadsoftware nicht um der Schadsoftware willen, sondern um ihre Konzepte und
Ideen zu prüfen und das Potenzial dieser Schadsoftware zu erforschen[14].
6.5.2 Kommerzielle Gesichtspunkte
Schadsoftware, die zur persönlichen Bereicherung geschrieben wird, zählt zur gefährlichsten Art von
Schadsoftware [15], da die Einnahmen als direkter Anreiz und Belohnung wirken. Dabei ist prinzipiell alles von
Interesse, was auf Computern gespeichert wird und sich finanziell verwerten lässt oder wozu sich die Ressourcen
des Computers nutzen lassen. Dabei steht durch das standardisierte Ausspähen im Botnetzwerk von
Bankkontodaten, Micropayment-Systeme wie Paypal, Onlinespielkonten in der Masse ein sehr hoher potentieller
Wert zur unmittelbar Verfügung. Die mittelbare Nutzung kann Einnahmen durch den Versand von SPAM-Emails,
direkte Vermietung eines Teils des Botnetzwerks, Verteilung von Software auf den Clients wie Viren oder
Würmer, über Klickbetrug, bis hin zu DDoS-Attacken, erzielen.
Nachfolgend einige konkrete "Möglichkeiten", die sich so für den Betreiber des Botnetzwerks je Bot eröffnen:
• Missbrauch des Computers
♦ Interne Dienste im Botnetz wie Downloadserver
6.5 Intention für den Aufbau von Botnetzwerken
9
♦ Webserver für Pishing
♦ Spam Versender
♦ Angreifer in DDoS Attacken
♦ Klick-Betrug
♦ Zerstörung aller Daten bzw. deren Verschlüsselung mit Erpressungsabsicht (eng. Ransomware)
• Diebstahl von Daten
♦ Gespeicherten Email-Adressen von Freunden und Bekannten
♦ Email-Accounts
♦ Virtuelle Gütern wie MMORPG-Chars oder -Gegenständen
♦ Lizenzschlüssel (Installierte Software und Betriebssysteme via Registry)
♦ PayPal-Account
♦ eBay-Account
♦ populäre Accounts wie Facebook, Skype, Steam, o.ä.
♦ Bankzugang und TANs
♦ Kreditkarten und deren Sicherheitsmerkmale
6.5.3 Cyberwar
Der Begriff Cyberwar wurde erstmals im Jahr 1993 von den Wissenschaftlern John Arquilla und David Ronfeldt
in ihrer Studie "Cyberwar Is Coming! erwähnt"[16].
Cyberwar bezeichnet die Kriegsführung im Bereich der Informatik, wo anstelle von konventionellen Waffen alle
Arten von Schadsoftware zum Einsatz kommt um die verfolgten Ziele zu erreichen. Dies kann von der
Unterstützung von poltischen Idologien, Blockierung von Teilen des Internets bis hin zum physikalischen
Auswirkungen reichen, wenn wichtige Einrichtungen des täglichen Lebens wie Kraftwerke oder Verteilungsnetze
sabotiert werden. Dabei ist die Grenze zwischen zivilem Ungehorsam einzelner Bürger, stillschweigender
Duldung durch den Staat, Begünstigung durch den Staat bis hin zu Aufbau eigener aktiver militärischer Einheiten
fliessend und Verantwortliche nur schwer auszumachen, es sei denn, jemand übernimmt gezielt die
Verantwortung[17]
6.6 Historie von Botnetzwerken
Nachfolgend wird die Historie von Botnetzwerken aufgezeigt, in der Form: Jahr des ersten Auftritts, Name,
(Alias) und ein kurzer Einblick in nennenswerte Besonderheiten.
1999 Pretty Park Dies ist der erste Wurm, bei dem eine zentrale Steuerung über IRC entdeckt wurde[18]. Obwohl
er einige neue Techniken einführte, sein Quelltext aber nicht offengelegt wurde, wird eher SDBot als Urvater
heutiger Bots betrachtet[19].
1999 SubSeven Subseven ist ein einfacher per IRC fernsteuerbarer Trojaner[20].
2000 GT Bot Seine Scripte, die auf dem IRC-Client mIRC basieren, reagieren erstmals automatisiert mit
standardisierten IRC Nachrichten, die Kommunikation erfolgt per TCP/UDP[21].
2002 SDBot Der erste Bot, der komplett in C++ programmiert wurde und zu einer einzelnen kleinen Datei
kompiliert wurde. Der Quelltext wurde veröffentlicht[22].
6.5.2 Kommerzielle Gesichtspunkte
10
2002 AgoBot (Gaobot) Das erste Botnetz im modularen Design: Verbreitung, Verschleierung und Nutzteil[23].
2003 Spybot (Milkit) Ein Ableger von SDBot der viele Spionagefunktionen wie Browser Historie,
Email-Adressen und Browsereingaben enthält. Da der Quelltext offengelegt wurde, liegt Spybot ein sehr
modularer Aufbau und viele Variationen zugrunde[24].
2003 RBot RBot ist einfach modifizierbar, benutzt Installerfunktionen und kann einfache Passwörter
entschlüsseln[25] .
2004 PolyBot Ein Ableger vom Agobot, allerdings mit Polymorphfunktionen, d.h. die Datei strukturiert sich neu,
um einer Entdeckung durch eine Überprüfung ihrer Muster zu entgehen[26].
H2004 Phatbot Ein Nachfolger von Agobot. Er weisst eine Unmenge an Funktionen auf und läuft sogar unter
Unix. Um seine Entdeckung in Virenlaboren zu erschweren, verhält er sich in einer virtuellen Betriebsumgebung
wie VMWare vollkommen anders. Quelltext wurde veröffentlicht[27].
2004 Bobax Bobax ist eigentlich ein halbautomatisierter Trojaner, der Fähigkeit besitzt, sich durch ein zentrales
Kommando selbst zu verbreiten[28]. Er benutzt zwar Dynamic DNS Anbieter, aber unverschlüsseltes HTTP für die
Kommunikation[29].
2005 My Doom (Mytob) Ein grosses SPAM-Botnetz mit IRC Steuerung[30]. Ein Gesamtkopfgeld von 500.000$
wurde zur Ergreifung des Programmieres ausgesetzt.
2006 Kraken Grosses von Damballa entdecktes Botnetzwerk. Es wurde zu Beginn kontrovers diskutiert, ob es
sich wirklich um ein neues, eigenes Botnetz handelt oder um einen Ableger von Bobax[31]. Es benutzt genau wie
Bobax Dynamic DNS Anbieter, dazu aber im Gegensatz zu Bobax verschlüsselte Kommunikation zur
Verschleierung[29].
2007 Grum (Tedroo) Ein SPAM-Botnetz was sich unter anderem via Windows-Autorun-Funktion verbreitet und
SPAM für medizinische Präparate versendet[32].
2007 Srizbi Srizbi enthält viele Massnahmen zur Verschleierung, um einer Entdeckung zu entgehen. Außerdem
meldet der SPAM-Teil regelmässig zurück, welche Emailadressen im SPAM-Verteiler ungültig geworden
sind[33].
2007 Storm botnet (Storm Worm) Neu ist bei diesem SPAM Botnetz die Verwendung von
Peer-to-Peer-Technologie zur Ausübung der Kontrolle. Das Strom Botnetz ist in 2007 durch massive
Wachstumsraten aufgefallen, wodurch eines der grössten SPAM Botnetze entstanden ist. Anfang 2008 wurden
durch das Microsoft Windows Malicious Software Removal Tool (MSRT) 300.000 Storm Installationen in
unterschiedlichen Varianten entfernt[34]. Durch den Einsatz einer Technik namens Fast Flux ist es möglich, die
ursprünglichen Pishing- und Schadsoftware-Server hinter Unmengen an Bots zu verstecken, die als Proxysysteme
agieren.
2007 Pushdo/ Cutwail/ Wigon Pushdo ist ein Trojanisches Pferd, das Schadsoftware aller Art, unter anderen
dem Cutwail SPAM Trojaner nachladen kann. Dabei verfügt es über eine Ländererkennung auf Basis von IPs,
prüft auf virtuelle Betriebsumgebungen und meldet die installierten Antivirenprodukte an den Malware-Server, so
dass nach der Verteilung von Malware festgestellt werden kann, welches Produkt die Verteilung behindert hat.
Aufgrund der starken Ähnlichkeit zu Cutwail (SPAM Trojaner) und Wigon (Rootkit) wird vermutet, dass sie alle
von derselben Gruppe oder Person erstellt wurden[35].
6.6 Historie von Botnetzwerken
11
2007 Rustock (Costrat) Der Name Rustock.C verbreitete sich in 2006 als Mythos bzw. Witz eines
unentdeckbaren Rootkits unter Experten. Im Mai 2008 wurde ein Konstrukt aus Schadsoftware namens Rustock
gefunden, Analysen ergaben allerdings, daß kein Teil der Software vor 2007 erstellt worden ist[36].
Die meisten Rustock Varianten bestehen aus drei Komponenten, welche in einer Datei verpackt sind und
aufeinander aufbauen. Der erste Teil startet den Installationsteil als Treiber im Kernelmodus, dabei wird der
komprimierte Treiber in sich selbst entpackt um einer Entdeckung zu entgehen und anschliessend installiert[37].
2008 Conficker Conficker wird z.Z. in 5 Hauptvarianten A, B, C, D und E gegliedert. Eine Neuerung an
Conficker ist, daß die Version B sich über Windows Autostart Funktionen verbreiten kann[38]. 250.000$ wurden
von Microsoft zur Ergreifung ausgelobt[39].
2008 Torpig (Sinowal, Mebroot) Torpig wurde dadurch bekannt, dass es einem Forscherteam gelang für 10
Tage die Kontrolle zu übernehmen[40], und dabei 8.310 Bankdaten sammelte[41].
2008 Xarvester Ein Botnetz was Ähnlichkeiten zu Srizbi aufweist und vermutlich von derselben Gruppe erstellt
wurde[42].
2008 Mega-D (Ozdok) Mega-D ist ein bekanntes Botnetz was hauptsächlich SPAM für medizinische Präparate
versendet. Es verbreitet sich bevorzugt in Asien, da dort eine gute Versorgung mit Breitbandanbindungen und ein
schlechter Virenschutz besteht. Außerdem werden Facebook Nutzer mit falschen Einladungen attackiert, indem
über einen Flash Player Update ein Trojanisches Pferd installiert wird[43].
2008 Waledac Waledac ist eine Neuauflage vom Storm SPAM Botnetz mit der Verbesserung, dass die
Kommunikation auf HTTP basiert, um eine Entdeckung zu erschweren. Außerdem wurde die Verschlüsselung in
ein zweistufiges Verfahren (AES Handshake, 1024bit RSA Verbindung) geändert, so dass diese Verbindung bis
heute nicht zu entschlüsseln ist[44].
2008 Donbot (Buzus) Bis April 2009 ein relativ kleines Botnetz, was aber zur Zeit durch die Ausnutzung von
neuen Sicherheitlücken versucht zu wachsen[45].
2009 Bootkit Bootkit ist ein Nachfolger von Sinowal und ist in der Lage den Bootblock eines Computers zu
infizieren, so dass dieser noch vor dem Betriebssystem gestartet wird. Außerdem werden Techniken eingesetzt,
die unter der genauen Kenntnis der Funktionsweise von Schutzsoftware, diese umgehen, indem z.B. aus dem
Datum DNS-Adressen zum Download der Schadsoftware generiert werden, so dass eine Sperrung auf Basis einer
Liste nicht mehr möglich ist[46].
6.7 Aktueller Stand 2008 zu Botnetzwerken und Prognosen für 2009
Folgende Tabelle zeigt, dass die Anzahl an unterschiedlichen infizierten Dateien, die durch Botnetzwerke
verbreitet werden, sehr hoch ist.[47] Die Botnetze sind nach Bezeichnungen von Damballa zu Gruppen sortiert.
Tabelle 1: Damballa: Botnetzwerke wachsen weiter und verändern sich
Botnetz Armee Name
(Damballa)
RAT-SZ-1
Anzahl an unterschiedlichen
infizierten Dateien
10,493
Typische Anzahl infizierter
Systeme pro Firmennetz
155
6.7 Aktueller Stand 2008 zu Botnetzwerken und Prognosen für 2009
Durchschnitt an
unterschiedlichen
infizierten Dateien
pro Firmennetz
67.7
12
Sality-1
IRC-VR-1
IRC-SD-1
Poebot-1
RAT-DL-1
Metcash-1
IRC-SD-2
RAT-SM-1
Kraken
886
804
541
369
212
194
139
54
48
18
75
11
2
14
47
21
4
301
49.2
10.7
40.2
184.5
15.1
4.1
6.6
13.5
0.2
Folgende Tabelle von Secure Works gibt einen Überblick über die zur Zeit aktiven Botnetzwerke, Anzahl der
Bots, ihre Alias-Namen und Zugriffsmöglichkeiten. Obwohl es sich um zwei aktuelle Tabellen von namenhaften
Herstellern von Security-Lösungen handelt, fällt auf, dass vollkommen unterschiedliche Bot-Netzwerke im Fokus
sind, bzw. ganz andere Bezeichner verwendet werden. Während Damballa nach "Familien" wie IRC-Bots
gruppiert, benutzt Secure Works den populärsten Namen und weisst weitere Aliase aus.
Tabelle 2: Botnetwerke auf die man in 2009 achten sollte
Name
Cutwail
Ungefähre Anzahl
an Bots
175,000
Rustock 130,000
Donbot
125,000
Alias Namen
Pandex, Mutant (Wigon,
Pushdo)
RKRustok, Costrat,
Meredrop
Bachsoy
Ozdok
120,000
Xarvester 60,000
Grum
50,000
Mega-D
Rlsloup, RUcrzy
Tedroo
Gheg
50,000
Tofsee
Cimbot
10,000
Waledac 10,000
Waled
Rootkit
vorhanden
Zugriff über
HTTP mit Verschlüsselung, div.
TCP Ports
HTTP mit Verschlüsselung, TCP
Port 80
Eigenes Protokoll auf hohem TCP
Port
verschlüsselt, TCP Port 443
hohe HTTP Ports
HTTP auf TCP Port 80
Verschlüsselt, TCP Ports 443 und
533
Encrypted, TCP ports 80 und 443
AES und RSA-encrypted,
encapsulated in HTTP
Ja
Ja
Nein
Nein
Ja
Ja
Nein
Nein
Nein
7 Aufbau von Bots/ Botnetzwerken
7.1 Verbreitung von Botnetzwerken
7.1.1 Infektionsmethoden
Die Infektionsmethoden von Client PCs mit Schadsoftware, die sich anschließend zu Botnetzwerken
zusammenschließen, unterscheiden sich nicht wesentlich von denen herkömmlicher in 6.3 bereits genannter
Schadsoftware. Die Verbreitung als Dateianhang über Email rückte in den letzten Jahren verstärkt in den
7 Aufbau von Bots/ Botnetzwerken
13
Hintergrund. Maßgeblich dafür verantwortlich sind Emailgateways in Unternehmen und bei Internet Service
Providern, die schädliche Dateianhänge mithilfe von AV Scannern erkennen und herausfiltern können. Auch ein
gesteigertes Sicherheitsbewusstsein der Anwender und die Berichterstattung in den Medien führten dazu, dass
Anhänge von unbekannten Absendern nicht mehr ohne nachzudenken geöffnet wurden und die Verbreitung der
Schadsoftware verlangsamte.
Die selbstständige Verbreitung von Würmern über bekannte Sicherheitslücken des Betriebssystems trat an diese
Stelle und hielt diese Position für eine längere Zeit. Würmer suchten sich selbstständig ungepatchte Systeme und
infizierten diese ohne Interaktion mit dem Anwender. Der erste weltweit bekannt gewordene Fall, der diese
Methode im Sommer 2003 nutze, war ein Wurm namens Blaster. Dieser nutzte eine bereits seit längerem
bekannte Sicherheitslücke im RPC Netzwerkdienst der Betriebssysteme Windows NT/2000/XP und infizierte in
kürzester Zeit Millionen von Computersystemen. Ein entsprechender Patch, der die massenhafte Infektion
verhindert hätte, war bereits seit mehreren Monaten verfügbar. Es folgten diverse Schädlinge die ähnliche
Sicherheitslücken zur massenhaften Verbreitung nutzten. Dieser Trend nahm mit der zunehmenden Verbreitung
von Personal Firewall Software auf den Client PCs ab, weil diese bestimmte Netzwerkdienste nicht mehr aus dem
Internet erreichbar machten.
Die derzeitige Hauptverbreitungsmethode sind sog. Drive-by-Downloads, bei der Sicherheitslücken von
Browsern zur Infektion genutzt werden. Hier genügt der Aufruf einer Webseite mit einem verwundbaren Browser
zur Kompromittierung des Systems. Mithilfe von aktiven Webinhalte wie Java Script oder ActiveX wird
unwissentlich Code auf den Client PCs ausgeführt, um Schadsoftware zu installieren. Vermehrt wurde
beobachtet, dass seriöse Webinhalte gehackt wurden, um stark frequentierte Webseiten zur Verbreitung zu
nutzen.
7.1.2 Updatemechanismen
Nach der erfolgreichen Infektion des Clients durch ein dafür spezialisiertes Programm werden die eigentlichen
Nutzfunktionen nachgeladen. Dazu kann der Bot entweder auf festgelegte Webeseiten oder FTP-Server zugreifen,
oder aber er öffnet selbst einen simplen TFTP -Server, sodaß er Dateien vom C & C ?Server empfangen kann.
Neuere, auf P2P-Protokollen basierende Botnetzwerke können auch von benachbarten, infizierten Rechnern
Updates erhalten.
Als Update kommt im Prinzip jeden Programm in Frage, welches eine der Nutzfunktionen des Bots implementiert
(Passwortsniffer, Keylogger, DDoS-Module, Spam-Proxies).
7.1.3 Schutzfunktionen
Neben den üblichen Schutzfunktionen, die gemeinhin alle Schadprogramm nutzen, um sich vor
Antivirenprogramme o.ä. zu schützen, achten Bots vor allem darauf, sich möglichst unauffällig zu Verhalten. Der
Benutzer des Zombie-PC soll die Infektion nicht bemerken und in seiner regulären Arbeit nicht beeinträchtigt
werden. Daher laufen die zum Bot gehörenden Prozesses meist auf Idle-Priorität, zudem überwachen Bots auch
den Speicher und die Netzwerkauslastung. Meist findet nach der Infektion auch eine Überprüfung der
Leistungsfähigkeit des neu infizierten Hosts statt, damit diesem solche Aufgaben zugewiesen werden können, die
der verfügbaren Kapazität entsprechen.
7.1.1 Infektionsmethoden
14
7.2 Kontrollstrukturen von Botnetzwerken
7.2.1 Zentral
Die Steuerung eines Botnetzwerkes ist ebenso wichtig wie schwierig: Ohne eine stabile Kontrolle ist der
wirtschaftliche Nutzen des Botnetzwerks begrenzt, was aber gerade den Unterschied zu einem sich unkontrolliert
verbreitenden Schädling ausmacht. Der Betreiber des Botnetzes muss jederzeit Befehle an die angeschlossenen
Clients absetzen können, um Kundenaufträge wie Spamversand oder DDoS-Angriffe durchzuführen.
Es gibt hier Läsungsansätze aus dem Cloud-Computing, welche aber ein Problem nicht berücksichtigen: der
Betreiber des Botnetzes (der Botherder oder Botmaster) handelt illegal, sollte der Command & Control-Server
(kurz C&C Server) gegen entdeckt werden, so kann das Ausschalten oder ein Angriff auf diesen den Verlut der
Kontrolle über das Botnetzwerk bedeuten. Ein einzelner Command & Control - Server also einen
Single-Point-of-Failure und damit die Archillesferse eines Botnetzes dar.
[48]
Abbildung 93:
Auch mehrere C & C - Server können diese Problematik nur geringfüfgig verbessern, da dies prinzipiell eine
hierachische Struktur mit wenigen, festgelegten Knoten sind. Diese sind zum einen angreifbar und zum anderen
nicht erstetzbar. Ein Ausfall legt das Botnetzwerk lahm oder entzieht es der Kontrolle des Botmasters.
7.2.2 Dezentral
Dezentralisierte Steuerungsansätze sind komplexer in der Implementation, haben jedoch den Vorteil, dass diese
nicht an zentralen Punkten angreifbar sind. Es werden dabei Methoden und Erfahrungen von Peer to Peer ?
Systemen (P2P) genutzt, welche ebenfalls auf zentrale Server verzichten. (Als Ausnahme ist hier Napster zu
nennen, weshalb auch zentral Abgeschlatet werden konnte). Die Kommunikation innerhalb eines dezantralisierten
7.2 Kontrollstrukturen von Botnetzwerken
15
Netzwerkes läuft zwischen ?benachbarten? Clients, das bedeutet ein Zombie scannt selbständig den
Adressbereich seines ISPs ab und findet dabei weiter infizierte Rechner, mit denen er sich austaucht. Eventuell
wird hierbei ein initiale Liste als Seed von einem Server zur Verfügung gestellt oder ist hardcoded im Client. Dies
ist aber nicht zwingend notwendig, da ein P2P-Netzwerk grundsätzlich ohne zentrale Steuerung funktioniert und
sich beim Ausfall einzelner Knoten selbständig rekonfiguriert.
Abbildung 95:
7.3 Kommunikationsprotokolle von Botnetzwerken
7.3.1 IRC
Bots und Botnetze haben sich historisch aus Programmen entwickelt, welche im IRC Services anboten und
administrative Aufgaben übernahmen. Daher ist bedienen sich viele Botnetze noch heute eines IRC-Servers als
Medium zur Steuerung. Nach erfolgreicher Infektion eines Computers loggt sich der Bot auf einem festgelegten
IRC-Server ein und tritt einem ebenfalls festgelegten Kanal bei. Dieser entspricht einem regulären Chatraum,
wird jedoch durch ein vorher festgelegtes Passwort geschützt und dient alleine der Kommunikation der des
Botmasters oder Botherders (so wird die mit der Steuerung des Botnetzes beschäftigte Person genannt) mit den
aktiven Bots. Jeder Bot registriert dabei einen Namen, der einem bestimmten Muster entspricht (z.B.
AGX-123245, wobei die Zahl zufällig vergeben wird).
Befehle können dann zum einen allgemein über das aktuelle Topic des Chatkanals gegeben werden (z.B. Scannen
von Adressbereichen und Infektion von nach weiteren Opfern) oder auch durch direktes Ansprechen von
einzelnen Bots. Das IRC-Protokoll ist relativ simpel und es existiert eine Vielzahl von OpenSource-Clients,
welche modifizert und an die Bedürfnisse der Botnetz-Betreiber angepasst werden können. Dabei werden
typsicherweise alle unnötigen Features entfernt, welche unnötigen Netzwerkverkehr verursachen und so zu
Aufdeckung beitragen oder den IRC-Server belasten könnten.
7.2.2 Dezentral
16
Dennoch hat dieser Ansatz mehrere Probleme: Vor allem in Unternehmensnetzwerken sind die Ports für die
IRC-Kommunikation häufig gesperrt und der Bot damit von der Kommandostruktur abgeschnitten. Traffic auf
diesen Ports fällt auch eher auf als über Prost, welche standardmässig genutzt werden (z.b. Port 80 für HHTP).
Zudem ist ein IRC-Server eine zetrale Struktur und damit leichter verwundbar als dezentrale
Steuerungsstrukturen.
7.3.2 Fast Flux
Eine neue und relativ aufwändige Technik zum Schutz von zentralen Rechnern sowie generell der
Kommunikation innerhalb eines Bot-Netzwerks stellen sogenannte Fast Flux- Netzwerke da. Diese kombinieren
Lastverteilung, Proxies sowie verteilte Server zu einem flexiblen Geflecht, welches schwierig auszuschalten ist
und eine Rückverfolgung zu den Quellrechnern verhindert.
Es wird der Round Robin DNS - Mechanismus zur Lastverteilung benutzt, um eingehende Anfragen auf eine
große Menge von ständig wechselnden IP-Adressen zu verteilen. Das Domain Name System DNS ist für die
Namensauflösung von Hostnamen wie bot.example.com zu den entsprechenden IP-Adressen zuständig. Es ist
dabei prinzipiell möglich, für einen Domainnamen mehrere IP-Adressen zu hinterlegen, was regelmäßig von
seriösen Serverbetreibern aus Gründen der Lastverteilung und Ausfallsicherheit praktiziert wird. [49]
Bei Fast-Flux-Netzwerken unterliegt diese Liste von aktiven IP-Adressen jedoch einer starken Fluktuation, die
mit einer Domain assoziierten IP-Adressen wechseln dabei teilweise im Minutentakt. Dies wird durch eine kurze
TTL-Angabe (TimeToLive) erreicht. Eine Abfrage auf die entsprechende Domain example.com gibt 3 Minuten
später bereits eine andere Liste von IP-Adressen zurück, da für die meisten Einträge die TTL überschritten wurde
und sie durch neue ersetzt wurden. [50]
Abbildung 95: Vergleich zwischen normaler DNS-Auflösung und FastFlux
Die dabei zurückgelieferten IP-Adressen gehören dabei aber ? anders als bei gewöhnlicher DNS-Lastverteilung ?
nicht dem eigentlichen Server,sondern vielmehr selbst um Zombie-Rechner des Fast-Flux-Netzwerks. Diese
speziell nach Gesichtspunkten wie Bandbreite und Beständigkeit der IP-Adresse selektierten Zombies agieren als
7.3.1 IRC
17
Proxy und leiten die Anfrage dann an den eigentlichen Server (im Zusammenhang mit Fast-Flux spricht man von
einem Mothership) weiter, welcher nach aussen hin unsichtbar belibt. [51]
Würde der solches Mothership, auf dem z.B. eine Phishing-Seite oder Templates für Spam-Mails gehostet
werden, regulär über einen DNS-Eintrag referenziert, so ergeben sich für den Betreiber zweierlei Probleme:
Sperren des DNS-Eintrages
Zum einen kann der DNS-Eintrag abgeschaltet werden und der Server ist damit nicht mehr erreichbar. Diese
Problem haben prinzipiell allerdings auch FastFlux-Netzwerke, zudem benötigen diese einen kooperativen
DNS-Anbieter, der häufige Updates der entsprechenden DNS-Einträge akzeptiert und einen zu vermutenden
Missbrauch ignoriert.
Hierfür gibt es spezialisierte Anbieter, die so genannte "bulletproof" - Server in Ländern wie China, Südkorea und
Brasilien betreiben und bei bei denen E-Mails mit Beschwerden über Missbrauch im digitalen Mülleimer landen.
Hier kann man völlig anonym eine .com oder .net-Domain registrieren lassen, für die der Anbieter unverblümt
verspricht, dass sie "nicht durch E-Mail-Beschwerden stillgelegt wird". [52]
Rückverfolgen und Abschalten des Servers
Problematischer ist vielmehr, dass bei fest mit der Domain ?example.com? verbunden Servern eine
Rückverfolgung sehr einfach ist. Der Standort des Moterhships ässt sich anhand der IP verfolgen, der Server vom
Netz nehmen und eventuell können durch Beschlagnahme sogar Rückschlüsse auf den Betreiber gezogen werden.
In jedem Fall jedoch ist die Infrastruktur des Netzes geschädigt und der Betrieb empfindlich gestört.
Hier spielt das Fast Flux-Verfahren seine Stärken aus: jeder durch einen DNS-Eintrag für "example.com"
referenzierte Rechner ist kein wirklicher Server, sondern ein Zombie, der die Anfragen lediglich weiterleitet. Eine
Rückverfolgung hat wenig Sinn, da der Besitzer höchstwahrscheinlich nichts vom Missbrauch des Rechners weiß.
Zudem wird dieser Rechner schon nach wenigen Minuten durch einen anderen ersetzt, weshalb auch eine
Abschaltung dieses Proxies wenig sinnvoll ist.
Double Flux Bei dem bis hierhin beschrieben Verfahren handelt es sich um das ?Single Flux?-Prinzip. Eine
erweiterte Variante des Systems durch die Architekten von Botnezwerken wird als ?Double Flux? bezeichnet.
Dabei wird das Domain Name System selbst als weitere Schicht einbezogen, um eine noch höhere
Ausfallsicherheit zu erreichen. Bei einem Double-Flux-Netzwerk sind verweist nicht der DNS-Eintrag der
Domain example.com auf einen der als Proxy in das Botnetz fungierenden Zombie Rechner. Vielmehr ist bereits
der Nameserver, welcher diese DNS-Auflösung vornimmt selbst ein Zombie-Rechner, welcher eine aktuelle Liste
von aktiven IP-Adressen direkt vom Moterhship bezieht.
Dazu bedarf es allerdings der Kooperation eine DNS-Provirder der TLD, also der Institution, welche bei allen
Anfrage zu ?.com? den zuständigen Nameserver liefert. Während diese bei einem Single-Flux Netz für
example.com den ?bulletproof?-Nameserver zurückliefern würde, welcher dann wiederum die die aktuelle Liste
mit IP-Adressen bereithält, liefert dieser im Fall eines Double-Flux-Netzes direkt einen Zombie aus dem Botnetz
als Nameserver für example.com zurück.
7.3.2 Fast Flux
18
Abbildung 93:
7.4 Nutzfunktionen von Botnetzwerken
Ein Botnetzwerk besteht aus einem Verbund von einzelnen, durch ein Schadprogramm infizierten Rechnern, den
Zombies. Diese Schadprogramme haben oft vielfältig Funktionen, wobei aber nicht alle spzifisch für Botnetze
sind. Im Folgenden wird hauptsächlich auf Funktionen eingegangen, für die ein solcher Rechnerverbund nötig ist.
Funktionen, welche ganz generell von anderen Schadprogrammen wie Würmern und Trojaner genutzt werden,
soll hier nur kurz beschrieben werden.
7.4.1 Spam
Als Spam werden unerwünschte, in der Regel auf elektronischem Weg übertragene Nachrichten bezeichnet, die
dem Empfänger unverlangt zugestellt werden. [53]
Dabei zählen nicht-kommerzielle Mails oder Werbe-Mails von Unternehmen, mit denen der Empfänger bereits in
geschäftlichem Kontakt steht oder gestanden hat, rein rechtlich gesehen nicht zu Spam-Mails. [54] und können
daher rechtlich unbedenklich über reguläre eMail-Dienste abgewickelt werden.
Unverlangt zugesandte Mails mit gewerblichem Hintergrund jedoch sind in vielen Ländern illegal. In
Deutschland ist z.B. nach dem BGH- Urteil vom 11. März 2004 (AZ: I ZR 81/01) [55] zum alten Gesetz gegen den
unlauteren Wettbewerb (UWG) eine Zusendung von unerwünschten Werbe-E-Mails nach den gleichen
Grundsätzen sitten- und damit wettbewerbswidrig, die schon auf die Werbung per Telex, Telefax und Telefon
angenommen wurden. Sowohl der Versender der Mails an sich als auch der Auftraggeber handeln also
rechtswidrig und müssen daher entsprechende Maßnahmen gegen Entdeckung treffen. [56].
Der Versand von illegalem Spam als kostenpflichtige Dienstleistung ist ein äußerst lukratives Geschäftsfeld, nach
Einschätzungen von Kaspersky Lab verdient ein durchschnittlicher Spammer zwischen 50.000 und 100.000
US-Dollar im Jahr.<ref="Kaspersky
Studie">http://www.kaspersky.com/de/downloads/pdf/vkamluk_botnetsbusiness_0508_de_pdf.pdf</ref> Jeremy
7.4 Nutzfunktionen von Botnetzwerken
19
Jaynes, einer der weltweiten Top-Spammer, gab gegenüber Behörden sogar einen Verdienst von 750,000
US-Dollar im Monat an. [57]
Botnetze weisen wiederum einige technische Merkmale auf, welche diese für den Spam-Versand besonders
geeignet machen und somit mit eine der wirtschaftlich wichtigsten Nutzfuntkionen darstellen. Derzeit gelangen
über schätzungsweise mehr als 80 Prozent aller Spam-Mails über Zombie-Computer eines Botnets in Umlauf.
<ref="Kaspersky
Studie">http://www.kaspersky.com/de/downloads/pdf/vkamluk_botnetsbusiness_0508_de_pdf.pdf</ref>
Die Nutzung eines Botnets zum Versand von Spam hat aus Sicht der Versender: - Verbesserter Durchsatz durch
Parallelisierung - Schutz vor Rückverfolgung und/oder Blacklisting - Sammeln verifizierter Mailadressen
Verbesserter Durchsatz Botnetze als eine spezielle Form des Cloud Computing sind gut für parallelisierbare
Aufgabe geeignet, wozu auch der Versand von Spam-Mails gehört. Der Versand von einer Email ist weder
besonders rechenintensiv, noch wird eine große Bandbreite des einzelnen Clients benötigt. Wichtiger ist vielmehr
die Menge an Mails, die innerhalb eines bestimmten Zeitfensters verschickt werden können, da so die
Wirksamkeit von typischen Abwehrstrategien gegen Spam wie ?Schwarze Listen? (RBL) beeinträchtigt werden
kann.
Problematisch bei diesem Verfahren ist die zeitliche Verzögerung zwischen dem Beginn des Spam-Versandes und
dem Zeitpunkt, an dem die IP-Adresse des Spammers bei einer RBL aufgenommen ist. Innerhalb dieses
Zeitfensters muss der Spammer möglichst viele Mails zustellen, da diese danach automatisch gefiltert werden.
Ein Spammer mit einer Kapazität von 2. Mio. Spams am Tag bringt es auf ca. 83.000 Spam-Mails pro Stunde.
Wenn das Quellsystem nach 4 Stunden auf einer RBL gelistet wird, dann wurden bereits mehr als 300.000
SPAMs verschickt. Mithilfe eines Botnets kann ein Spammer jedoch mühelos bis zu 10 Millionen Spams
(performance-zahlen?) am Tag versenden, was einem stündlichen Durchsatz von 415.000 Nachrichten entspricht.
Bevor dieser also in derselben Blacklist auftaucht, hat er in derselben 4-stündigen Periode 1,66 Millionen
Spam-Mails versendet. [58]
Schutz vor Rückverfolgung und Blacklisting Ein einzelner Server bei einem einem regulären ISP ist
zurückverfolgbar und es somit besteht für den Spammer das Risiko, rechtlich belangt zu werden. Es gibt zwar
Hosting-Unternehmen, die unter Ausnutzung von Internationalen Strukturen ?Bullet-Proof? Hosting anbieten,
also auf entsprechende Anfragen und Beschwerden nicht reagieren und auch nicht mit Behörden kooperieren,
jedoch sind diese rechtsfreien Rückzugsräume selten (Rouge Provider?). Eine durch ein Botnetz versandte
Spam-Mail zurückzuverfolgen ist jedoch sinnlos, da zum einen die Mails von vielen unterschiedlichen Rechnern
innerhalb des Netzes stammen und diese auch mit dem Spammer in keinerlei Verbindung stehen. Botnetze bieten
den Spammern also Anonymität und Schutz vor Rückverfolgung.
Ein einzelner, fixer Server zum Spam-Versand hat einen weiteren Nachteil: er ist relativ einfach durch das (bereits
beschriebene?) Blacklisting auszuschalten. Nach kurzer Zeit ist die IP-Adresse des Servers auf allen wichtigen
RBLs eingetragen und dieser Server damit für den Spamversand unbrauchbar. Botnetze verfügen jedoch über
viele tausend Zombie-Rechner, die zum Spamversand genutzt werden können. Ein Blacklisting dieser Rechner ist
nicht effektiv, da sich diese bei Bedarf einfach ausgetauscht werden, ausserdem bekommen private Rechner aus
technischen Gründen meist regelmäßig neue IP-Adressen von ihrem Provider zugewiesen.
Ausgeklügelte Systeme zum Spam-Versand wie z.B. der ?Spam Thru?-Trojaner teilen die Arbeit auf: es gibt
Template-Server, Mail-Proxies und die regulären Zombies. Die Template-Server stellen die benötigten
Materialien wie Bilder, Texte Layouts für die Spam-Mails bereit, aus welchen die regulären Zombie-Rechner
Spam-Mails erstellen und an vom C & C ? Center zugewiesene Adressen schicken. Dies tun sie jedoch nicht
7.4.1 Spam
20
direkt, sondern über sogenannte eMail-Proxies. Dies sind Zombies, die über eine schnelle Internetanbindung
verfügen und nur für die Verteilung der Spam-Mail zuständig sind, die von den Clients erstellt und eingelifert
wird. Somit werden auch nur diese handvoll Proxies später auf einer Blacklist auftauchen, was durch eine
regelmäßig Abfrage der RBL durch das C & C Center kontrolliert werden kann. Sobald diese Rechner gelistet
und damit unbrauchbar sind erfolgt ein Austausch und der Versand kann weitergehen. Die Rate der per RBL
gelisteten und damit unbrauchbaren Zombies wird so deutlich verringert.
Abbildung 91: Botnet-Struktur für Spamversand
Sammeln verifizierter Mailadressen Die in Botnet-Clients enthaltenen Spionagefunktionen können dafür
genutzt werden, um weitere Adressaten für die Werbung aus den Adressbüchern der installierten Mailclients
herauszufiltern. Diese eMail-Adressen sind mit hoher Wahrscheinlichkeit gültig und damit wertvoller als aus dem
Internet mit sog. Harvestern zusammengesammelte Mailadressen. Zudem kann der Bot dabei als Absender den
Besitzer des infizierten Rechners eintragen und so die Wahrscheinlichkeit erhöhen, dass die Mail vom Empfänger
geöffnet wird.
7.4.2 DDoS
Als DoS-Angriff (Denial of Service, zu Deutsch etwa: Dienstverweigerung) bezeichnet man einen Angriff auf
einen Server oder sonstigen Rechner in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste
arbeitsunfähig zu machen. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so
spricht man von DDoS (Distributed Denial of Service). [59]
Um einen Denial-of-Service-Angriff auf ein IT-System durchzuführen gibt es 2 prinzipielle Methoden:
Zum einen kann eine vorhandene Schwachstelle im Betriebssystem des Angriffszieles ausgenutzt werden, um das
System zum Absturz zu bringen. Beispiele sind Angriffe wie z.B. Teardrop, welche mit speziellen, falschen
Datenpaketen den Netzwerk-Stack des Ziels angreifen. Um einen solchen DoS-Angriff durchzuführen muss es
7.4.2 DDoS
21
sich um ein verwundbares, noch nicht gepatchtes System handeln. [60] Eine leistungsfähige Infrastruktur ist dazu
nicht nötig, Grundlage des Angriffs bildet die Qualität der Daten, nicht die Quantität.
Zum anderen kann ein DoS - Angriff durch Überlastung der Kapazitäten des Ziels (Netzwerkelemente,
Bandbreite, CPU) durchgeführt werden. Dies können Verbindungsanforderungen (SYN-Flood), Ping-Anfragen
(ICMP Echo Request) oder auch ganze reguläre HTTP-Anfragen sein. Ziel ist es, dass durch die schiere Menge
der Anfragen entweder Netzwerkelemente oder aber der Ziel-Server selbst überlastet werden und dieser damit
nicht mehr oder zumindest nur noch sehr eingeschränkt erreichbar ist. [61] Bei dieser Form der DoS-Attacke
entscheidet die Quantität der Anfragen darüber, wie wirkungsvoll selbige ist.
Abbildung 99: großangelegter DDoS-Angriff 2000
Eine Erweiterung dieses Konzepts stellt der DDoS (Distributed DoS) dar, bei dem viele verschiedene Rechner
gleichzeitig ein einziges Ziel anzugreifen. Im Jahr 2000 wurde diese Technik erstmals im großen Stil angewandt,
Opfer wurden unter anderem Yahoo, Amazon und eBay. [62]
Da Botnets über eine große Zahl unterschiedlicher, fernsteuerbarer Computer verfügen, sind sie für diese Art von
Angriffen ideal. Die Bots bekommen die Angriffsparameter (z.B. Zielhost, Angriffsmethode) vom C & C Center
zugeteilt und beginnen zu einem vorbestimmten Zeitpunkt gemeinsam mit dem Angriff. Gegenmaßnahmen sind
je nach genauner Angriffsstrategie nur begrenzt möglich. [63]
Die Motivation für DDoS-Attacken sind vielfältig. Zum einen sind natürlich kommerzielle Interessen zu nennen,
denn Botnetzwerke werden nicht nur gegen Bezahlung für Spam zur Verfügung gestellt, sondern es werden auch
DDoS-Angriffe gegen Bezahlung durchgeführt. Dabei geht es den Auftraggebern oftmals darum, Konkurrenten
auszuschalten oder zumindest zu schädigen. Für Unternehmen, die hauptsächlich auf den Online-Vertrieb
angewiesen sind, kann ein Ausfall oder eine Nicht-Erreichbarkeit der Webseite oder des eMail-Dienstes
empfindliche finanzielle Folgen haben. Unter Umständen trennen sich auch die Provider von ihren Kunden. Diese
sind zwar eigentlich die Opfer einer Attacke, aber je nach Art des Angriffs kann auch die Infrastruktur des
Providers beeinträchtigt werden, welches auch ein Risiko für diesen darstellt. [64]
Neben bezahlten Angriffen werden DDoS-Attacken auch benutzt, um den Spam-Versand zu vereinfachen. Dazu
werden Server von Blacklists (RBL) angegriffen, welche darauf hin den angeschlossenen eMail-Providern keine
Daten mehr zu neu bekannt gewordenen Spam-Quellen liefern können.
7.4.2 DDoS
22
Nicht zuletzt werden DDoS-Angriffe auch innerhalb der Szene benutzt, um Strukturen von konkurrierenden
CyberCrime-Gruppen zu stören und so z.B. fremde Netzwerke zu übernehmen.
7.4.3 Klick-Betrug
Im Online-Marketing werden Modelle zur leistungsabhängigen Bezahlung genutzt, wobei heute überwiegend
(Zahlen/Statistiken?) die Klicks auf Werbebanner oder Anzeigen bezahlt werden (Pay-Per-Click), statt das reine
Anzeigen derselben (Ad Impression). Dabei sind sowohl die Provision des Webseiten-Betreibers, auf dessen Seite
die Werbung zu sehen ist, also auch die Kosten, die dem Auftraggeber der Werbung entstehen, abhängig davon,
wie oft ein Werbebanner angeklickt wird.
Eines der erfolgreichsten Modelle ist das sogenanne sogenannte Keyword Advertising mit Sponsored Links,
käufliche Links am Rand und über den Suchergebnissen. Diese ermöglichen es, Kunden genau dann Produkte
anbieten zu können, wenn sie danach suchen. 2006 sind die Umsätze nach Berechnungen des Bundesverbandes
Digitale Wirtschaft (BVDW) in Deutschland um 80 Prozent auf 710 Millionen Euro gestiegen ? viel schneller als
im übrigen Online-Werbemarkt. Die Bedeutung dieses Instruments lässt sich auch daran ablesen, dass 2005
Online-Werbung 98 Prozent zu Googles Gesamtumsatz in Höhe von 6,14 Milliarden Dollar beigetargen hat.
http://www.wiwo.de/technik/betrueger-entdecken-online-werbung-als-neue-spielwiese-157210/
Diese Geschäftsmodelle werden durch so genannten Klickbetrug gefährdet. Hierbei klicken nicht echte, an der
Firma oder dem Produkt interessierte Internetnutzer, sondern bezahlte Agenten, automatisierte Scripte oder eigens
dafür entwickelte Programme auf die Werbelinks.
Dabei lassen sich 2 Zielsetzungen unterscheiden:
Eigene Bereicherung Webseitenbetreiber, die Sponsored Links auf ihren Seite einbinden, erhalten dafür Geld:
jeder über Ihre Seite vermittelte Kunde wird mit einem festgelegten Betrag vergütet. Je öfter also auf die
Werbelinks der Seite geklickt wird, desto höher der Gewinn des Betreibers. Dieser kann jedoch versuchen, über
Manipulation eine höhere Anzahl von Klicks zu erreichen und somit seinen Gewinn zu steigern.
Schädigung von Wettbewerbern Die Provision, welche ein Webseitenbetreiber für Klicks auf bei ihm platzierte
Banner erhält, wird von dem Auftraggeber der Werbung gezahlt. Jeder Klick auf den Werbelink, welcher nicht zu
einem Auftrag führt, ist somit ein finanzieller Verlust für den Auftraggeber. Künstlich durch Software oder
menschliche Agenten generierte Klicks kosten den Werbenden also Geld, ohne das hier ein Return zu erwarten
ist. Das kann auch dazu führen, dass das eingeplante Budget für eine solche Marketingmaßnahme frühzeitig
aufgebraucht wird und keine Werbung mehr geschaltet wird.
http://www.golem.de/0607/46741.html
Der Klickbetrug ist ein erstes Problem und breitet sich aus, laut einer Untersuchung des US-Werbeberaters Click
Forensics stammten im zweiten Quartal 2006 bereits 14,1 Prozent der Klicks auf amerikanische Online-Anzeigen
von Scheininteressenten, in den drei Monaten zuvor waren es lediglich 13,7 Prozent.
http://www.wiwo.de/technik/betrueger-entdecken-online-werbung-als-neue-spielwiese-157210/
Der Trend ist ungebrochen, im Laufe des Jahres 2008 gab es zwar zunächst einen leichten Abwärtstrend, im
letzten Quartal ging es jedoch wieder steil nach oben. Jeder sechste Mausklick (etwa 16 Prozent) auf ein
Werbebanner ging zwischen Januar und September 2008 auf betrügerische Aktivitäten zurück, im vierten Quartal
stieg der Wert auf über 17 Prozent.
7.4.3 Klick-Betrug
23
Natürlich versuchen sich Anbieter dieser Werbeformen gegen Klickbetrug zu wehren, mit begrenztem Erfolg.
Klicks, die immer wieder vom selben Rechner aus durchgeführt werden, lassen sich schnell entlarven, egal ob die
Klicks von einer Person oder von einem Programm auf diesem Rechner stammen. Bei Botnetzen ist es jedoch
praktisch kaum möglich, betrügerische Klicks zu identifizieren, da es sich um eine heterogene Menge an
vornehmlich privaten Zombie-Rechnern handelt. Die Botnetz-Betreiber vermieten Netzwerke mit entsprechende
Funktionalität (z.B. mit Clickbot.A ).
http://www.absatzwirtschaft.de/content/_pv/_p/1003198/_t/ft/_b/57958/default.aspx/index.html
Der Anteil von Botnetzen an den betrügersichen Klicks wächst ständig, nach Angaben von ClickForensics waren
es Ende 2007 noch 22 Prozent aller betrügerischen Mausklicks, die aus Botnets stammten. Inzwischen sind es
bereits mehr als 31 Prozent. http://www.tecchannel.de/sicherheit/news/1783923/klickbetrug_mit_botnets/
Abbildung 93: Zunahme von Klickbetrug
7.4.4 Spionagefunkionen
Bots können von dem durch sie infizierten Zombie-Rechner aus auf lokale Ressourcen zugreifen und dies zu
Spionagezwecken nutzen. Dabei kann es sich zum einen um unmittelbare Ressourcen des Rechners (wie z.B. die
Tastatur oder das Dateisystem) handeln, zum anderen aber auch um lokale Netzwerke (Wirelss LAN oder LAN)
im Privathaushalt oder Büro handeln.
Die Bots bedienen sich dabei Techniken, welche nicht spezifisch für Botnetze sind. Es gibt jeweils spezialisierte
Programme, welche sich wie Bots auch über Schwachstellen im Betriebssystem oder per Trojaner verbreiten.
Diese allerdings sind auf eine bestimmte Funktion spezialisiert, wie z.B. das Aufzeichnen von Tastatureingaben
zur Ermittlung von Kreditkarteninformationen (Keylogger) oder das Mitschneiden von Klartext-Passwörtern im
lokalen Netzwerkverkehr (Netzwerk-Sniffer).
Während diese Programme also das Ausspähen von Daten als Hauptzweck haben, sind Bots weitaus flexibler und
können diese Funktionen erst bei Bedarf nachladen und auf Befehl aktivieren.
Eine besondere Rolle kommt in diesem Zusammenhang jedoch den Netzwerk-Sniffern zu: im Falle einer
Mehrfach-Infektion des Zombie-Rechners kann so der Netzwerkverkehr des anderen Botnetzwerks zu
7.4.4 Spionagefunkionen
24
Analysezwecken abgehört werden und um eine eventuelle Übernahme desselben vorzubereiten. [65]
8 Gegenmassnahmen gegen Botnetzwerke
8.1 Client
8.1.1 AV-Software
Aktuelle AV Schutzprogramme bieten vielseitigen Schutz für Client PCs und sind oftmals in der Lage eine
Infektion zu verhindern oder eine bereits vorliegende Infektion rückgängig zu machen. Grundsätzlich arbeiten AV
Schutzprogramme dabei in zwei unterschiedlichen Erkennungs-Modi.
Der Echtzeitscanner (engl. on-access scanner) arbeitet als Dienst im Hintergrund des Betriebssystems und
überprüft den Arbeitsspeicher, gestartete Programme und alle Lese- und Schreibzugriffe auf Dateien auf
Datenträgern des PCs. Die Erkennung erfolgt dabei mithilfe eines Vergleichs von Bytemustern oder
Codesequenzen mit einer Signaturdatenbank, die Muster aller bekannten Schadprogramme enthält.
Übereinstimmungen werden als Infektion gewertet und Gegenmaßnahmen wie z. B. die Reparatur oder die
Löschung der entsprechenden Datei können eingeleitet werden. Sollte sich das Virus z. B. an den Anfang oder das
Ende der Datei gesetzt haben, gelingt es den meisten Herstellern die Datei zu säubern und die ursprüngliche
Funktionalität wiederherzustellen. Sobald Bereiche der Datei massiv verändert oder Teilbereiche durch Viruscode
ersetzt wurden, kann die Datei nur noch in einen speziell gesicherten Quarantänebereich verschoben oder gelöscht
werden.
Der Scan auf Befehl (engl. on-demand scanner) überprüft die gewünschten Systembereiche erst auf Anordnung
des Anwenders. Er dient als Ergänzung zum Echtzeitscanner, um inaktive Schädlinge auf Datenträgern zu
entdecken, die vom Echtzeitscanner nicht entdeckt wurden. Dies kann auftreten, wenn für den Schädling zum
Zeitpunkt des Kopiervorgangs auf die Datenträger des Client PCs noch keine entsprechenden Signaturen
vorhanden waren. Die Aktualität der Signaturdatenbank ist für die Qualität des AV Schutzprogramms von
essenzieller Bedeutung. Ein ausreichender Schutz vor Schädlingen ist nur dann gewährleistet, wenn die
Datenbanken in regelmäßigen Abständen aktualisiert werden. Hersteller von AV Software entdecken derzeit in
ihren Laboren ca. 25000 bis 35000 Schädlinge pro Tag[66].
8 Gegenmassnahmen gegen Botnetzwerke
25
Abbildung 20:
Von der ersten Entdeckung bis zur entsprechenden Signatur vergehen mindestens einige Stunden, in den meisten
Fällen allerdings einige Tage bis zu einer Woche. Zusätzlich zu den signaturbasierten, reaktiven
Erkennungsmechanismen arbeiten die meisten Schutzprogramme auch mit proaktiven Erkennungsmethoden wie
der Heuristik oder dem sog. Sandboxverfahren. Die heuristische Erkennung überprüft dabei den Code des Objekts
auf strukturelle Merkmale, signifikante Befehlsabfolgen und virustypische Verhaltensmuster[67]. Sobald eine
definierte Anzahl an ?verdächtigen? Befehlen erkannt wurde, wird die Datei als potenziell infiziert
gekennzeichnet und der Anwender darüber informiert. Diese Technik löst oftmals Fehlalarme (False Positives)
aus und dient daher nur als Ergänzung zur signaturbasierten Erkennung, um das Delta bis zum Erscheinen von
entsprechenden Signaturen zu überbrücken. Eine Reparatur von infizierten Dateien stellt sich bei der
heuristischen Erkennung ebenfalls als schwierig dar, da nur die verdächtigen Befehlsfolgen erkannt werden und
der eigentliche angerichtete Schaden des Schädlings nicht bestimmt werden kann.
Beim Sandboxverfahren werden potenziell gefährliche Programme in einer gekapselten, virtuellen Umgebung
ausgeführt, um das Verhalten des Programms zu analysieren. In dieser speziellen Umgebung stehen dem
potenziellen Schädling nur emulierte Systemressourcen zur Verfügung und er kann keinen Schaden an
Anwenderdaten oder Betriebssystem anrichten[68]. Der Datenaustausch zwischen Betriebssystem und Programm
kann so kontrolliert und ausgewertet werden. Diese Technik wird derzeit von wenigen AV Schutzprogrammen
angewandt, da sie sehr viele Systemressourcen benötigt.
8.1.2 Personal Firewalls
Eine Personal Firewall oder auch Desktop Firewall (engl. Übersetzung Brandschutzmauer) ist eine Software, die
auf Client PCs installiert wird. Hauptaufgabe der Personal Firewall ist die Filterung von ein- und ausgehendem
Netzwerkverkehr auf dem Client PC selbst. Nahezu jeder Hersteller arbeitet dabei nach dem Prinzip, dass jeder
nicht explizit erlaubter Datenverkehr grundsätzlich verworfen wird. Das Herzstück einer Personal Firewall stellt
der Paketfilter dar, der den Datenverkehr mithilfe eines vorher definierten Regelwerks prüft und ggf. zulässt oder
verhindert. Filterkriterien können dabei Quell- und Zieladresse, Quell- und Zielport und das verwendete Protokoll
8.1.1 AV-Software
26
sein. Ziel des Paketfilters ist es, das Clientsystem vor Angriffen aus unsicheren Netzen wie z. B. dem Internet zu
schützen. Anfragen aus dem Internet auf Netzwerkdienste des Client PCs können verworfen werden, da diese zur
Ausnutzung von Exploits und anschließender Kompromittierung des Systems mit Schadsoftware verwendet
werden können. Angriffe durch Würmer oder Hacker sollen damit erschwert werden[69]. Unterstützend kann dabei
der sog. Stealth-Modus sein, der einem Angreifer keine Informationen über geöffnete Netzwerkports liefert und
alle Anfragen, die der Paketfilter nicht zulässt, kommentarlos verwirft. Ein entsprechend konfigurierter Client PC
antwortet nicht auf Ping Anfragen und will damit seine Existenz verschleiern. Damit kann zwar kein Angriff oder
ein Scan nach geöffneten Ports verhindert werden, allerdings werden in der Praxis weniger Clients gescannt oder
angegriffen, die auf solche Anfragen nicht antworten. Durch Ausbleiben der ?Destination unreachable? Nachricht
des Providers können Angreifer die Existenz des Client PCs trotzdem erkennen.
Abbildung 21:
Eine weitere Aufgabe von Personal Firewalls ist die Kontrolle der Kommunikation einzelner Anwendungen.
Beispielsweise kann der HTTP Datenverkehr ausschließlich dem verwendeten Browser gestattet und sonstigen
Applikationen verweigert werden. Mit dieser Funktion soll die Kommunikation von Schadsoftware mit dem
Internet verhindert und der Client PC vor der unbewussten Teilnahme an einem Botnetzwerk bewahrt werden.
Der Versand von Emails durch eine Schadsoftware mit einer eigenen SMTP Routine kann verhindert werden,
während die Emailkommunikation des lokal installierten Email-Clients davon nicht beeinflusst wird. Durch diese
Technik wird auch verhindert, das unbewusst persönliche Daten wie z. B. Zugangsdaten zu Online-Banken oder
Passwörter an Empfänger im Internet gesendet werden können.
Eine zusätzliche Funktion von Personal Firewalls, die in Produkten der meisten Hersteller implementiert ist, ist
das sog. hostbasierte Intrusion Prevention System (HIPS). Mit dieser Technik soll z. B. verhindert werden, dass
Schadsoftware die Filtermechanismen von Personal Firewalls umgeht. Professionell programmierte
Schadsoftware kann unter Umständen in der Lage sein, den Dienst der installierten Personal Firewall zu beenden
und damit die Filterung des Netzwerkverkehrs zu deaktivieren. Weiter kann sich Schadsoftware bei der
versuchten Kommunikation mit dem Botnetzwerk als legitimes Programm wie z. B. einem installierten Browser
tarnen und so eine indirekte Kommunikation herstellen. Die Veränderung einer erlaubten Applikation oder eines
Teilbereichs wie z. B. einer Programmbibliothek durch Schadsoftware ist ebenfalls möglich. Ergänzend dazu
verfügt das HIPS über eine Datenbank mit bekannten Angriffsmustern auf Applikationen, um die Kontrolle über
den Client PC zu erlangen. Das HIPS der Personal Firewall warnt den Anwender bei Auftreten eines
entsprechenden Angriffs und ermöglicht die Aktivierung von Gegenmaßnahmen wie z. B. das Beenden der
8.1.2 Personal Firewalls
27
Applikation.
8.1.3 Immunisierung
Schliessen von bekannten Lücken durch (Name vergessen), PSI usw sorgt für aktuelle Software
8.2 Unternehmensweite Gegenmassnahmen
8.2.1 Hardwarefirewalls
Grundsätzlich kann eine Netzwerkfirewall als ein organisatorisches und technisches Konzept zur Trennung von
Netzen oder Netzbereichen verstanden werden. Die meisten Unternehmen setzen eine dedizierte Hardwarefirewall
ein, um das lokale Netzwerk vor dem potenziell unsicheren Internet zu trennen[70]. Denkbar ist allerdings auch die
Trennung von Netzbereichen innerhalb des Unternehmens, um z. B. das Servernetz vom Clientnetz zu trennen.
Die Grundfunktion jeder Firewall ist die Filterung von Datenverkehr anhand von Quell- und Zieladresse, Quellund Zielport, sowie dem verwendeten Netzwerkprotokoll. Mithilfe eines festgelegten Regelwerks überwacht die
Firewall den Datenverkehr und entscheidet, ob ein Datenpaket hindurch gelassen wird oder nicht. Diese Technik
nennt man Paketfilter und damit sollen unberechtigte Zugriffe verhindert werden. Neben dem
vertrauenswürdigen, internen LAN und dem Internet gibt es in den meisten Unternehmensnetzwerken eine sog.
Demilitarisierte Zone (DMZ). In diesem gesonderten Bereich des Netzwerks können z. B. die
unternehmenseigenen Webserver stehen, auf die Clients aus dem unsicheren Internet zugreifen können. Der
Zugriff aus der DMZ in das Unternehmensnetzwerk ist dabei streng limitiert.
Abbildung 22:
Eine Erweiterung des Paketfilters ist die Stateful Packet Inspection, im deutschen Sprachraum auch als
zustandsbasierter Paketfilter bekannt. Bei dieser Technik wird jede initiierte Verbindung in eine Statustabelle
eingetragen. Dies befähigt die Firewall einen Zusammenhang zwischen den Paketen herzustellen und auf die
dazugehörige Sitzung zu schließen. Sollte das Zielsystem also Daten senden, die der Client nicht angefordert hat,
8.1.3 Immunisierung
28
kann die Firewall den Datenverkehr auch bei bestehender Verbindung blockieren[71].
8.2.2 Intrusion Detection Systeme
Die Wirksamkeit von Unternehmensfirewalls kann mithilfe eines Intrusion Detection Systems (IDS) gesteigert
werden. Ein IDS hat die Aufgabe Angriffe auf ein Computersystem oder ein Computernetzwerk zu erkennen und
den Einbruchsversuch zu melden. In der Literatur existiert zusätzlich der Begriff Intrusion Prevention System
(IPS), der die Funktionalität eines IDS um reaktionäre Funktionalitäten erweitert. Nachfolgend werden die beiden
Begrifflichkeiten unter dem Begriff IDS zusammengefasst.
Abbildung 23:
Ein IDS kann eine eigenständige Hardwarelösung sein, die an strategischen Punkten im Unternehmensnetzwerk
platziert wird und sämtlichen Datenverkehr analysiert. In der Praxis übernehmen vermehrt Hardwarefirewalls
zusätzlich diese Aufgabe. Die meisten IDS erkennen Angriffe anhand von bekannten Angriffsmustern. Der
Datenverkehr wird analysiert und mit einer Datenbank von verfügbaren Angriffssignaturen verglichen. Die
Angriffsmuster können z. B. bekannte Zeichenketten im Datenverkehr (?pattern matching?) oder auch
komplexere Verhaltensmuster wie mehrere fehlerhafte Anmeldeversuche in einem definierten Zeitraum sein[72].
Signaturen der Kommunikationsprotokolle von bekannten Botnetzen sind in vielen IDS implementiert und
können die Kommunikation der Schadsoftware in vielen Fällen unterbinden. Nachteilig bei dieser Methode ist,
dass die Angriffsmuster oder entsprechende Variationen bereits bekannt sein müssen, um zuverlässig erkannt
werden zu können. Außerdem benötigt die signaturbasierte Erkennung ein hochperformantes System.
Eine weitere Technik von IDS ist die Anomalierkennung. In Form einer Protokollanalyse wird der Datenverkehr
mit vordefinierten Protokollspezifikationen verglichen und die Datenverbindung kann bei Abweichung
unterbunden werden. Basierend auf statistischen Daten und der Abweichung des aktuellen Systemverhaltens von
vorher definierten Kennzahlen des normalen Systemumfelds kann ein IDS potenzielle Angriffe erkennen. Eine
automatische Einleitung von Gegenmaßnahmen findet zum derzeitigen Zeitpunkt in der Praxis nahezu nicht statt,
da die Anomalierkennung fehleranfälliger als die signaturbasierte Erkennung ist. Sie dient lediglich dazu
Hinweise über versuchte Angriffe zu liefern und setzt eine manuelle Nachbearbeitung der gemeldeten Ereignisse
voraus[73].
Die Überlastung von Computersystemen mit DDoS Angriffen lässt sich mit IDS eindämmen, aber nicht
vollständig verhindern ohne die Funktionalität der betroffenen Ressource einzuschränken. Es können
Schwellenwerte wie z. B. die maximale Paketanzahl pro anfordernder IP Adresse oder die Anzahl der
gleichzeitigen Verbindungen festgelegt werden. Sobald der Schwellenwert überschritten wird, können
8.2.1 Hardwarefirewalls
29
Datenpakete von bestimmten Quelladressen verworfen oder die Bandbreite eingeschränkt werden. Da DDoS
Angriffe über Botnetze aus vielen unterschiedlichen IP Bereichen stattfinden, stellt sich die automatische Abwehr
als schwierig dar. Oftmals hilft hier nur das manuelle Eingreifen, um legitime Anfragen von Angriffen zu
unterscheiden.
8.2.3 Proxy Server
Weiteren Schutz des Unternehmensnetzwerks vor Bedrohungen aus dem Internet bieten Proxy-Server. Der
Begriff Proxy stammt aus dem Englischen und bedeutet übersetzt ?Stellvertreter?. Hauptaufgabe eines Proxy ist
es, Anfragen von Client PCs entgegenzunehmen, diese an den eigentlichen Adressaten im Internet weiterzuleiten
und die Antwort dem anfragenden Client PC zur Verfügung zu stellen. Weit verbreitet sind HTTP-Proxies, die
Client PCs Webinhalte indirekt zur Verfügung stellen, ohne den Paketfilter der Netzwerkfirewall für ausgehenden
HTTP-Datenverkehr für alle Teilnehmer des Unternehmensnetzwerks freigeben zu müssen. Viele Botnetzwerke
kommunizieren via HTTP, da dieser Dienst aus vielen Netzwerken heraus freigegeben ist. Durch Einsatz eines
HTTP-Proxy und fehlender Paketfilterregel, kann die Kommunikation mit dem Botnetzwerk unterbunden werden.
Es wird zusätzliche Sicherheit erreicht, weil nur ein System gegen Schwachstellen abgesichert werden muss und
nicht jeder Client des Unternehmensnetzwerks[74].
Alle HTTP-Anfragen entstehen gebündelt auf einem Serversystem und ermöglichen so eine zentrale
Protokollierung der Anfragen. Proxies können sowohl eigenständige Systeme bestehend aus Hard- und Software,
als auch ein zusätzlich zur Verfügung gestellter Dienst auf den meisten Netzwerkfirewalls sein. Ein HTTP-Proxy
ermöglicht eine effektivere Nutzung der Bandbreite der Internetanbindung, da Clientanfragen
zwischengespeichert (Caching) werden können, um bereits angeforderte Webinhalte nicht erneut herunterladen zu
müssen.
Weiter können die Internetzugriffe der Nutzer überwacht und eingeschränkt werden. Im Unternehmen nicht
erwünschte Kategorien von Webseiten, z. B. pornografische oder rechtsradikale Inhalte, können mithilfe von
URL Filtern gesperrt werden. Ein AV Scanner auf dem Proxy ermöglicht die Erkennung von heruntergeladener
Schadsoftware und kann den Zugriff darauf verhindern. Mögliche Drive-by Downloads durch aktive Webinhalte
wie Java Script oder ActiveX können an zentraler Stelle entdeckt und unterbunden werden. Die Klassifizierung
von Webseiten und die Einordnung in Kategorien wird meistens vom Hersteller des URL Filter übernommen. Die
Zuordnung, ob die derzeit vorliegende HTTP Anfrage legitim ist, erfolgt in aktuellen Produkten mithilfe einer
Anfrage in Echtzeit an die Systeme des Herstellers und wird Web Reputation Service genannt[75]. Mit dieser
Technik lassen sich kompromittierte Webseiten, die zur Verbreitung von Schadsoftware verwendet werden, viel
schneller sperren und genauer einordnen als mit herkömmlichen Blocklisten für URLs.
HTTP-Proxies sind immer öfter dazu fähig eine Inhaltsanalyse bei verschlüsselten HTTP/S Verbindungen
durchzuführen. Eine HTTP/S Verschlüsselung, wie sie z. B. bei allen Onlinebanking Auftritten genutzt wird, ist
eine sog. Point-to-Point Verschlüsselung und dient zur abhörsicheren Übertragen von Daten[76]. Aktuelle Proxies
sind in der Lage die Verschlüsselung aufzubrechen, den Inhalt zu überprüfen und die Verbindung erneut zu
verschlüsseln. Damit lässt sich Schadsoftware auch in verschlüsselten Verbindungen entdecken und abwehren
und die verschlüsselte Kommunikation mit Botnetzwerken verhindern.
SMTP-Proxies werden ebenfalls von den meisten Unternehmen eingesetzt, um eingehende und ausgehende
Emails kontrollieren und ggf. filtern zu können. Hauptaufgabe des SMTP-Proxy ist es SPAM Nachrichten und
Emails mit schadhaften Dateianhängen abzuwehren. Die Entscheidung ob es sich um eine legitime Email oder um
SPAM handelt, wird vom SMTP-Proxy anhand diverser Kriterien, wie z. B. ob die IP des Senders sich auf einer
Realtime Blacklist (RBL) befindet oder ein eingefügter Link zu einer schadhaften Webseite führt. Es gibt eine
Vielzahl möglicher Kriterien und deren Kombination und Gewichtung entscheiden maßgeblich über die Qualität
des SPAM Filters. Durch den Einsatz von SMTP-Proxies müssen ausgehende SMTP Verbindungen in der
8.2.2 Intrusion Detection Systeme
30
Netzwerkfirewall nicht für das gesamte Unternehmensnetzwerk freigegeben werden und eventuell vorhandene
Schadsoftware wird daran gehindert sich selbstständig weiter zu verbreiten. Die Anzahl gleichzeitig eingehender
SMTP Verbindungen kann mit Proxies ebenfalls reglementiert werden, um eine DDoS Attacke auf den
firmeninternen Mailserver zu verhindern.
8.2.4 Schnittstellenkontrolle
Eine weitere große Gefahr für die Einschleusung von Schadsoftware stellen die Schnittstellen der Client PCs dar.
Datenträger wie DVDs, mobile Endgeräte wie Mobiltelefone oder PDAs und USB Wechseldatenträger können
Schadsoftware beinhalten und das Unternehmensnetzwerk infizieren. Sämtliche Schutzmechanismen bis auf den
lokal installierten AV Scanner können so umgangen werden. Es existieren Produkte diverser Hersteller, die den
Zugriff auf sämtliche Schnittstellen einschränken können. Es wäre denkbar nur den Anwendern Zugang zu den
Schnittstellen zu gewähren, die diese berufsbedingt nutzen müssen, um das Risiko zu minimieren[77]. Die
technischen Möglichkeiten sind dabei so weitreichend, dass z. B. nur der USB Stick eines Herstellers mit einer
bestimmten Seriennummer an einem bestimmten Client PC genutzt werden kann. Zusätzlich sollten
organisatorische Richtlinien erlassen werden, die den Umgang mit Wechseldatenträgern unternehmensweit
regeln. Mit organisatorischen Richtlinien und technischen Mechanismen kann so zusätzlich verhindert werden,
dass kritische Unternehmensinformationen wie z B. Konstruktionspläne von Maschinen oder Rezepturen das
Unternehmen auf diesem Weg unbemerkt verlassen können. Diese Maßnahmen sind durch Sicherheitsaudits
regelmäßig zu prüfen, um eine Aufweichung der Richtlinein zu verhindern.
8.2.5 Aktualität der Software
Um alle Client PCs in einem Unternehmensnetzwerk möglichst schnell vor Sicherheitsrisiken zu schützen, ist ein
zentrales Patch Management empfehlenswert. Nur so kann sichergestellt werden, dass das Unternehmensnetzwerk
angemessen vor neuen Bedrohungen geschützt ist. Hauptaugenmerk sollte dabei auf Sicherheitsupdates für das
Betriebssystem und den verwendeten Internetbrowser gelegt werden, da hier das größte Gefahrenpotenzial
besteht. Eine automatisierte Installation ist mit Produkten diverser Hersteller möglich, allerdings besteht dabei die
Gefahr, dass unvorhergesehene Inkompatibilitäten zu anderen installierten Softwareprodukten entstehen. Vor der
unternehmensweiten Freigabe und der anschließenden automatischen Installation, sollten sämtliche Patches in
einer Testumgebung ausgiebig geprüft und manuell freigegeben werden[78].
8.3 Ganzheitliche Gegenmassnahmen
8.3.1 Abriegelung von Steuerung
Da ein Botnetzwerk ohne Steuerung nicht mehr bedient und aktuell gehalten werden kann, bedeutet dies das Ende
für ein Botnetzwerk. Alte Botnetze haben einen zentralen Server oder Webseite als Zugangspunkt, die in
Zusammenarbeit mit dem Top Level Domain Verwalter oder Internet Service Provider meist gesperrt werden
konnte. Bei einer dezentralen Peer-to-Peer-Struktur muss erst das Verfahren, mit dem die Adresse des
Steuerungsservers kommuniziert wird, entschlüsselt werden. Dann können weitere Massnahmen wie z.B. die
Registration der berechneten Adressen des Steuerungsservers vor den Betreibern des Botnetzwerks erfolgen.
8.2.3 Proxy Server
31
8.3.2 Übernahme der Kontrolle
Natürlich kann auch anstatt die Kontrollserver lediglich zu schliessen, der Versuch erfolgen, die Kontrolle zu
übernehmen um Daten zu sammeln oder das Botnetzwerk zentral zu zerstören. Das kann erreicht werden, indem
über die Verteilungsfunktion für neue Schadsoftware eine Deinstallationsroutine für wesentliche Teile des Bots
auf den infizierten Computersystemen installiert wird, oder benötigte Kommunikationsports auf den Bots
dauerhaft gesperrt werden.
Rechtliche Probleme
Wenn es Security-Software-Firmen oder Universitäten gelingt, ein Botnetzwerk zu übernehmen, sind sie als reale
Personen bekannt und können von allen Besitzern eines infizierten und durch sie kontrollierten Systems haftbar
gemacht werden, insbesondere, wenn sie nicht nur beobachten, sondern aktiv versuchen das Botnetzwerk zu
zerstören und dabei z.B. Produktionsausfälle verursachen.
8.3.3 Automatische Updates durch den Betriebssytemhersteller
Die automatische Updatefunktion von Microsoft Windows erreicht eine sehr grosse Zahl an Computersystemen
und kann damit auch eine grosse Zahl von infizierten Systemen mit Deinstallationsroutinen versehen[34]. Da der
Anwender sich durch die Aktivierung bzw. Duldung der Updatefunktion mit der zentralen Verteilung
einverstanden gezeigt hat, setzt dies keine Rechtsverletzung wie bei der Übernahme eines Botnetzwerks vorraus.
9 Fazit und Ausblick
Fazit
Vermutlich sind die grossen Botnetzwerke die produktivsten Cloud Computing Systeme - Sie werfen Gewinn ab,
haben einen festen Kreis an Nutzern und stellen einer grossen Zahl Empfänger ihre Dienste zur Verfügung.
Es ist ein gängiger Irrglaube, dass ein Botnetzwerk Computersysteme mit einem einzigen Bot infiziert und dann
für SPAM oder ähnliches missbraucht. In Wirklichkeit laden die Botnetzbetreiber sämtliche Arten von
Schadsoftware in unterschiedlichsten Versionen mit unterschiedlichsten Funktionen auf das infizierte
Computersystem. Außerdem befindet sich die Bot-Software ständig in der Weiterentwicklung um an aktuelle
Security-Lösungen angepasst zu werden oder ist direkt modular als Kit konstruiert und somit ständig
Veränderungen unterworfen.
Damit in diesem Versionschaos überhaupt eine Zuordnung von ähnlicher Schadsoftware zur Analyse
vorgenommen werden kann, ist die Gruppierung anhand der Kontrollstrukturen ein gängiger Ansatz, dort hier die
"Fäden" der steuerenden Bot-Programmierergruppe zusammenlaufen. Nach einer Analyse und der Ausarbeitung
von Gegenmassnahmen könnte nun theoretisch damit begonnen werden, dass Botnetzwerk zentral zu zerstören.
Die Übernahme oder Abschaltung eines Botnetzwerks ist problematisch, aber fast alle Rechner eines
Botnetzwerks haben Microsoft Windows als Betriebssystem. Die Erfahrungen mit den Botnetzwerken Storm und
Conficker haben gezeigt, dass durch Microsoft automatisch verbreitete Gegenmassnahmen ein schwerer Schlag
gegen ein Botnetzwerk darstellen. Jedoch benötigt Microsoft für die Durchführung einige Zeit, in der das
Botnetzwerk weiter existiert.
8.3.2 Übernahme der Kontrolle
32
Da das Ziel aller grossen Botnetzwerke die Erzielung von Gewinn ist, ist dem Weg des Geldes zu folgen ein
anderer Ansatzpunkt. Durch schwarze Listen von Auslandskonten, automatischer Sperrung von Konten bei
verdächtigen Transaktionen, usw. würde sich der Geldfluss minimieren lassen - Allerdings ist dies zur
Bekämpfung der Cyberkriminalität noch unüblich und ein langer Weg.
Somit bleibt der Schutz vor Schadsoftware die Sache jedes Einzelnen bzw. der einzelnen Unternehmen. Durch
Botnetzwerke erreichen die Anforderungen an die IT-Security eine neue Dimension. Es werden aktuelle Patterns
für die Security-Komponenten benötigt, um der hohen Verbreitungsgeschwindigkeit neuer Schadsoftware und
Exploits durch Botnetzwerke entgegenzuwirken. Nur durch eine lückenlose und aktuelle Implentierung von
Security-Produkten kann man die unterschiedlichsten Verbreitungsmethoden verhindern oder die
Kommunikationswege der Botnetzwerke so stören, dass der Bot seine Daten nicht weitergeben kann - Und somit
ein so hohes Maß an Sicherheit erreichen, daß man seinen Privat- oder Firmen-Computer für vertrauliche
Tätigkeiten weiter bedenkenlos verwenden kann.
Ausblick
Da Botnetzwerke extrem anpassbar sind und das Verhalten von Anwendern imitieren, werden sie auch weiterhin
Bestand haben, aber vermtl. werden sie sich unserem Kommunikationsverhalten anpassen. Weil der Verbraucher
immer mehr Funktionen auf seinen mobilen Endgeräten fordert, werden immer komplexere Betriebssysteme
notwendig. Darüber hinaus können diese alle durch eine Auswahl von Applikationen individualisiert werden,
welche, ebenso wie das Betriebssystem ausnutzbare Fehler oder Hintertüren enthalten können. Ausserdem werden
die Geräte in kleinen wechselnden Chargen von unterschiedlichsten Herstellern hergestellt, die den Support
einstellen, sobald ein neues Produkt das alte ablöst.
Somit entsteht dort ein für Botnetzwerke interessanter Nährboden, der im Moment nur ansatzweise von
Security-Lösungen bedient wird. Insbesondere der direkte Zugriff auf den Telefonteil des mobilen Endgerätes
ermöglicht weitere Einnahmen durch die Anwahl von Sonderrufnummern, wie sie zur Hochzeit der Einwahl ins
Internet via Modem üblich ist. Darüber hinaus haben mobile Endgeräte üblicherweise eine Vielzahl von
Kommunikationsschnittstellen wie UMTS, Bluetooth und WLAN, die alle zur Verbreitung genutzt werden
können. Somit sind mobile Endgeräte das optimale neue Ziel für Botnetzwerke.
10 Fußnoten
1. ? Vgl. Joyent (2008)
2. ? Vgl. Stevens (2008)
3. ? Vgl. Gartner (2009), Seite 1
4. ? 4,0 4,1 4,2 Vgl. Anderson (2008), passim
5. ? Vgl. Kaspersky (2008), Seite 49
6. ? Vgl. BSI GSHB G5 (2006), G 5.21
7. ? Cohen (1985), Seite 2
8. ? Vgl. BSI GSHB G5 (2006), G 5.23
9. ? Vgl. Heise Security (2008), Wurm
10. ? Vgl. BSI GSHB Glossar (2008), Hintertür
11. ? Vgl. BSI GSHB Glossar (2008), Rootkit
12. ? Vgl. BSI Sinet Glossar (2009), Bot-Netz
13. ? Vgl. BSI Penetrationstest (2003), Seite 6
9 Fazit und Ausblick
33
16. ? Vgl. Arquilla (1993), Seite 8
17. ? Vgl. Ziegler (2009)
18. ? Vgl. Schiller (2007), Seite 7
19. ? Vgl. Canavan (2005), Seite 6
24. ? Vgl. Schiller (2007), Seite 12 f.
27. ? Vgl. Brauch (2004), Seite 38
28. ? Vgl. Stewart (2004), passim
29. ? 29,0 29,1 Vgl. Royal (2008), Seite 2
31. ? Vgl. Royal (2008), Seite 1
32. ? Vgl. Mendrez (2009), Seite 1
33. ? Vgl. Marshal8e6 (2008), Seite 2
34. ? 34,0 34,1 Vgl. Kassner (2009), Seite 1
35. ? Vgl. Stewart (2007), Seite 1 ff.
36. ? Vgl. Gostev (2008), Seite 1 ff.
37. ? Vgl. Petrovsky (2008), Seite 1 ff.
38. ? Vgl. Microsoft (2009a), Seite 1 ff.
39. ? Vgl. Microsoft (2009b), Seite 1
40. ? Vgl. Stone-Gross (2009), Seite 1
41. ? Vgl. Stone-Gross (2009), Seite 8
42. ? Vgl. Neale (2009), Seite 1
43. ? Anstis (2008)
44. ? Vgl. Kassner (2009), Seite 2 f.
45. ? Vgl. Zaytsev (2009), Seite 1 f.
46. ? Golovanov (2009)
47. ? Vgl. Pescatore (2008), Kap 3.1
48. ? http://www.malwarecity.com/blog/anatomy-of-a-botnet-196.html
49. ? http://content.websitegear.com/article/load_balance_dns.htm
50. ? http://www.computerwoche.de/knowledge_center/security/1876193
51. ? http://www.honeynet.org/node/132
52. ?
http://www.heise.de/security/Hydra-der-Moderne-Die-neuen-Tricks-der-Spammer-und-Phisher--/artikel/94211/1
53. ? http://www.spamhaus.org/definition.html
54. ? http://www.recht-im-internet.de/themen/spam/definition.htm
55. ?
http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&So
56. ? http://www.spamhaus.org/definition.html
57. ? Botnets, teh Killer WebApp, Seite 62
58. ? http://www.securitymanager.de/magazin/artikel_1336_spam_wars.html
59. ? http://www.bullhost.de/d/denial-of-service.html
60. ? http://de.kioskea.net/contents/attaques/attaque-teardrop.php3
61. ? http://www.cert.org/tech_tips/denial_of_service.html
62. ? http://news.cnet.com/2100-1017-236683.html
63. ? www.linuxsecurity.com/resource_files/intrusion_detection/ddos-faq.html.
10 Fußnoten
34
64. ?
http://news.softpedia.com/news/European-Botnet-Runners-Indicted-in-the-FooNet-DDoS-Case-94919.shtml
65. ? http://www.honeynet.org/node/52
66. ? Vgl. http://www.netzeitung.de/internet/sicherheit/1306538.html
67. ? Vgl. http://www.viruslist.com/de/glossary?glossid=188805835
68. ? Vgl. http://www.viruslist.com/de/analysis?pubid=200883578
69. ? Vgl. http://www.computerbase.de/lexikon/Personal_Firewall
70. ? vgl. http://www.more.net/technical/netserv/tcpip/firewalls/
71. ? vgl. http://www.computerbase.de/lexikon/Firewall
72. ? vgl. http://www.bsi.bund.de/literat/studien/ids02/gr1.htm
73. ? vgl. http://www.bsi.bund.de/literat/studien/ids02/gr1.htm
74. ? vgl. Dirk H. Traeger, Andreas Volk, LAN: Praxis lokaler Netze, 2002 S. 339f
75. ? vgl. http://www.ironport.com/company/pp_network_world_01-23-2006.html
76. ? vgl. http://www.ccc.de/https/
77. ? vgl. http://www.bsi.de/gshb/deutsch/m/m04004.htm
78. ? vgl.
http://www.tecchannel.de/sicherheit/management/449803/patch_management_mehr_luecken_immer_weniger_zei
11 Literatur- und Quellenverzeichnis
Anderson
(2008)
Anderson, Robert W.: Cloud Services Continuum, 23.07.2008, http://rwandering.net/2008/07/03/cloud-se
(12.06.09, 21:06)
Anstis, Bradley: Storm worm dethroned by sex botnet, Marshal8e6, 02.04.2008,
Anstis (2008)
http://www.networkworld.com/news/2008/020408-storm-worm-dethroned-by-sex.html
Arquilla, John; Ronfeldt, David: Cyberwar is Coming!: Comparative Strategy, Ausgabe 12, Nr. 2, Taylor
Arquilla (1993)
Reprint: RAND http://www.rand.org/pubs/monograph_reports/MR880/MR880.ch2.pdf (12.06.09, 14:44)
Brauch, Patrick:Superwurm im Umlauf, in: c't Magazin für Computertechnik, 2004, Ausgabe 10, Heise Z
Brauch (2004)
eMedia GmbH (Hrsg.): c'tplusrom - Wissen zum Abruf, Halbjahres-CD 1.2004, Heise Zeitschriften Verla
o.V.,Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Handbuch, IT-Grunds
BSI GSHB G5
Gefährdungskataloge, G 5 Gefährdungskatalog Vorsätzliche Handlungen , 2006, http://www.bsi.de/gshb/
(2006)
(13.06.09, 20:21)
BSI GSHB
o.V.,Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Glossar, 2008, http://www.bsi.de/
Glossar (2008) (13.06.2009, 20:29)
BSI
o.V.,Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Durchführungskonzept für Penetration
Penetrationstest
http://www.bsi.bund.de/literat/studien/pentest/penetrationstest.pdf (13.06.2009, 20:45)
(2003)
BSI Sinet
o.V.,Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): BSI Sinet, 2009,
Glossar (2009) http://www.bsi.de/fachthem/sinet/glossar/glossar.htm (13.06.2009, 20:29)
Canavan, John: The Evolution of Malicious IRC Bots, Symantec Corporation, 2005,
Canavan (2005)
http://www.symantec.com/avcenter/reference/the.evolution.of.malicious.irc.bots.pdf (14.06.2009, 09:56)
Cohen, Fred: Computer Viruses - Theory and Experiments, 1985,
Cohen (1985)
http://www.eecs.umich.edu/~aprakash/eecs588/handouts/cohen-viruses.html (11.06.09, 14:21)
Computerbase
o.V., Computerbase: Personal Firewall, 06.06.2009, http://www.computerbase.de/lexikon/Personal_Firew
(2009)
Constantin
Constantin, Lucian: European Botnet Runners Indicted in the FooNet DDoS Case, 04.10.2008,
(2008)
http://news.softpedia.com/news/European-Botnet-Runners-Indicted-in-the-FooNet-DDoS-Case-94919.sh
35
o.V., Carnegie Mellon University (Hrsg.): Denial of Service Attacks, 02.10.1997,
http://www.cert.org/tech_tips/denial_of_service.html
Drupal (2008) Drupal: Uses of botnets, 08.10.2008, http://www.honeynet.org/node/52
o.V. Gartner (Hrsg.), Interpreting Technology Hype, 2009, Gartner,
Gartner (2009)
http://www.gartner.com/it/products/research/methodologies/research_hype.jsp
Golovanov
Golovanov, Sergej;Rusakov, Vjatscheslav: Bootkit 2009, 09.06.2009, Kaspersky,
(2009)
http://www.viruslist.com/de/analysis?pubid=200883652
Gostev, Alexander: Rustock ? Ein Malware-Mythos?, 15.07.2008, Kaspersky,
Gostev (2008)
Heise Security o.V.,Heise Security: Arten von Schädlingen, 12.03.2008, http://www.heise.de/security/dienste/antivirus/t
(2008)
20:27)
Heidrich (2008) Heidrich, Joerg: Was ist ?Spam?? Eine juristische Definition, 2008, http://www.recht-im-internet.de/them
o.V.,Joyent: What is Cloud Computing?: Div. Interviews auf der Web 2.0 Expo, 07.05.2008,
Joyent (2008)
http://www.youtube.com/watch?v=6PNuQHUiV3Q (13.06.2009, 23:20)
Kaspersky
Kaspersky, Eugene: Malware, 1. Auflage, Hanser Verlag, München 2008
(2008)
Kaspersky Lab
o.V., Kaspersky Lab (Hrsg.): Heuristik, 2009, http://www.viruslist.com/de/glossary?glossid=188805835
(2009)
Kassner, Michael: Botnets: New and certainly improved, 18.01.2009, http://blogs.techrepublic.com.com/n
Kassner (2009)
(14.06.2009, 12:16)
Marshal8e6
o.V. Marshal8e6 (Hrsg.): Srizbi now leads the spam pack, 29.02.2008 ,Marshal8e6 TRACElabs,
(2008)
http://www.marshal8e6.com/trace/traceitem.asp?article=567
Mendrez (2009) Mendrez, Rodel: Grum, 19.03.2009, Marshal8e6 TRACElabs, http://www.marshal8e6.com/trace/i/Grum,
Microsoft
o.V., Microsoft (Hrsg.): Viren und Würmer Conficker, 31.03.2009,
(2009a)
http://www.microsoft.com/germany/athome/security/viruses/conficker.mspx (14.06.2009, 11:56)
o.V., Microsoft (Hrsg.): Microsoft Collaborates With Industry to Disrupt Conficker Worm: Microsoft off
Microsoft
Conficker arrest and conviction, 12.02.2009, http://www.microsoft.com/presspass/press/2009/feb09/02-1
(2009b)
(14.06.2009, 11:58)
Neale, Gavin: Xarvester, the new Srizbi?, 13.01.2009, Marshal8e6 TRACElabs,
Neale (2009)
http://www.marshal8e6.com/TRACE/traceitem.asp?article=843&thesection=trace
Netzzeitung
o.V., Netzzeitung (Hrsg.): Sicherheit von Rechnern und Netzwerken: 30.000 neue Computer-Viren pro T
(2009)
http://www.netzeitung.de/internet/sicherheit/1306538.html
Pescatore, John; Young, Greg; Allan, Ant; Girard, John; Feiman, Joseph; MacDonald, Neil:Gartner 2008
Pescatore
Projection Timeline, 26.08.2008, Gartner, http://mediaproducts.gartner.com/reprints/juniper/vol1/article3
(2008)
21:06)
Plate, Jürgen: Grundlagen Computernetze, 26.08.2008, Fachhochschule München,
Plate (2008)
http://www.netzmafia.de/skripten/netze/netz8.html (14.06.09, 22:50)
Petrovsky
Petrovsky, Oleg, Microsoft Malware Protection Center: Uprooting Win32/Rustock, October 18.10.2008,
(2008)
http://blogs.technet.com/mmpc/archive/2008/10/18/uprooting-win32-rustock.aspx
Pte (Autorenküzel): Fast-Flux-Netze - Botnetze tarnen Cybercrime-Webseiten, 20.10.2008, Computerwo
Pte (2008)
http://www.computerwoche.de/knowledge_center/security/1876193 (14.06.09, 22:52)
Riden (2008)
Riden, Jamie: HOW FAST-FLUX SERVICE NETWORKS WORK, 16.08.2008, http://www.honeynet.o
Royal, Paul: On Kraken and Bobax Botnets, 09.04.2008, Damballa,
Royal (2008)
http://www.damballa.com/downloads/r_pubs/Kraken_Response.pdf (14.06.2009, 10:37)
Schiller (2007) Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony: Botnets: The Killer Web Ap
CMU (1997)
36
Schmidt, Jürgen: Hydra der Moderne Die neuen Tricks der Spammer und Phisher, 03.09.2007, Heise Sec
http://www.heise.de/security/Hydra-der-Moderne-Die-neuen-Tricks-der-Spammer-und-Phisher--/artikel/9
Sandoval (2000) Sandoval, Greg;Wolverton, Troy: Leading Web sites under attack, 09.02.2000, http://news.cnet.com/2100
Security Space
O.V., Security Space (Hrsg.), Teardrop, 1999, http://www.securityspace.com/de/smysecure/catid.html?id
(1999)
Shevchenko
Shevchenko, Alisa: Antiviren-Technologien im Überblick, 07.11.2007, Kaspersky Lab,
(2007)
Stevens, Holly; Pettey, Christy: Gartner Press Release: Gartner Says Cloud Computing Will Be As Influe
Stevens (2008)
26.06.2008, Gartner, http://www.gartner.com/it/page.jsp?id=707508 (11.06.09, 12:56)
Stewart, John: Bobax Trojan Analysis, 17.05.2004, Secure Works, http://www.secureworks.com/research
Stewart (2004)
(14.06.2009, 10:12)
Stewart, John: Pushdo - Analysis of a Modern Malware Distribution System, 17.12.2007, Secure Works,
Stewart (2007)
http://www.secureworks.com/research/threats/pushdo/
Stone-Gross, Brett; Cova, Marco; Cavallaro, Lorenzo; Gilbert, Bob; Szydlowski, Martin; Kemmerer, Ric
Stone-Gross
Giovanni: Your Botnet is My Botnet: Analysis of a Botnet Takeover, University of California, Departmen
(2009)
Security Group, Santa Barbara, 04.2009, http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf (14.06
Taite (2007)
Taite, Charles: SPAM WARS: EPISODE II, 02.2007, http://www.securitymanager.de/magazin/artikel_13
Todd, Bennett: Distributed Denial of Service Attacks, 18.02.2000,
Todd (2000)
http://www.linuxsecurity.com/resource_files/intrusion_detection/ddos-faq.html
Zaytsev, Vitaly:Donbot - Joining The Club of Million Dollar Botnets, 05.04.2009, McAfee,
Zaytsev (2009)
http://www.avertlabs.com/research/blog/index.php/2009/04/05/donbot-joining-the-club-of-million-dollar
Ziegler, Peter Michael: Russische Jugendorganisation will Cyber-Attacken auf Estland verübt haben, 11.0
Ziegler (2009) http://www.heise.de/security/Russische-Jugendorganisation-will-Cyber-Attacken-auf-Estland-veruebt-ha
(13.06.2009, 18:00)
Schmidt (2007)
37

1 Titel Inhaltsverzeichnis

Transcrição

Documentos relacionados

übersicht spieleigenschaften

wintipps 09/2009 - luck

Bestellschein herunterladen

Spam und Gegenmaßnahmen

Band: Bloodlost (CH)

Sicherheit

Aktuelle_Internet-Gefahren(geändert_Sept-2015

Die Bundespolizei und das Bundeskriminalamt warnen Internet

Resident Evil - Anstalt fuer experimentelle Querverbindungen

PC Joker - Ausgabe 1/2004