Allgemein:Das-Bot-Network

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen


Die (fast) perfekt versteckte Kommandozentrale

Die meisten aktuellen Viren zählen zur Gattung der Bots. Ein Bot verwandelt den PC in einen fernsteuerbaren Rechner. Die Befehle erhält der PC dann von einem Kommando-Server (C&C-Server) im Internet, der von einem Kriminellen kontrolliert wird. Ersteuert darüber aber nicht nur einen einzigen infizierten Bot-Rechner, sondern viele Tausend auf einmal – ein ganzes Bot-Netzwerk. Die Bot-Rechner nehmen von sich aus regelmäßig Kontakt zu ihren C&C-Servern auf und prüfen, ob dort Befehle auf sie warten. Genau das macht ein Bot-Netzwerk jedoch verwundbar. Kann zum Beispiel die Polizei einen C&C-Server beschlagnahmen und abschalten, hat sie alle befallenen PCs von der Kontrolle durch die Kriminellen befreit.

Bei einfachen Bots ist der C&C-Server fest im Schädlingscode hinterlegt – entweder in Form einer IP-Adresse oder als Webadresse in der Form: http://gehackter-Sever.cn/geheimes-Unterverzeichnis. Diese webbasierten C&C-Server halten nicht nur Befehle für die Bots bereit, sondern sammeln auch gestohlene Daten von den befallenen Rechnern ein, etwa alle Passwörter aus dem Browser. Wenn die Antiviren-Spezialisten die Adresse eines C&C-Servers ausfindig gemacht haben, kann die Polizei beim Betreiber des Servers für dessen Abschaltung sorgen.

Der Super-Virus Conficker

Dieser Schädling aus dem Jahr 2008 ging bei der Wahl seines C&C-Servers clevere neue Wege. Anstatt eine feste Adresse in den Virus einzuprogrammieren, hatten ihm seine Macher einen Algorithmus eingebaut, der per Zufallsgenerator jeden Tag neue Adressen von Webseiten generiert. Bei den Varianten Conficker.A und Conficker.B waren das 250 Seiten pro Tag. Die Schädlinge fragten dann der Reihe nach alle Seiten ab und prüften, ob sich dort ein aktiver C&C-Server mit Befehlen befand. Die Macher des Schädlings konnten sich mit demselben Algorithmus die 250 Seiten auch schon im Vorhinein generieren. Sie mussten jedoch nur eine einzige Adresse aus den 250 möglichen wirklich registrieren und dort den C&C-Server starten. Da sich der Schädling Conficker sehr schnell auf Millionen PCs verbreitete, formierte sich weltweit eine Allianz aus Antiviren-Spezialisten, Verwaltern von Internetadressen und der Polizei gegen ihn. Den Antiviren-Spezialisten gelang es denn auch, den Algorithmus für die Adresserstellung zu knacken. Sie konnten so nun ebenfalls die jeweils 250 Seiten pro Tag im Vorhinein berechnen und mithilfe der Verwalter von Internetadressen diese auf ihre eigenen Namen reservieren. Auf diese Weise konnten die Macher von Conficker dort keine Befehle mehr platzieren.

Banking-Trojaner Zeus

Der Schädling Zeus zählt zu den verbreitetsten und gefährlichsten Schädlingen der letzten Jahre. Er ist ein internationaler Banking-Trojaner, der Schätzungen der Polizei zufolge weit über 100 Millionen Euro von privaten Bankkonten gestohlen hat. Zeus ist für die Kriminellen also äußerst lukrativ. Darum schützen sie ihre Netzwerke mit Zeus-Rechnern so gut wie möglich. Das trifft gleichfalls auf die Kommando-Server (C&C-Server) für Zeus zu. Neben den üblichen webbasierten C&C-Servern gibt es raffinierte Varianten.

Zeus - Peer-to-Peer-Netzwerktechnik

Statt eines zentralen Kommando-Servers verwendet eine Variante des Zeus-Schädlings die Peer-to-Peer-Technik (P2P). Ähnlich wie bei manchen Tauschbörsen-Programmen die Informationen nicht auf einem zentralen Server liegen, sondern auf vielen einzelnen Computern, erhält diese Zeus-Variante ihre Befehle von PC zu PC weitergereicht. Da ein zentraler Rechner fehlt, kann die Polizei diesen auch nicht abschalten.

Zeus - C&C-Server in der Cloud

Für einen einfachen C&C-Server genügt bereits ein simpler Online-Speicher, etwa bei einem Dienst wie Dropbox. Die Befehle für die Zeus-Rechner legen die Kriminellen dort in einer einfachen Textdatei ab. Die dafür erforderlichen Dropbox-Konten müssen die Kriminellen natürlich nicht selber registrieren. Sie nutzen einfach zuvor gestohlene Zugangsdaten.

Zeus - Versteckte C&C-Server-Adresse

Eine Variante des Banking-Trojaners speichert die webbasierte Adresse des C&C-Servers in der Registry des befallenen Windows-Rechners ab. Dadurch kommen dann selbst die Antiviren-Spezialisten nicht ohne Weiteres an die Adresse, wenn das Antiviren-Tool den Schädling zur Analyse ins Labor gesendet hat.

Zeus - Banking-Trojaner (Diebstahl mit Obergrenze)

Auch wenn ein Banking-Trojaner es geschafft hat, unbemerkt vom Antiviren-Programm den PC zu infizieren und sich zu aktivieren, kann er immer noch vom Server der Bank geschnappt werden. Dieser überprüft nämlich, in welcher Geschwindigkeit die Befehle zu einer Überweisung übermittelt werden. Einfache Banking-Trojaner senden die Daten so schnell hintereinander, wie es lediglich ein Computerprogramm, nicht aber ein Mensch kann. Hier schreitet dann der Banken-Server ein und stellt die Überweisung bis zu einer Überprüfung zurück. Fortgeschrittene Banking-Trojaner fügen deshalb bei einer Überweisung künstliche Pausen ein, die das Klickverhalten eines Menschen imitieren. Um der Kontrolle der Bank zu entgehen, besteht ein weiterer Trick des Schädlings darin, sich beim Diebstahl selbst eine Obergrenze zu verordnen. Diese liegt pro Überweisung bei 5000 Euro. Denn in vielen Ländern müssen die Banken bei Beträgen über 5000 Euro eine Überprüfung nach dem Geldwäschegesetz starten. Eine solche Überweisung wird also genauer untersucht, woran die Kriminellen natürlich kein Interesse haben.

Zeus - Verstecktes Wiederbelebungsmodul in Word

Anfang 2013 haben die Antiviren-Spezialisten bei Kaspersky ein Spionagenetzwerk entdeckt, dass sie „Roter Oktober“ getauft haben. Es wurde mit einem Virus namens Rocra aufgebaut. Die Angreifer nutzen Rocra, um in die Computer diplomatischer Einrichtungen sowie Regierungsorganisationen auf der ganzen Welt einzudringen. Hinzu kommen Forschungsinstitute wie auch Energie- und Atomkonzerne. Der Schädling Rocra dient in erster Linie dem Datendiebstahl.

Zu seinen vielen Besonderheiten gehört ein einzigartiges Wiederbelebungsmodul. Dieses erlaubt es Angreifern, die Kontrolle über infizierte Systeme auch dann wiederzuerlangen, wenn der Kontakt über den C&C-Server abgebrochen wurde. Das Wiederbelebungsmodul wird bei der Installation von Rocra als Plug-in im Programm Microsoft Word eingespielt. Dort wartet es vollkommen unauffällig auf seinen Einsatz. Wollen die Angreifer einen PC erneut unter ihre Kontrolle bringen, senden Sie etwa eine E-Mail mit einer präparierten Word-Datei im Anhang. Sobald der PC-Nutzer den Anhang öffnet, aktiviert das Plug-in den Schädling von Neuem. Das gelingt selbst dann, wenn der eigentliche Kern von Rocra bereits entfernt wurde.

Weitere Infos über Bot-Network

       Fortinet Fortinet:ProduktInfo#Fortinet_Anatomy_of_a_Botnet