Aufbau und Arbeitsweise von Botnetzen anhand eines konkreten Fallbeispiels

Größe: px
Ab Seite anzeigen:

Download "Aufbau und Arbeitsweise von Botnetzen anhand eines konkreten Fallbeispiels"

Transkript

1 Aufbau und Arbeitsweise von Botnetzen anhand eines konkreten Fallbeispiels Diplomarbeit an der Fachhochschule Frankfurt am Main im Fachbereich Informatik und Ingenieurwissenschaften zur Erlangung des akademischen Grades Diplom-Informatiker (FH) von Ana Geljic Frankfurt am Main, 01. Juni 2010 Referent: Dr. Dipl.-Phys. Erwin Hoffmann Korreferent: Prof. Dr. Matthias Schubert

2 Kurzreferat Diese Diplomarbeit beschreibt den Aufbau und Arbeitsweise von Botnetzen. Bots sind Programme, welche verschiedene Sicherheitslücken in einem Betriebssystem oder Browser ausnutzen und Computer infizieren. Sie laufen, ohne Wissen des Benutzers, im Hintergrund und führen Kommandos aus, welche ihnen von einer einzigen Person, dem Bot-Master, befohlen werden. Werden mehrere Bots zusammengestellt, so entsteht ein Botnetz. In dieser Diplomarbeit werden verschiedene Arten von Botnetzen dargestellt, welche zurzeit zur größten Bedrohung der Internet-Infrastruktur gehören. In Kapitel zwei werden zunächst die wichtigsten Grundlagen, die sich auf das Thema beziehen, zusammengefasst. In Kapitel drei werden insbesondere folgende Angriffsarten der Botnetze besprochen: Spamming, Phishing, Distributed Denial-of-Service, Klickbetrug, Sniffing und Keylogging. In Kapitel vier wird am Beispiel eines Bots, des Agobots, der Aufbau und die Funktionsweise eines serverbasierten Botnetzes präsentiert. Dabei wird ein Netzwerk, bestehend aus einem IRC-Server, IRC-Client und zwei infizierten Rechnern, auf einer Testumgebung mit virtuellen Maschinen, aufgebaut. Desweiteren werden Tests mit dem Bot durchgeführt. Anschließend wird die Kommunikation zwischen dem Bot und dem Bot-Master anhand einer Netzwerkanalyse dargestellt. Das Ziel dieser Diplomarbeit ist zu zeigen, wie solche Botnetze raffiniert eingesetzt werden können, welchen Schaden sie anrichten und warum sie zur größten Gefahr des Internets gehören. Außerdem werden verschiedene Gegenmaßnahmen besprochen. i

3 Hiermit versichere ich, dass ich die Diplomarbeit ohne fremde Hilfe selbstständig verfasst und nur die angegebenen Quellen und Hilfsmittel benutzt habe. Wörtlich oder dem Sinn nach aus anderen Werken entnommene Stellen sind unter Angaben der Quellen kenntlich gemacht. Frankfurt am Main, den 01. Juni 2010 Ana Geljic ii

4 Inhaltsverzeichnis Kurzreferat... i Abbildungsverzeichnis... v Tabellenverzeichnis... vi 1 Einleitung Motivation Ziel und Aufbau der Arbeit Grundlagen Malware Viren Trojaner Würmer Spyware/Adware Backdoors Rootkits Zombies Bots Schaden der Malware Peer-to-Peer-Netze Kademlia Attribute-Value-Pair XOR-Metrik Routingtabellen Operationen des Kademlia-Protokolls Netzwerkbeitritt Gültigkeitsdauer der Attribute-Value-Pairs Churn iii

5 3 Aufbau und Funktionsweise von Botnetzen Serverbasierte Botnetze Fast-Flux-Netze Peer-to-Peer-basiertes Botnetz Hauptinfektionsquellen Angriffsarten Spamming Phishing/Pharming Distributed-Denial-of-Service Verbreitung von Adware und der Klickbetrug Sniffing und Keylogging Verschiedene Arten von Bots Gegenmaßnahmen Honeypots Selbstverteidigungsmechanismus der Botnetze Fallbeispiel mit Agobot Funktionsweise von Agobot Aufbau der Infrastruktur Softwareinstallation Konfiguration des IRC-Servers und des IRC-Clients Konfiguration von Agobot Infizierung der PCs mit Agobot Kontrolle der Bots Agobot-Kommandos Verbreitung von Agobot Netzwerkaktivität Zusammenfassung und Ausblick Quellenangaben...56 Abkürzungsverzeichnis...60 iv

6 Abbildungsverzeichnis Abbildung 3. 1: Vergleich eines serverbasierten Botnetzes mit einem oder mehreren IRCs 18 Abbildung 3. 2: Fast-Flux-Botnetz Abbildung 3. 3: Abfrage einer Flux-Website Abbildung 3. 4: Peer-to-Peer-basiertes Botnet Abbildung 3. 5: Hauptinfektionsquellen von Bots Abbildung 3. 6: Beispiel einer Spam Abbildung 3. 7: Botnetz-DDos-Angriff Abbildung 3. 8: Honeynet Abbildung 4. 1: Aufbau der Infrastruktur Abbildung 4. 2: IRC-Server Unreal Abbildung 4. 3: Statusanzeige des IRC-Servers Abbildung 4. 4: Serverstatus Abbildung 4. 5: Verbindung von Nettalk und IRC-Server Abbildung 4. 6: Konfigurationsoberfläche von Agobot Abbildung 4. 7: Verbindung des Bots mit dem IRC-Server Abbildung 4. 8: Anmeldung der Bots beim Mater-Computer Abbildung 4. 9: Username- und Passwort-Authentifizierung Abbildung 4. 10: Master-Anfrage und Bot-Antwort-Botinformationen Abbildung 4. 11: Master-Anfrage und Bot-Antwort-Systeminformationen Abbildung 4. 12: Master-Anfrage und Bot-Antwort-Laufende Prozesse Abbildung 4. 13: Master-Anfrage und Bot-Antwort-Netzwerkinformationen Abbildung 4. 14: Kommunikation zwischen IRC-Client, IRC-Server und Bot Abbildung 4. 15: Weg von einem Kommando bis zum Angriff Abbildung 4. 16: Kommunikation von IRC-Client, IRC-Server und Bot in Wireshark Abbildung 4. 17: TCP-Protokoll und der Ziel-Port der Kommunikation Abbildung 4. 18: Übertragung der physikalischen Kommunikation v

7 Tabellenverzeichnis Tabelle 2. 1 : Remote-Procedure-Calls und deren Aufgaben Tabelle 3. 1: Verschiedene Arten von Bots und deren Eigenschaften Tabelle 4. 1: Bot-Kommandos Tabelle 4. 2: Host-Kommandos Tabelle 4. 3: Verbreitung von Agobot über Schwachstellen und TCP-Ports Tabelle 4. 4: Rechner und IP-Adressen vi

8 Einleitung 1 Einleitung Bots sind Programme, die auf gehackten Computersystemen installiert sind und dort von einem Bot-Master ferngesteuert werden. Das Ziel ist immer mehr Anwendercomputer zu infizieren und ein sogenanntes Botnetz zu schaffen, um dieses dann für verschiedene Aktionen zu missbrauchen. Hinter solchen Botnetzen steckt meistens eine Person mit viel krimineller Energie, die mit verschiedenen Kommandos die befallenen Rechner dirigiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) existieren derzeit 1000 bis 2000 Botnetze weltweit mit durchschnittlich infizierten Rechnern, mit der Tendenz-steigend. Aufgrund der Anzahl der infizierten Rechner und der gut aufgebauten Internet-Infrastruktur, liegt Deutschland im Landesvergleich auf Platz 3, auf Platz 1 China und auf Platz 2 die USA [40]. Es besteht die Befürchtung, dass die Anzahl der Botnetze weiterhin steigen wird. Der Grund ist, dass immer mehr intelligentere Botnetze entwickelt werden, die länger unentdeckt bleiben können. Botnets und deren Betreiber gehören heute zu den größten Gefahren des Internets. Viele Menschen unterschätzen diese Gefahren, denn sie werden meistens ohne ihr Wissen ein Teil dieses Botnets. Im Moment lauern Tausende von Botnets im Internet, die gemietet oder gekauft werden können. Die Angreifer nutzen viele Techniken, um ein unsichtbares Botnet zu schaffen, um durch verschiedene Angriffsmöglichkeiten u. a. Unternehmen zu erpressen, indem sie ihre Internetseiten lahm legen. Durch Botnetze wird man nicht mehr nur zum Opfer, sondern auch zum Täter. Diese Diplomarbeit beschreibt den Aufbau und Arbeitsweise von solchen Botnets anhand eines konkreten Fallbeispiels. Außerdem werden verschiedene Angriffstechniken und Gegenmaßnahmen erläutert. 1.1 Motivation Ein Bot ist ein Programm, das sich beim Surfen im Internet, ohne Wissen des Inhabers, auf einen Computer installiert. Dadurch öffnet sich ein Kommunikationskanal, das einem Unbekannten, dem Angreifer, die Kontrolle über 1

9 Einleitung den Bot ermöglicht und somit auch Kontrolle über den Großteil eines Rechners. Werden mehrere Rechner durch solche Programme infiziert und zu einem Netzwerk zusammengeschlossen, entsteht ein Botnetz. Diese illegalen Botnetze zählen heute zu den handfesten Online-Angriffen. Ein solcher Bot läuft im Hintergrund auf einem Rechner und macht sich für den Nutzer im ersten Moment komplett unsichtbar. Lediglich kann er einen infizierten Rechner (auch Zombie genannt) verlangsamen, da über diesen z. B. große Menge von Spams verschickt wird. Viele Nutzer vernachlässigen es die aktuellen Updates regelmäßig zu installieren oder achten nicht auf einen guten Antivirus-Schutz. Die Bots werden anonym von einem zentralen Kontrollknoten ferngesteuert, der auch als Command-and-Control-Server (C&C-Server) bezeichnet wird. Ein Bot kommuniziert mit seinem Bot-Master und lauscht dabei auf Befehle, wie z. B. Versenden von Spams oder um Distributed-Denial-Of-Service-Angriffe (DDoS) durchzuführen. Dabei werden gleichzeitig viele Anfragen an einen Webserver gestellt, der diese im ersten Moment nicht bearbeiten kann, was zum Ausfall des Servers führt. Es gibt zwei Kategorien von Botnetzen. Die eine Kategorie ist das serverbasierte Botnet und die andere ist das Peer-to-Peer basierte Botnet. Sie sind von der Architektur unterschiedlich aufgebaut. Bei einem serverbasierten Botnet existiert ein Kontrollknoten, der C&C-Server. Dieser wird von einem Bot-Master kontrolliert. Bei einer Internetverbindung verbinden sich alle mit einem Bot infizierte Rechner mit dem C&C-Server und warten auf die Erteilung der Befehle des Bot- Masters. Die Kommunikation findet über das Internet-Relay-Chat (IRC)-Protokoll statt. Immer mehr Unternehmen werden Opfer solcher Angriffe, vor allem Webunter1nehmen. Der Zweck dieser Angriffe ist meistens Industriespionage und Erpressung. Bei einem Peer-to-Peer Botnetz existiert kein zentraler Kontrollknoten, sondern alle Bots können diese Aufgabe übernehmen und sind somit gleichberechtigt. Sie können auf Befehle warten und diese selbst erteilen. Wenn bei einem serverbasierten Botnet der C&C-Server ausfällt oder durch verschiedene Gegenmaßnahmen ausgeschaltet wird, ist somit das komplette Botnetz außer Gefecht gesetzt worden, und die Bots haben keinen Ansprechpartner mehr. Wenn aber bei einem Peer-to-Peer Botnetz ein Knoten ausfällt, übernimmt ein anderer infizierter Rechner die Aufgabe, die Befehle 2

10 Einleitung zu erteilen. Bots nutzen viele Schwachstellen in Systemen aus. Das weltverbreitete Windows-System ist bei Botnetzbetreibern besonders interessant. Es gibt aber auch Botvarianten, die Schwachstellen auch anderer Betriebssysteme ausnutzen. Mittlerweile fungieren immer mehr kompromittierte Linux-Server, auf denen IRC- Server laufen, als Kernstück eines Botnetzes. Fast alle Bots sind multifunktional programmiert, so dass der Bot-Master diese flexibel nutzen kann. Er kann sich somit dem Motiv seines Angriffs leicht anpassen. Alle diese Fähigkeiten und Eigen-schaften von Bots und Botnetzen machen sie zu einem interessanten Thema für meine Diplomarbeit. 1.2 Ziel und Aufbau der Arbeit Die Zielsetzung dieser Arbeit besteht darin, die Architektur und Funktionsweise von Botnetzen detailliert zu dokumentieren. Anhand eines konkreten Fallbeispiels mit einem Bot, dem Agobot, soll das Systemverhalten genau analysiert werden. Dabei werden verschiedene Kommandos des Bots auf einer Testumgebung durchgeführt und ausgewertet. In dieser Arbeit soll außerdem gezeigt werden, welcher Schaden durch die Botnetze entstehen kann und welche Gegenmaßnahmen eingesetzt werden, um diese auszuschalten. Anschließend soll auch gezeigt werden, wie solche Botnetze erkannt werden können. Die vorliegende Arbeit ist in folgende Kapitel unterteilt: In Kapitel 2 sollen zuerst die theoretischen Grundlagen besprochen werden, die für die Verständnis der weiteren Ausarbeitung dienen sollen. Diese bestehen aus einem Überblick über verschiedene Malwarearten (2.1), einer Beschreibung der Peer-to-Peer Netze (2.2), welche das Kademliaprotokoll (2.3) benutzen, gefolgt von Churn (2.3.7), dem Verschwinden und Auftreten eines Peers in einem Netzwerk. Im Abschnitt 3 werden der Aufbau und die Funktionsweise von Botnetzen detailliert beschrieben. Diese werden einmal in Serverbasierte Botnetze (3.1), Fast-Flux-Botnetze (3.2) und Peerto-Peer-basierte Botnetze (3.3) unterteilt. Der Abschnitt 3.4 gibt einen Überblick über die Hauptinfektionsquellen, welche die Bots nutzen. Im Abschnitt 3.5 werden verschiedene Angriffsarten besprochen, die von Botnetze ausgehen können. Danach 3

11 Einleitung werden im Abschnitt 3.6 verschiedene Gegenmaßnahmen erwähnt, die dazu dienen die Botnetze zu analysieren und eventuell komplett auszuschalten. Im vierten Kapitel wird ein Fallbeispiel mit einem Bot präsentiert. Hier handelt es sich um den Agobot. Im Abschnitt 4.1 werden zunächst seine Eigenschaften und die Funktionsweise beschrieben. Danach wird in 4.2 die aufgebaute Infrastruktur präsentiert, in der die Softwareinstallation (4.2.1) und die Konfiguration des IRC- Servers und IRC-Clients (4.2.2) durchgeführt werden. Im Abschnitt 4.3 wird anschließen die Konfiguration des Agobots gezeigt, gefolgt von der Infizierung der Computer (4.3.1) bis hin zur Kontrolle des Botnetzes (4.3.2). Danach werden im Abschnitt die wichtigsten Agobot-Kommandos aufgelistet und die Netzwerkaktivität (4.3.4) analysiert. Anschließend wird in Abschnitt 4.4. die Verbreitung von Agobot beschrieben. Im letzen Kapitel (5) wird ein Ausblick auf die Gefahr der Botnetze dargestellt und es werden einige offene Fragen angesprochen. 4

12 Grundlagen 2 Grundlagen Botnetze dienen als Verbreitungsweg von Viren und Würmern, um nachdem sie erfolgreich Systeme infiziert haben, von einem Angreifer ferngesteuert werden. In diesem Kapitel werden notwendige Grundlagen erklärt, die zum besseren Verständnis von Bots und Botnetzen verhelfen sollen. Zunächst werden verschiedene Arten von Malware beschrieben (2.1.). Danach werden im Abschnitt 2.2 die Peer-to-Peer-Netze vorgestellt, gefolgt von Kademlia (2.3), welche für die Art und den Aufbau von Peer-to-Peer-Botnetzen eine große Rolle spielt. Kademlia ist eines der wichtigsten Protokolle, das Informationen über den Aufbau von Botnetzen beinhaltet. Es ist die Voraussetzung zum besseren Verständnis von Kapitel 3 (Aufbau und Funktionsweise von Botnetzen). 2.1 Malware Der Begriff Malware kommt aus dem Englischen und setzt sich aus den Worten malicius, was bösartig beduetet, und Software zusammen. Darunter versteht man Programme und Programmcodes, die unerwünscht auf einem Rechner laufen und dessen Ziel es ist, dem Benutzer oder dem System Schaden zuzufügen [9]. Es existieren verschiedene Arten von solchen Schadprogrammen, die auf verschiedene Art und Weise verbreitet werden. Nachfolgend werden diese Typen von Schadprogrammen im Einzelnen erläutert Viren Ein Computervirus ist ein Programm, das sich absichtlich und unbemerkt an Dateien und Programme anhängt oder deren Code komplett ersetzt. Erst wenn diese infizierten Dateien oder Programme ausgeführt werden, wird der Viruscode aktiv und kann sämtlichen Schaden anrichten und sich weiterverbreiten. Es ist also eine Benutzeraktion notwendig, damit der Virencode zur seiner Ausführung kommt und weitere Systeme infizieren kann. Es existieren zwei Klassen von Viren. Zum einen sind es Programmviren und zum Anderen Makroviren. 5

13 Grundlagen Programmviren bestehen, wie die meisten ausführbaren Programme, aus Assemblercode, welcher stark von der Hardwareplattform und dem jeweiligen System abhängig ist. Weil sich der Virencode in einen Programmcode einnisten muss, ist ein Programmvirus meistens auf eine bestimmte Hardwareplattform und Betriebssystem als Wirt angewiesen und kann somit Programme mit anderer Plattform oder anderen Betriebssystemen nicht infizieren [9]. Solche Viren können nicht nur ausführbare Dateien infizieren, sondern auch die Hauptspeicher der Rechner. Sie können sich aber auch mit Dateien oder Dokumenten verbreiten, die vorher auf einem System infiziert wurden, und als Anhang mit einer versenden werden. Werden diese Dateien am anderen Ende ausgeführt, kann dadurch ein weiteres System infiziert werden. Makroviren kommen in Form von Makros vor und sind somit auf eine Umgebung angewiesen, wo die Makrosprache ausgeführt wird. Ein Beispiel für die Makrosprachen sind VBA oder VBS. Makros werden beispielsweise innerhalb von Textverarbeitungsprogrammen ausgeführt, wo sie bestimmte Vorgänge, wie Dateien öffnen, ändern oder abspeichern, automatisieren. Ein Makrovirus nistet sich in solche Anwendungen und versucht meistens die Standardvorlage zu infizieren. Da diese bei jedem Programmstart automatisch geladen wird, wird auch der Virus automatisch mit geladen, wobei er später jedes neu erstellte Dokument infiziert. Manche Viren können bei ihrer Verbreitung Teile von sich verschlüsseln und bei weiterem Verbreitungsvorgang den Schlüssel wieder so ändern, dass es den Virenscannern schwer fällt dessen Signatur zu erkennen Trojaner Der Name Trojaner ist vom Trojanischen Pferd der griechischen Mythologie abgeleitet, und ist ein Programm, das vorgibt eine nützliche Funktion zu haben, aber einen schädlichen Code beinhaltet, der im Hintergrund dem System und den Anwendern Schaden zufügt. Die Trojaner können nur mit einer menschlichen Interaktion auf ein System gelangen. Dabei werden die Benutzer meistens zu besonderen Anlässen (Feiertage oder Veranstaltungen) beeinflusst, Dateien aus dem Internet runterzuladen. Beim Ausführen dieser Dateien, wird neben der vorgegebenen Funktion zusätzlich ein schädlicher Code gestartet, der zur Installation 6

14 Grundlagen anderer Schadprogramme führen kann, wie z. B. Rootkits oder Bots. Trojaner können aber auch über Backdoors von Angreifern in ein System eingeschleust werden Würmer Im Gegensatz zu den Viren, die immer auf einen Wirtsprogramm angewiesen sind, um weitere Systeme zu infizieren, können Würmer dies selbständig und ohne menschliche Interaktion erreichen. Sie gelangen auf Rechner, in dem sie auf ihrem Verbreitungsweg über ein Netzwerk die Schwachstellen der Betriebssysteme oder der Anwendungsprogramme ausnutzen. Einige dieser Schwachstellen können in Betriebssystemen bereitgestellte Dienste oder ungenügend konfigurierbare Firewalls sein. Wenn der Wurm auf einen Rechner gelangt, versucht er gezielt über das Netzwerk weitere Rechner, die ebenfalls diese Schwachstelle haben, zu befallen. Auf diese Art und Weise können sich Würmer sehr schnell innerhalb von kurzer Zeit auf Tausenden von Rechner verbreiten, was sie zu einer großen Gefahr im Internet macht Spyware/Adware Der Begriff Spyware setzt sich aus dem englischen Wort Spy, was übersetzt für Spion steht, und ware, der Endung von Software. Darunter versteht man Programme, die auf einem Rechner installiert sind und ohne Zustimmung und Wissen des Benutzers persönliche Daten sammeln und diese dann an die Angreifer weiterleiten. Die Hersteller dieser Programme nutzen diese Daten, um das Surfverhalten des Nutzers zu analysieren, um ihm beispielsweise beim späteren Surfen im Internet angepasste Werbebanner oder Pop-Ups einzublenden (Adware). Hierfür kommen meistens sogenannte Keylogger zum Einsatz, welche zur Aufzeichnung von Tastatureingaben des Benutzers dienen, um an vertrauliche Informationen, wie Passwörter, zu gelangen. Oft wird Spyware mit Rootkits und Backdoors in Verbindung gebracht, da sie dem Angreifer ermöglicht, auf dem System unsichtbar zu bleiben. 7

15 Grundlagen Backdoors Backdoors (auch Trapdoors genannt, Hintertüren) ermöglichen einem Eindringling, unter Umgehung der sonst üblichen Sicherheits- und Authentifizierungsmechanismen Zugriff auf ein kompromittiertes System zu verschaffen. Zur solchen illegalen Zwecken werden meistens Fernwartungsprogramme, wie Back Orifice oder SubSeven, raffiniert missbraucht. Das Fernwartungstool Back Orifice kann versteckt eingesetzt werden, da sein Name beliebig geändert werden kann. Es taucht weder in der Task-Liste auf, noch wird es durch ein Symbol angezeigt. Die Existenz des Programms bleibt für den Benutzer komplett unsichtbar und ein Angreifer kann somit unbemerkt auf ein System aus der Ferne zugreifen und es unter seine Kontrolle bringen. Dieses Tool wird von Angreifern gerne als ein Hintertür-Programm verwendet, um Trojaner auf Computer einzuschleusen. SubSeven ist ebenfalls auf der Beliebtheitsskala der Angreifer sehr hoch. Der SubSeven-Server aktiviert sich über den TCP-Port 27374, den Standardport für Client-Verbindungen. Nach einer erfolgreichen Verbindung des Clients, kann ein Angreifer sämtliche Steuerungsmöglichkeiten auf dem Rechner durchführen, wie z. B. einen Webserver starten und eine vordefinierte Adresse aufrufen. Der SubSeven- Server ist ein typisches Tool um eine IRC-Verbindung aufzubauen. Ein Angreifer kann somit einen eigenen IRC-Server und einen Channel generieren. Dadurch kann der SubSeven-Server als ein IRC-Server für ein Botnet fungieren, über den der Angreifer seine Befehle erteilt. SubSeven hat ebenfalls die Eigenschaft den Angreifer über IRC oder zu kontaktieren und diesen über sämtliche Angriffe zu informieren [12]. Ohne Bedenken ist SubSeven ein mächtiges und raffiniertes Angriffstool Rootkits Rootkit (auch root kits) ist eine Software, die versucht verschiedene Schadprogramme, Prozesse und infizierte Dateien vor Antivirenprogrammen zu verstecken und Aktivitäten eines Angreifers für den echten Benutzer des Systems 8

16 Grundlagen unsichtbar zu machen. Zu den versteckten Schadprogrammen gehören meistens Würmer und Backdoors. Ursprünglich war der Begriff Rootkits auf unixbasierte Systeme beschränkt und erlaubte einem Angreifer Root-Zugriff (root ist bei Unixsystemen der Benutzer mit Administrationsrechten) zu erlangen, um dadurch ohne Spuren zu hinterlassen, ein System zu manipulieren. Mittlerweile gibt es Rootkits auch für Nicht-Unix-Systeme Zombies Wurde ein Rechner mit Malware kompromittiert, kann sich dieser in einen Zombie verwandeln. Dies bedeutet, dass der betroffene Rechner, ohne Wissen des Benutzers oder der Administratoren, von einem Angreifer ferngesteuert und kontrolliert werden kann. Diese Fernsteuerungsmöglichkeiten werden meistens für kriminelle Zwecke genutzt. Die Angreifer benutzen dabei von ihnen selbst generierte IRC-Server und Channels, über die sie Befehle an die Malware schicken, die diese dann ohne Weiteres ausführt. Ein kompromittierter Rechner kann missbraucht werden um weitere Angriffe durchzuführen, wie z. B. DOS-Attacken oder Angriffe auf weitere Rechner mit dem Ziel, auch diese in Zombies zu verwandeln. Wenn mehrere Rechner auf diese Art und Weise kompromittiert werden, entsteht ein Botnet. Die Angreifer versuchen meistens Peer-to-Peer Botnetze zu schaffen, da sich dabei die Urheber des Schadens sehr schwer zurückverfolgen lassen. Peer-to-Peer- Strukturen, wie Kademlia, werden im Abschnitt 2.3 genauer betrachtet Bots Der Begriff Bot ist die Abkürzung vom Wort Robot. Im technischen Fall versteht man darunter eine Maschine oder ein Programm, das von sich aus alleine, ohne menschliches Eingreifen, verschiedene Aktionen ausführt [7]. Dieses Programm wird auf einer kompromittierten Maschine, ohne Einwilligung des Besitzers, installiert und ausgeführt. Dadurch eröffnet sich ein Kommunikationskanal zwischen dem Angreifer (auch Bot-Master oder Bot-Operator genannt) und dem Bot. Über diesen Kommunikationskanal erteilt der Angreifer dem Bot Befehle, die dieser 9

17 Grundlagen dann ausführt. Durch diesen Kommunikationskanal wird eine Server-Client- Verbindung aufgebaut. Werden mehrere Client-Systeme, die mit Bot infiziert sind, zusammengeschaltet, so spricht man von einem Botnetz. Die Bots erhalten ihre Befehle über eine zentrale Kontrollstruktur, dem C & C- Server, über den der Bot-Master die komplette Kontrolle über alle mit Bots infizierte Rechner hat. Alle Bots lauschen somit permanent auf die Befehle des Bot-Masters, um diese regelrecht auszuführen. In der Vergangenheit diente die Funktionalität der Bots zur Automatisierung von Internet Relay Chat (IRC), einem System, über den textbasierte Nachrichten ausgetauscht werden können [8]. Der Angreifer nutzt dieses System aus, in dem er für sich einen IRC-Server einrichtet, um somit den sogenannten Channel zu öffnen. Die Bots verbinden sich zu solch einem IRC-Server und treten somit dem Channel bei, über den sie auf ihre Befehle warten. Diese Channels sind meistens mit einem Passwort geschützt, das nur dem Bot-Master bekannt ist und er somit alleine die Kontrolle über seine Bots hat. Über diesen IRC-Server werden die Bots ferngesteuert und können verschiedene Funktionen ausführen. Sie können u. a. DDoS-Angriffe ausführen, weitere Systeme scannen, die ebenfalls infiziert werden können oder führen verschiedene Downloads durch [7]. Andere Botnetze nutzen wiederrum zum Nachrichtenaustausch das http-protokoll. Hier richtet der Bot-Master im Gegensatz zu einem IRC-Server einen http-server ein. Dort hinterlässt er seine Befehle, die die Bots ausführen sollen. Hier besteht keine permanente Verbindung, sondern die Bots verbinden sich periodisch mit diesem http-server, um von dort aktuelle Befehle zu erhalten, die sie dann ohne Verzögerung ausführen. Weitere Kommunikationsmethoden sind Peer-to-Peer- Protokolle, die im Abschnitt ausführlich besprochen werden. Um die Funktionsweise von Botnetzen noch besser verstehen zu können, werden zunächst im Abschnitt 2.2 und 2.3 wichtige Grundlagen und Begriffe besprochen Schaden der Malware Der angerichtete Schaden durch verschiedene Schadprogramme kann manchmal sehr hoch sein. Durch Malware kann auf einer kompromittierten Maschine sowohl 10

18 Grundlagen Software als auch Hardware zerstört werden. Malware ermöglicht vertrauliche Daten zu stehlen, was zum Missbrauch und Erpressung führen kann. Malware von infizierten Systemen zu entfernen kann ebenfalls zu hohen Kosten führen. 2.2 Peer-to-Peer-Netze Peer-to-Peer-Netze (P2P) sind unabhängig von zentralen Strukturen und arbeiten somit selbstorganisierend. Jeder Knoten (Rechner) ist gleichberechtigt und die Technik ermöglicht, dass Clients als Server fungieren können und umgekehrt. Die Aufgaben aller im P2P-Netze existierenden Rechner sind gleichverteilt. Sie bauen die Netzstruktur selbstständig auf und versuchen diese aufrecht zu erhalten. Dies ist eine beliebte Variante der Botnetzbetreiber ihre Botnetze aufzubauen, da es hier keine zentrale Kontrollstruktur gibt. Jeder Rechner kann als eine Kontrollstuktur fungieren. Die Botnetzbetreiber können sehr schwer strafrechtlich zurückverfolgt werden. Um den Aufbau der P2P-Netze verständlich zu machen, wird die Kademlia- Technik (2.3) vorgestellt. Netze die über eine zentrale Kontrollstruktur verfügen, können allein durch ihre Abschaltung außer Gefecht gesetzt werden. Wie diese Gegenmaßnahmen angewendet werden, wird im Abschnitt 3.6 genauer erläutert. 2.3 Kademlia Kademlia ist ein Algorithmus, welches im Jahr 2002 von Peter Maymounkov und David Manzieres entwickelt wurde. Bei dieser Technik wird eine Distributed Hash Table (DHT) implementiert, die ein strukturiertes Peer-to-Peer-Netz aufbaut und die Art und Weise des Netzes festlegt. Kademlia wird eingesetzt, um die Kommunikation und Austausch von Netzwerkknoten zu organisieren [14]. Die Aufgabe einer verteilten Hash-Tabelle ist, Informationen über ein Netzwerk, welcher aus vielen Knoten (Peers) besteht, zu speichern, wobei jeder Knoten einen Teil der Informationen (Werte) speichern und bereitstellen kann. Der Aufwand von Kademlia ist sehr effizient, nämlich (log ) [14]. 11

19 Grundlagen In diesem Kapitel wird zunächst erläutert, welche Rolle die Attribute-Value-Pairs (2.3.1) spielen. Es werden die XOR-Metrik (2.3.2), die Routingtabellen(2.3.3) und Operationen des Kademlia-Protokolls (2.3.4) beschrieben. Danach wird der Netzwerkbeitritt (2.3.5) und die Gültigkeitsdauer der Attribute-Value-Pairs angesprochen (2.3.6) und anschließend Churn (2.3.7), das Auftreten und Verschwinden der Peers Attribute-Value-Pair DHTs werden meistens in Filesharing-Tools (emule, KaZaa, Gnutella) eingesetzt. Dabei werden meistens Informationen, die zum Auffinden von gewünschten Dateien benötigt werden, in einem Netzwerk gespeichert. Bei diesem Vorgang werden bestimmte Tupel eingesetzt, beispielsweise <Pointer,Key>. In diesem Fall ist der Pointer ein Zeiger, der auf bestimmte Hosts zeigt, die z. B. gewünschte Dateien zum Downloaden bereitstellen und den dazugehörigen Schlüssel. Der Zeiger kann aber auch in Form von einem Tupel <IP,Port> bestehen, der die IP-Adresse und den Port eines Hosts anzeigt. Hier ist der Schlüssel (Attribute) ein Hashwert des gewünschten Dateinamens oder Inhaltes. Zu diesen Schlüsseln werden bestimmte Werte (Value) zugeordnet, die mit der Hilfe einer Hashtabelle einfach und jeder Zeit wiederaufgerufen werden können. Dies geschieht mit den sogenannten lookup- Abfragen. Im Nachfolgenden wird die Funktionsweise von Kademlia näher beschrieben, da Kademlia für P2P-Botnetze eine große Rolle spielt. Eine P2P- Technik, wie Kademlia, ist notwendig zum späteren Verständnis der Funktionsweise von P2P-Botnetzen. Kademlia wird in Verbindung mit dem User Datagramm Protocol (UDP) eingesetzt. UDP ist ein unzuverlässiges und verbindungsloses Netzwerkprotokoll, das auf der Transportschicht seine Verwendung findet. Seine Aufgabe ist es, die über das Internet gesendete Daten, der richtigen Anwendung auf dem Zielrechner zukommen zu lassen. Dabei werden UDP-Ports verwendet. UDP sendet immer die Port-Nummer des Dienstes, der die Daten am Zielrechner erhalten soll [15]. 12

20 Grundlagen XOR-Metrik Die besondere Eigenschaft von Kademlia ist der virtuelle Adressraum für die Knoten-IDs und Schlüssel mit 160 Bit Breite. Jeder im Netz beteiligte Knoten (Client) besitzt eine anfangs zufällig generierte 160 Bit breite Identifikationsnummer (ID). Jeder Informationsinhalt bekommt ebenfalls einen eindeutigen 160 Bit Hashwert durch DHT zugewiesen. Dies ist der Schlüssel einer Datei, die in einem Netzwerk abgelegt oder gesucht wird. Dadurch können die IDs und die Schlüssel miteinander verglichen und deren Abstände berechnet werden. Für die Abstandfunktion wird XOR benutzt. Um den Abstand d zwischen zwei 160-Bit-IDs oder Schlüsseln (x und y) berechnen zu können, wird folgende Funktion definiert: (, ) = Dies kann man auch folgendermaßen interpretieren: Abstand (Argument_1,Argument_2)=Argument_1 XOR Argument_2. Der Abstand d zwischen 1011 und 1000 beträgt beispielsweise (1001,100)=0011. Eine weitere Eigenschaft von XOR ist die Undirektionalität. Darunter versteht man, dass es zu jedem gegebenen Punkt (Schlüssel bzw. ID) und bei der Distanz ԑ > 0, genau ein Punkt (Schlüssel bzw. ID) existiert, so dass (, )=ԑ. Wenn ein Wert gespeichert werden soll, wird dessen 160-Bit-Hash-Wert berechnet und sein Wert wird dann auf den Knoten abgelegt, dessen ID dem Hash am nächsten ist bzw. der Abstand am kleinsten ist. Die Information (Wert) befindet sich dann auf dem Knoten, der den geringsten Abstand aufweist Routingtabellen Alle beteiligten Knoten in einem Kademlia-Netzwerk werden als Listen verwaltet. Um den kompletten Adressraum zu überblicken, verwaltet jeder Knoten 160 Listen von Tupel <IP,UDP,ID>. 13

21 Grundlagen Bei 0 <160 verwaltet die Liste die Knoten, deren Abstand um 2 bis 2 betragen. Daher gilt [2,2 ]. Jedes Tupel beschreibt einen Knoten im Netzwerk. Die IP zeigt die genaue IP-Adresse des Hosts, UDP den UDP-Port und ID den ID-Knoten. In einer solchen Liste können maximal k Einträge platziert werden [16]. k ist ein Parameter, dessen Richtwert in der Praxis k=20 ist und der immer so gewählt werden sollte, dass der Ausfall aller Knoten, die sich in einer Liste befinden, innerhalb einer Stunde eher unrealistisch ist. Bei P2P-Botnetzen ist diese Eigenschaft von Kademlia von großer Bedeutung. Solche Listen werden auch als k-buckets bezeichnet. Jeder Bucket wird nach dem am längsten nicht kontaktierten Knoten sortiert, wobei die zuletzt kontaktierten Kontaktknoten am Ende der Liste stehen. Diese Struktur bewirkt, dass die Knoten sehr viel über ihre Nachbarknoten wissen, dafür aber nur wenige Knoten, deren Abstand von ihnen groß ist, kennen. Diese Listen werden durch ein Verfahren, das die Aktualisierung von k-buckets bewirkt, selbst aktualisiert. Dies geschieht sobald ein Knoten eine Nachricht von einem anderen Knoten in Kademlia bekommt. Dieses Verfahren sieht folgendermaßen aus: - Wenn ein Absenderknoten in k-bucket bereits existiert, wird er an das Ende seiner Liste sortiert - Wenn ein Absenderknoten nicht in k-bucket existiert und ist das k-bucket noch Platz für Einträge hat, wird der Knoten am Ende der Liste eingefügt - Wenn ein Absenderknoten nicht im entsprechenden k-bucket existiert und das k-bucket hat keinen Platz mehr für neue Einträge, wird der Knoten angepingt, der sich an der Wurzel der Liste befindet. Reagiert dieser nicht mit einem Pong, wird der neue Knoten am Ende der Liste eingefügt oder der neue Knoten wird komplett verworfen Operationen des Kademlia-Protokolls Das Kademlia-Protokoll besteht aus verschiedenen Operationen, genau aus vier Remote-Procedure-Calls (RPC), die hier kurz erläutert werden. 14

22 Grundlagen Remote-Procedure-Calls (RPC) Beschreibung PING RPC FIND_NODE RPC FIND_VALUE RPC STORE RPC Überprüft, ob ein Knoten online ist. Ist ein Knoten online und antwortet mit einem Pong, wird somit die Routingtabelle des Empfängers aktualisiert Dieser RPC enthält einen 160-Bit Schlüssel. Der Empfänger gibt zu Schlüssel k die nächsten Tupel (IP,UDP,ID) an den Sender zurück Falls ein Wert auf einem Knoten mittels STORE RPC gespeichert wurde, gibt FIND_VALUE diesen direkt zurück Dieser Befehl dient zum Abspeichern eines Schlüssel-Wert- Paares <Schlüssel.Wert> auf einem Knoten Tabelle 2. 1 : Remote-Procedure-Calls und deren Aufgaben Netzwerkbeitritt Möchte ein Knoten einem Kademlia-Netzwerk beitreten, so besitzt er als Neuankömmling noch keine 160-Bit breite Kennung. Diese wird zufällig mit einer Hashfunktion generiert. Beim ersten Eintritt verfügt der Knoten ebenfalls über keine Knoten in seinen k-buckets. Bei seinem Eintritt muss er mindestens einen bekannten Knoten in seine k-buckets einfügen. Danach führt er einen FIND_NODE auf die eigene ID durch, was dazu bewegt, seine Nachbarknoten (Peers) kennenzulernen und da-durch seine k-buckets zu füllen. Dadurch wird der Knoten für andere Knoten selbst sichtbar. Die Nachbarknoten nehmen den neuen Knoten nach den vordefinierten Regeln in ihre k-buckets ebenfalls auf. Bei jeder späteren Teilnahme an dem Netzwerk verwendet der Knoten immer dieselbe ID Gültigkeitsdauer der Attribute-Value-Pairs Die Einträge der Buckets sind nur für eine bestimmte Zeit gültig. Die Schlüssel- Wert-Paare verlieren ihre Gültigkeit durch einen 24-Stunden-Stempel. Ein Knoten, der ein Schlüssel-Wert-Paar mit STORE RPC gespeichert hat, muss dies alle 24 Stunden wiederholen, sonst verfallen die Einträge. Hinzu kommt, dass jeder Knoten diese Daten neu im Netzwerk ablegen muss. Durch Anfragen und Antworten 15

23 Grundlagen suchender Knoten, werden die Buckets üblicherweise automatisch aktualisiert. Allerdings kann es vorkommen, dass einige Knoten diesen Vorgang über einen längeren zeitraum nicht durchgeführt haben, und somit nicht aktualisiert wurden. Wird innerhalb einer Stunde bei den Buckets kein FIND_NODE durchgeführt, wird es aktualisiert, in dem auf einer zufällig gewählten ID ein FIND_NODE durchgeführt wird Churn Durch das An- oder Abschalten der Rechner oder der P2P-Programme, kann es dazu führen, dass Peers in einem Netzwerk neu auftreten und verschwinden können (Churn). Daher spielt der Parameter k eine große Rolle. Wenn k zu klein gewählt wird, kann es dazu führen, dass Knoten, die Werte zur Verfügung stellen, im selben Moment auch wieder verschwinden können. Die Routingtabelle würde dadurch Einträge erweisen, die auf Knoten zeigen, die aber längst verschwunden sind [17]. Wird k zu groß gewählt, wird dadurch auch der Verwaltungsaufwand erhöht. Daher wird laut Maymounkov und Mazieres [16] empfohlen den Wert von k=20 zu wählen, da damit der Ausfall aller Knoten, die sich in einer Liste befinden, innerhalb einer Stunde ziemlich unrealistisch ist. 16

24 Aufbau und Funktionsweise von Botnetzen 3 Aufbau und Funktionsweise von Botnetzen Die Funktionsweise von Botnetzen hängt von verschiedenen Faktoren ab. Es ist nicht unbedingt notwendig viel über technische Kenntnisse zu verfügen, um ein Botnetz zu schaffen oder kriminell zu missbrauchen. Zur Erstellung eines Botnetzes sind im Internet viele Werkzeuge verfügbar und sogar vorprogrammierte Sourcecodes erhältlich. Ein bereits geschaffenes Botnetz kann auch gekauft oder sogar für Stunden oder Tage für Geld gemietet werden [1]. Wie ein Rechner mit einem Bot infiziert wird, wie sieht die Organisation eines Botnets aus und welche Fähigkeiten ein Bot hat, um sich stets zu aktualisieren, sind Faktoren, die bei einem Aufbau und Funktionsweise von Botnets eine große Rolle spielen. Viele der Bots verbreiten sich über Viren, Trojaner, Würmer und nutzen Programmier- oder Software-Design-Fehler aus, um auf Rechner zu gelangen. In allen Fällen, führt dies zur Installation der Bots auf dem Rechner und der Kontrolle des Bot-Masters über ein System, das am Ende in einen Zombie verwandelt wird. Je nach Art und Weise der Verbreitung, wird das Botnetz erweitert bzw. vergrößert. Bei Viren und Trojanern ist eine menschliche Interaktion notwendig, wobei bei Würmern die Verbreitungsgeschwindigkeit viel größer ist, da hier keine menschliche Interaktion notwendig ist. In diesem Kapitel werden zunächst serverbasierte Botnetze (3.1) beschrieben, gefolgt von den Fast-Flux-Netzen (3.2).Von großer Bedeutung sind ebenfalls die Peer-to- Peer-Botnetze (3.3), gefolgt von den Hauptinfektionsquellen (3.4) der Bots. Im Abschnitt 3.5 werden verschiedene Angriffsarten von Botnetzen erläutert und im Abschnitt 3.6 werden verschiedene Arten von Bots dargestellt. Anschließend werden im Abschnitt 3.7verschiedene Gegenmaßnahmen dargestellt. 3.1 Serverbasierte Botnetze Bei serverbasierten Botnetzen ist eine zentrale Struktur vorhanden, von der aus das komplette Botnetz gesteuert und kontrolliert wird. Die meisten Botnetze benutzen 17

25 Bot Bot Bot Aufbau und Funktionsweise von Botnetzen eine solche Organisation. Die zentrale Struktur ist meistens das Internet Relay Chat Protocol (IRC). IRC ermöglicht textbasierte Kommunikation in Echtzeit (sog. chatten ). Die Funktionsweise besteht darin, dass sich ein Benutzer mit einem IRC- Server verbindet und sich einem Chat-Room (sog. Channel ) anschließt. Diese Channels können mit einem Passwort geschützt werden. Benutzer mit administrativen Rechten können über diese Channels wachen. Auf diese Art und Weise kann ein Botnetz ebenfalls funktionieren. Ein Angreifer generiert einen solchen IRC-Server und die einzelnen Bots agieren als IRC-Benutzer. Sie verbinden sich mit dem IRC-Server und schließen sich dem, vom Bot-Master eingerichteten Channel, an. Der Bot-Master verbindet sich ebenfalls mit diesem Channel und sendet seine Nachrichten, die in diesem Fall Befehle bzw. Kommandos sind, an alle Bots. Die Bots nehmen diese Befehle an und führen diese sofort aus. Diese Befehle können verschiedene Angriffsattacken auslösen. IRC ermöglicht auch einen Channel über mehrere IRCs einzurichten. Im Fallbeispiel in Kapitel 4 wird ein IRC-Server eingerichtet und es wird gezeigt, wie die Kommunikation zwischen dem Bot-Master und Bots funktioniert. Die Abbildung 3.1 zeigt ein Botnetz mit zentraler Struktur und ein Botnetz mit mehreren IRCs. C&C- Server Bot- Master Kommunikation Bot Bot Bot a) Botnetz mit zentralem IRC-Server b) Botnetz mit mehreren IRC-Server Abbildung 3. 1: Vergleich eines serverbasierten Botnetzes mit einem oder mehreren IRCs 18

26 Aufbau und Funktionsweise von Botnetzen Der Vorteil von diesen Botnetzen ist, dass der Angreifer keine spezielle Server- Software benötigt und dass Client-Bibliotheken bereits vorhanden sind. Außerdem können auch Channels in öffentlichen IRC-Netzen genutzt werden. Der Nachteil ist, dass durch das Abschalten des IRC-Servers das gesamte Botnetz außer Gefecht gesetzt werden kann. Dem Angreifer ist es nicht mehr möglich das Botnetz zu kontrollieren. Daher ist es nach dem Abschalten des IRC-Servers nicht mehr notwendig die einzelnen Bots von den kompromittierten Systemen zu entfernen, da sie ohne Kontakt zum IRC-Server keine Funktion mehr haben. Um das Abschalten der IRC-Server zu erschweren, werden die meisten IRC-Server in fernöstlichen Ländern platziert, da dort das Interesse oder Beschwerden gegen Botnetz-Betreiber sehr gering sind [6]. Im nächsten Kapitel wird eine andere Variante der serverbasierten Botnetze erläutert, die das Abschalten der serverbasierten Botnetze fast (aber nur fast) unmöglich macht. Diese Variante nennt sich Fast-Flux-Netz. 3.2 Fast-Flux-Netze Da sich Botnetze durch Deaktivierung oder Abschaltung des IRC-Servers außer Gefecht gesetzt werden können, haben sich die Botnetz-Betreiber eine Variante ausgedacht, um dies zu erschweren. Sie versuchen dies zu umgehen, indem sie mehrere IRC-Server generieren, so dass die infizierten Rechner mit diesen C&C- Server nicht direkt kommunizieren, sondern über eine Zwischenstation. Diese Zwischenstation wird Proxy genannt. Ein Netz, das auf solche Art und Weise aufgebaut ist, nennt sich Fast-Flux-Netzwerk. Fast-Flux ist eine Technik, die Aufrufe einer Domain an viele verschiedene IP- Adressen weiterleitet. Diese IP-Adressen, die einer Domain zugewiesen sind, werden mit dem sogenannten Round-Robin-Verfahren ständig gewechselt und haben dadurch eine sehr kurze Lebensdauer. Eine IP-Adresse einer Domain kann dadurch ca. alle 3 Minuten geändert werden. Es existieren zwei Arten von Fast-Flux- Netzwerken. In einem Single-Flux-Netzwerk, muss ein sogenannter bullet-proof- Server generiert werden, der versteckt und sicher vor Entdeckung und seiner Abschaltung sein muss. Der DNS-Eintrag für eine Third-Level-Domain wird durch diesen Server mit fester IP versehen. In einem Double-Flux-Netzwerk kann der Nameserver für die Third-Level-Domain auch ein Bot aus dem Botnetz darstellen. 19

27 Aufbau und Funktionsweise von Botnetzen Die DNS-Auflösung erfolgt nicht durch den infizierten Rechner, sondern von dem sogenannten Mothership, das durch das Bot als Proxy geschützt bleibt [27]. In einem Fast-Flux-Netzwerk existieren mehrere Proxys, die vom C&C-Server, über den der Botmaster die Kontrolle hat, ihre Anweisungen erhalten. Wenn ein, mit Bot infizierte Rechner, sich mit dem Internet verbindet, ist sein erstes Ziel sich mit dem C&C-Server zu verbinden, um sich neue Befehle zu holen. Dabei kontaktiert er eine Domain (z. B. die auf mehrere IP-Adressen verweist. [6]. Diese IP-Adressen werden, wie bereits erwähnt, mit dem Round-Robin-Verfahren ständig getauscht und haben dadurch eine kurze Lebensdauer. Das bedeutet, dass wenn ein Benutzer einen Host beim DNS abfragt, immer eine andere IP-Adresse zurückbekommt. Diese Eigenschaft führt dazu, um ein Lastausgleich (z. B. Tausenden von Bots) zu erzielen [18]. Die Abbildung 3.2 zeigt ein solches Scenario. Abbildung 3. 2: Fast-Flux-Botnetz Die DNS-Einträge verweisen auf mit Bots infizierte Rechner. Diese sind in diesem Fall die Proxys für den eigentlichen C&C-Server. Hinter diesen Proxys versteckt sich der C&C-Server und bleibt damit im Hintergrund, von wo er seine Befehle losschicken kann. Moderne IRC-basierte Botnetze und deren Betreiber nutzen diese Technik zur Tarnung und um schwer auffindig zu bleiben. Wird ein DNS-Server abgeschaltet, kann das Botnetz nicht beeinflusst werden, da weitere Server existieren, über die Zombies mit dem C&C-Server Kontakt aufnehmen können. In der Abbildung 3.3 wird eine Abfrage einer Flux-Website dargestellt. 20

28 Aufbau und Funktionsweise von Botnetzen Sobald sich ein Bot mit dem Internet verbindet, ist der erste Schritt, eine Abfrage der Domain beim DNS-Server durchzuführen. Von dort bekommt er IP-Adressen von verschiedenen Proxys (ebenfalls mit Bot infizierte Rechner) und baut mit einem dieser Proxys eine Verbindung auf. Durch diese Verbindung erfolgt eine Registrierung des Bots im Netzwerk. Der Proxy kontaktiert den C&C-Server (Mothership) und meldet somit den Bot dort an. Der Proxy schickt an den Bot Befehle zurück, die er vom C&C-Server zuvor erhalten hat. Die Kommunikation erfolgt meistens mit Hilfe von http, da dieses Protokoll in Verbindung mit Firewalls und Proxys problemlos funktioniert [18]. Abbildung 3. 3: Abfrage einer Flux-Website Eine Gegenmaßnahme von Fast-Flux-Netzen ist, die Deaktivierung der Domains. Eine solche Deaktivierung erfolgte im Februar 2010 durch den Softwarehersteller Microsoft. Dabei wurden 277 Internetdomains vom Netz deaktiviert, die mit dem Waledac-Botnet ihre Verwendung hatten [20]. Das Abschalten solcher Domains wird erschwert, wenn diese Domains in Ländern mit nicht stark befasten Cyber- Kriminalität, registriert werden. 21

29 Aufbau und Funktionsweise von Botnetzen Um die Deaktivierung der zentralen Kontrollstruktur bei IRC-basierten Netzen und somit das Abschalten des ganzen Botnetzes zu vermeiden, versuchen immer mehr Botnetz-Betreiber eine dezentrale Kontrollstruktur zu schaffen. Eine solche zentrale Kontrollstruktur wird als Peer-to-Peer-Botnetz genannt und wird im nächsten Abschnitt genauer erläutert. 3.3 Peer-to-Peer-basiertes Botnetz Peer-to-Peer-Netze wurden im Abschnitt 2.2 vorgestellt. Sie sind von zentralen Kontrollstrukturen unabhängig. Ein Knoten (Peer) kann in einem solchen Netz als Server und als Client fungieren. Alle Knoten sind gleichberechtigt und können die Aufgaben anderer Knoten übernehmen. Im Falle, dass ein Knoten abgeschaltet oder deaktiviert wird, wird er durch einen anderen Knoten ersetzt. P2P-Botnetze nutzen eine P2P-Technologie, wie z. B. das Kademliaprotokoll (Kapitel 2.3). Wenn ein Rechner infiziert wurde und sich in ein Botnetz einklinken möchte, muss er mindestens einen Rechner des Botnetzes kontaktieren. Nach diesem Schritt erhält er automatisch weitere Kontaktadressen weiterer Rechner. Ist ein Rechner infiziert, kann ihm dabei eine Liste mit Knoten mitgegeben werden, welche der Rechner bei der ersten Kontaktaufnahme nutzen kann. Es gibt aber auch Bots, die andere P2P- Netze nutzen. Das Phatbot nutzt beispielsweise das Gnutella-Netzwerk. Er verbindet sich mit diesem über einen anderen Port. Auf diesem Weg kann er sich von den anderen Gnutella-Clients unterscheiden und kann, um sein eigenes Netzwerk zu erreichen, andere Knoten finden [18]. Die Verbreitung erfolgt ohne menschliche Interaktion und die Verbreitungsgeschwindigkeit der P2P-Botnetze wird mit diesem Verfahren sehr beschleunigt. 22

30 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 4: Peer-to-Peer-basiertes Botnet In Abbildung 3.4 wird ein P2P-Botnetz dargestellt. In einem P2P-Botnetz ist es nicht mehr erkennbar, hinter welchem Knoten sich der C&C-Server befindet. Der Bot- Master schließt sich dem Botnetz als ein einfacher Knoten an und verteilt von dort aus seine Befehle. Sendet der Bot-Master einen Befehl an einen Bot, verteilt er damit automatisch dieses Befehl an den Rest der Bots. Damit nur der Bot-Master Befehle erteilen kann, kann er alle Befehle mit einer digitalen Signatur versehen. Jeder Bot muss dann den Public Key des Bot-Masters kennen. Erst nach einer erfolgreichen Authentifizierung kann der Bot-Master seine Befehle erteilen und die Bots diese empfangen und an andere Bots weiterleiten. Hier ist eine komplette Abschaltung des Botnetzes kaum möglich. Es besteht nur die Möglichkeit das Botnetz zu verkleinern, indem einzelne Bots deaktiviert werden. Daher ist es von großer Bedeutung, mit wie vielen Bots ein Bot in Verbindung steht. Wird ein Bot deaktiviert, verlieren alle Bots, die mit ihm in Verbindung stehen, den Kontakt und werden somit ebenfalls deaktiviert [19]. Entscheidend ist also, wie viele Listen ein Bot führt und wie voll sein k-bucket ist. Wie bei Kademlia beschrieben, kann ein Bot, der Verbindung zu einem anderen Bot verloren hat, beim nächstem mal seine Listen aktualisieren und eine neue Verbindung zu anderen aktiven Bots herstellen. Letztendlich ist eine komplette Abschaltung eines P2P-Botnetzes fast gar nicht möglich, da es dabei nötig wäre alle Bots in einem solchen Botnetz zu 23

31 Aufbau und Funktionsweise von Botnetzen deaktivieren bzw. auszuschalten. Dennoch gibt es aktive Gegenmaßnahmen, die sogenannte Honeypots, die im Abschnitt beschrieben werden. In heutiger Zeit existieren mehr Botnetze mit zentraler Kontrollstruktur und P2P- Botnetze treten nur vereinzelt auf (Storm-Botnetz). Es ist aber sehr wahrscheinlich, dass in Zukunft immer mehr Botnetze mit dezentraler Kontrollstruktur geschaffen werden. 3.4 Hauptinfektionsquellen Nach der Untersuchung der europäischen Agentur für Netz- und Informationssicherheit sind die Hauptinfektionsquellen Schwächen im Browser, Einschleusung durch -Anhänge, Lücken im Betriebssystem und Downloads von Dateien aus dem Internet [40]. Quelle:https://www.bsi.bund.de/cln_156/ContentBSIFB/Aktuelles/Brennpunkt/botnetze.html Abbildung 3. 5: Hauptinfektionsquellen von Bots 24

32 Aufbau und Funktionsweise von Botnetzen 3.5 Angriffsarten Botnetze bieten verschiedene Angriffsmöglichkeiten an. Es gibt verschiedene Motive, die dazu führen solche Angriffsarten durchzuführen. Der Hintergedanke ist meistens kriminell und führt von Softwareschäden bis hin zur Erpressung von Webunternehmen. Im Nachfolgenden werden die wichtigsten und häufigsten Angriffsarten beschrieben Spamming Einige Bots haben die Möglichkeit einen SOCKS (Sockets) V4/V5 Proxy auf einer kompromittierten Maschine zu öffnen. Das SOCKS-Protokoll dient dazu Client- Server-Anwendungen durchzuführen und die Dienste eines Proxyservers oder einer Firewall transparent und protokollunabhängig zu nutzen. Somit verbinden sich die Clients, die hinter einer Firewall stehen und eine Verbindung mit einem Server aufbauen möchten, mit einem SOCKS-Proxy. Ist der Client berechtigt den Server zu kontaktieren, so leitet der Proxyserver die Anfrage an den externen Server weiter [22]. Hat dies erfolgreich stattgefunden, kann der kompromittierte Rechner dazu genutzt werden Spams zu versenden. Der Bot-Master nutzt in diesem Fall das gesamte Botnetz und die Bots, um Tausende solcher Spams zu versenden. Diese Spams dienen entweder zur Verbreitung von Bots selbst oder für kommerzielle Gründe (Werbezwecke). Die adressen werden über das Botnetz übertragen oder der Bot sucht auf dem kompromittierten Computer nach den adressen für seine Spams. Manche Bots haben sogar eine speziell implementierte Funktion, um E- Mailadressen selbst zu generieren [21]. Die Bot-Master bleiben somit verborgen, denn auf dem Zielrechner, der eine Spam-Mail bekommt, ist nur die IP-Adresse des Zombies sichtbar. Der STORM-Bot nutzt z. B. Spams auf seinem Verbreitungsweg, indem er mit der einen Link zu einem Web-Server mitschickt, auf dem sich der Bot befindet [8]. 25

33 Aufbau und Funktionsweise von Botnetzen From: "Brenda Askew" To: Cc: Subject: Illegales Forum Date: Thu, 11 Mar :32: Das beste illegale Forum Drogen online bestellen. Speed, Kokain, Hash Kinderpornos 5-13 jahre Jungs und Madchen - nur 10eu! deutsche geklaute Creditkarten fur 2 euro Ebay geklaute Login-Daten Paypal geklaute Accounts DDoS nur 30 Euro/Tag Trojane kostenlos Spam auf Bestellung geklaute Postbank, Sparkasse, Volksbank usw. accounts mit TANs Bei uns gibts alles! Aus Sicherheitsgrunden gibts login nur bei nachfragen - . Abbildung 3. 6: Beispiel einer Spam- In der Abbildung 3.6 kann man ein Beispiel einer Spam sehen, die in März 2010 mit dem Betreff Illegales Forum verschickt wurde, dessen Link eventuell auf eine infizierte Seite verweist. Hier ist ebenfalls erkennbar, wie Geschäfte mit Botnetzen und Spams gemacht werden könnten. Nach einer genaueren Analyse konnte festgestellt werden, dass dahinter ein indisches Botnetz steckt, welches von Russen betrieben wird. Das Botnetz ist seit mindestens drei Jahren aktiv Phishing/Pharming Phishing bedeutet, dass Nutzer über gefälschte s (Spams) aufgefordert werden vertrauliche Daten zu verschicken. Dabei werden die Nutzer auf gefälschte Phishing- Seite, die von einem Bot-Master generiert wurde, gelockt, um dort persönliche Daten einzugeben, wie z. B. Konto- oder Kreditkartendaten. Laut heise.de war für rund zwei Drittel aller Phishing-Angriffe eine einzelne Phishing-Bande verantwortlich. Dabei benutzten die Phisher mehrere hundert Domains, die sie bei verschiedenen Registraren registrierten, die auf Hinweise von Ermittlungsbehörden kaum reagieren. 26

34 Aufbau und Funktionsweise von Botnetzen Wenn ein Registrar Verdacht schöpft, gehen die Phisher einfach zu einem weniger achtsamen Registrar, denn davon gibt es anscheinend mehr als genug. Durch die Zusammenarbeit von Banken, Registraren und anderen Dienstleistern, gelang es jedoch die Angriffe zu reduzieren. Letztes Jahr im Oktober waren es ca mit 924 unterschiedlichen Domainnamen, während im April 2010 fast keine Aktivitäten mehr zu beobachten waren [39]. Pharming ist eine ähnliche Angriffstechnik, wie Phishing. Hierbei wird die Auflösung eines Domainnamens in eine IP-Adresse durch den Bot-Master manipuliert. Um IP-Adressen in Domainnamen umwandeln zu können, wird der sogenannte DNS-Server benötigt. Bevor eine DNS-Abfrage durchgeführt wird, durchsucht der Rechner in seiner Host-Datei (eine lokale Datenbank, über die jeder Rechner verfügt), ob die IP-Adresse für den Domainnamen hinterlegt ist [23]. Der Bot-Master nutzt diesen Vorgang aus, indem er in der lokalen Datenbank einen Eintrag manipuliert. Er kann beispielsweise den Eintrag einfügen. Möchte der Benutzer nun die Seite kontaktieren, wird er, statt auf den tatsächlichen buch.de-server, auf die Seite mit der IP-Nummer weitergeleitet. Diese Seite wurde vorher vom Bot-Master fast identisch mit der Seite generiert und der Benutzer soll dabei Kontozugangsoder Kreditkartendaten offenbaren, die für kriminelle Zwecke eingesetzt werden. Der Benutzer weiß am Ende überhaupt nicht, dass er auf eine gefälschte Seite gelangt ist seine Daten eingegeben hat. Er hatte den Anschein an der von ihm gewünschten Seite zu sein Distributed-Denial-of-Service Die Bots werden am häufigsten für DDoS-Attacken genutzt. Bei dieser Angriffsart werden die Bots dazu benutzt gleichzeitig mehrere Anfragen an einen Ziel-Host zu senden, welche die Bandbreite des attackierten Systems so blockieren, dass das System nicht mehr in der Lage ist diese Anfragen zu verarbeiten. Das Ergebnis führt zum Ausfall des Systems (oder einer Online-Präsenz) [21]. Wegen kritischer Berichterstattung wurde im März 2010 die Internetseite 24-stundenlang mit massiven DDoS-Angriffen bombardiert [24]. Zu solchen DoS-Angriffen zählen 27

35 Aufbau und Funktionsweise von Botnetzen beispielsweise Methoden wie SYN-Flooding, die SMURF-Attacke oder Ping of Death. Sie dienen meistens, um eine Überlastfunktion des Systems herbeizuführen. SYN-Flood-Attacken werden benutzt, um Netzwerkdienste, die TCP-Protokoll als Transportprotokoll benutzen, außer Gefecht zu setzen. Bei dieser Methode versucht der Angreifer scheinbar eine TCP-Verbindung aufzubauen und sendet an den Server ein TCP-Segment mit einem gesetzten SYN-Flag. Der Server speichert die halboffene Verbindung und reagiert mit einem SYN-ACK, um die Verbindung aufzubauen, der aber durch den Angreifer nicht mehr beantwortet wird. Der Server wiederholt mehrere Versuche, um die Verbindung aufzubauen und bricht letztendlich mit einem Timeout den Verbindungsversuch ab. Bei diesem Vorgang reserviert Server Ressourcen für die Verbindung. Da die Ressourcen begrenzt sind, kann eine solche Täuschung der Verbindungswünsche dazu führen, die Kapazität auszuschöpfen und dadurch den Server zu überlasten. Aus diesem Grund ist der Server nicht mehr in der Lage weitere TCP-Verbindungen entgegennehmen zu können [9]. Noch gefährlicher und raffinierter sind solche Angriffe, wenn sie mittels gefälschter IP-Adressen (IP-Spoofing) durchgeführt werden. Dabei benutzt der Angreifer IP- Adressen, bei denen er sich sicher ist, dass diese auf TCP-Segmente mit gesetztem SYN-Flag nicht reagieren. Durch IP-Spoofing kann der Angreifer seine Identität verbergen. Allerdings gibt es mittlerweile Möglichkeiten solche gefälschte IP- Adressen durch Betreiber von Netzen (Service Provider) zu identifizieren und herauszufiltern [9]. Bei DDoS-Angriffen verwendet der Angreifer echte IP- Quelladressen, in dem er Befehle an kompromittierte Rechner schickt (also an seine Bots), um solche SYN-Pakete zu versenden. Er bringt z. B. Millionen von Rechnern dazu gleichzeitig eine Anfrage an einen Webserver zu machen, der auf diese nicht so schnell antworten kann und wegen Überlastung abstürzt. Botnetzbetreiber könnten ihre Bots so einsetzen, so dass die komplette Funktion der Internet-Infrastruktur gestört werden kann. Ein Botnetz aus mehreren Tausenden Zombies würde ausreichen, um einen DDoS-Angriff gegen die dreizehn Root-Name- Server, so durchzuführen, dass binnen einiger Stunden zu einem kompletten Internetausfall führen würde [41]. 28

36 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 7: Botnetz-DDos-Angriff SMURF-Attacke basiert ebenfalls auf IP-Spoofing. Dabei sendet der Angreifer ICMP-Echo-Requests (Pings) an eine Broadcastadresse eines Netzes. Als Absenderadresse verwendet der Angreifer eine gefälschte Adresse und leitet die Anfrage in das innere Netz. Alle, an dieses Netz angeschlossene, Clients antworten an die vermeintliche Absenderadresse, was zu einer Überlastung führen kann. Auf diese Art und Weise kann der Angreifer mit einem einzigen ICMP-Paket eine hohe Anzahl von Pongs an sein Opfer herbeiführen [25]. Das Ziel solcher Angriffe ist es Webunternehmen, durch Blockieren ihrer Internetdienste, zu schädigen oder Lösegeld zu erpressen. Im Jahr 2004 wurde während der Fußballeuropameisterschaft das Online-Wettbüro mybet.com erpresst, eine Summe von Dollar zu zahlen. Als sie das geforderte Geld nicht zahlten, wurde ihre Website für 16 Stunden durch gezielte DDoS-Attacken lahm gelegt [26]. Es ist vorstellbar in welcher Höhe der Schaden stand. Es gibt wenige Schutzmöglichkeiten, sich gegen solche DDoS-Attacken zu schützen Verbreitung von Adware und der Klickbetrug Botnetze werden dafür verwendet, um Adware zu verbreiten. Adware ist, wie in Kapitel beschrieben, Software, die unerwünscht beim Surfen im Internet 29

37 Aufbau und Funktionsweise von Botnetzen Werbung anzeigt. Für einen Bot-Master ist es sehr einfach auf einer kompromittierten Maschine Adware zu installieren. Er kann einen finanziellen Gewinn aus seinem Botnetz machen, in dem er mit Werbeunternehmen Verträge abschließt, die ihm für jede angezeigte Werbung bzw. jeden Klick auf dem generierten Werbebanner Geld bezahlen. Mit Hilfe seines Botnetzes kann der Bot- Master diese Klicks automatisch generieren, so dass in einer bestimmten Zeit Tausende von Bots auf die bestimmten Werbebanner klicken [28]. Das Ähnliche kann man mit dem Google AdSense Programm erfolgen. Google AdSense ist ein Programm, das Werbung auf verschiedenen Webseiten anbieten kann. Durch AdSense werden Anzeigen präsentiert, die von Google automatisch erzeugt werden. Google erhält dabei Einnahmen von werbetreibenden Unternehmen durch den Klick auf die Werbebanner. Die Bezahlung erfolgt über die Höhe der Anzahl der Klicks. Einen Teil davon gibt Google an den Werbeanbieter (Website- Betreiber) weiter [29]. Solche Klicks können von Botnetz-Betreibern manipuliert werden, in dem der Bot das Anklicken solcher Werbe-Banner generiert und dadurch die Anzahl der Klicks erhöht. Dies führt dazu, dass das Geld eigentlich dem Botmaster in die Tasche fließt Sniffing und Keylogging Botnetze können ebenfalls dazu benutzt werden, um auf kompromittierten Maschinen den Datenverkehr zu protokollieren. Sniffer bedeutet übersetzt Schnüffler und sie werden meistens dazu benutzt vertrauliche Daten, wie Benutzernamen und Passwörter, herauszulesen. Sind mehrere Computer ein Teil von mehr als einem Botnetz, kann ein Sniffer die Logindaten des fremden Botnetzes ergattern, was dazu führen kann, dass ein Botmaster das andere Botnetz stehlen und es unter seine Kontrolle bringen kann [28]. Ist die Kommunikation der kompromittierten Maschine verschlüsselt, so ist das Protokollieren des Datenverkehrs ohne den Entschlüsselungs-Key nicht möglich. Viele Bots bieten Funktionen, um in solchen Situationen den Datenverkehr dennoch mitlesen zu können. Mit Hilfe eines sogenannten Keyloggers (Mitschneiden der Tastatureingaben des Benutzers auf einem System) können Bot-Master an vertrauliche Daten trotzdem gelangen. Keylogger können Tastatureingaben 30

38 Aufbau und Funktionsweise von Botnetzen aufzeichnen und diese auf der Festplatte des Rechners speichern oder sie über das Internet an einen anderen Rechner verschicken. Um den Speicherplatz zu sparen, können manche Keylogger wiederrum gezielt auf Passwörter warten und speziell nur diese aufzeichnen und speichern [30]. 3.6 Verschiedene Arten von Bots Es existieren viele Arten von Bots und die meisten Quell-Codes stehen im Internet zum Downloaden zur Verfügung. Alle verfügen über besondere Merkmale und jeder Bot besitzt auf seine Art und Weise gewisse Besonderheit. In der folgenden Tabelle sind einige Bots kurz aufgelistet bzw. dargestellt, die über Gemeinsamkeiten verfügen, sich aber auch in ihrem Verbreitungsweg unterscheiden [38], [36], [35], [18]. Botname Eigenschaft Verbreitungsweg Agobot GTBot SDBot Conficker Storm Srizbi Slapper Hochmodular aufgebaut, IRC-basiert,Quellcode C++ IRC-basiert, besteht aus mirc-skripte, Portscanning Geschrieben in C, keine große Anzahl an Features Generieren von Domains, benutzt Signatur für Updatemechanismus P2P, Server-Polymorphismus, Erkennung von virtuellen Maschinen Arbeitet komplett im Kernel-Mode, nutzt Domains zum Verbindungsaufbau P2P, basiert auf UDP und verwendet Port 2002 Nutzt eine Vielzahl von Exploits aus Benutzer werden über Spam auf infizierten Websites gelockt Ausnutzung von Microsoft-Windows-Schwachstellen, Dateidownload von Webserver, Attachement an s, NetBios (Port 139) Windows RPC-Exploit, gilt im Moment als gefährlichster Wurm im Internet mit meistinfizierten Rechnern Links auf infizierte Files, Anhang an Spam-Mails, Rootkitaktivität Installiert sich als Treiber, Rootkitaktivität, Manipulation der Netzwerktreiber, über die er Pakete versendet, Umgehen von Firewall und Sniffer Apache WebServer auf IA32Linux über OPEN-SSL- Exploit Tabelle 3. 1: Verschiedene Arten von Bots und deren Eigenschaften 31

39 Aufbau und Funktionsweise von Botnetzen 3.7 Gegenmaßnahmen Bot-Codes sind meistens modular aufgebaut und können nach Belieben modifiziert werden und verfügen über Funktionen, über die sich der Bot automatisch aktualisieren lassen kann. Die Infektion eines Rechners kann nicht komplett ausgeschlossen werden. Dennoch kann man mit einfachen Maßnahmen das Risiko erheblich reduzieren. Apelle der IT-Fachmänner sind Patches auf die Rechner einzuspielen, um Sicherheitslücken von Systemen zu schließen. Doch dabei handelt es sich um bekannte Sicherheitslücken, aber was ist mit noch nicht bekannten Sicherheitslücken, die Schädlinge dennoch ausnutzen können? Die nächsten Schritte wären das Betreiben einer Firewall und eines Virenscanners. Dadurch wird die Infektion durch die Bots erschwert. Wichtig dabei ist, dass die Anti-Viren-Software regelmäßig aktualisiert wird, um immer auf dem aktuellen Stand zu sein. Allerdings tauchen manche Bots in verschiedenen Varianten auf, so dass die Virenscanner diese nicht sofort erkennen können. Desweiteren sollte man nicht als Administrator am PC arbeiten, denn so können Schadprogramme noch mehr Schaden anrichten. Daher sollten für alle Nutzer Benutzerkonten eingerichtet werden. Wichtig ist auch Aktive Inhalte im Browser zu deaktivieren, denn über diese können Bots auf dem Rechner installiert werden. Bei Downloads aus dem Internet sollte man sich vergewissern, ob die Quelle auch vertrauenswürdig ist. Man sollte ebenfalls vorsichtig beim Öffnen von -Anhängen sein, da die meisten Bots über Dateianhänge in s verbreitet werden [40]. Botnetze gehören zu den größten Gefahren des Internets, durch welche großer Schaden angerichtet werden kann, und trotzdem können Strafverfolger, wie die Polizei oder das Bundeskriminalamt, nicht selbständig einschreiten, sondern können erst dann aktiv werden, wenn vom Betroffenen eine Anzeige erstattet wird [31]. Es existieren verschiedene Gegenmaßnahmen, um Botnetze zu erkennen und zu beobachten. Das Ziel solcher Gegenmaßnahmen ist es die Betreiber der Botnetze ausfindig zu machen oder die Botnetze zu übernehmen und dadurch diese abzuschalten. Zu den größten Gegenmaßnahmen gehören die Honeypots bzw. Honeynets. Sie sollen dem Angreifer unerkannt bleiben und er soll gar nicht die Ahnung schöpfen, dass er eventuell überwacht wird. Im nächsten Abschnitt werden die Honeypots genauer beschrieben. Zu den weiteren Gegenmaßnahmen gehört das 32

40 Aufbau und Funktionsweise von Botnetzen Blockieren der Netzbereiche, aus denen die Spams verschickt werden. Allerding ist dies kaum mehr möglich, wenn IPv6 eingesetzt wird Honeypots Honeypots kommt aus dem Englischen und bedeutet übersetzt Honigtopf. Honeypots gehören zu den technischen Gegenmaßnahmen, die zur Erkennung und Analyse von Botnetzen dienen. Mehrere Honeypots bilden das sogenannte Honeynet. Dies sind Computer, die mit Absicht mit Schwachstellen programmiert werden, um von Bots absichtlich infiziert zu werden, damit sie ein Teil eines Botnetzes werden. Auf diese Weise können Informationen über Verhaltensmuster bzw. Angriffsmuster der verschiedenen Bots gesammelt und später analysiert werden. Durch diese Analyse des Netzverkehrs können Angriffe im Internet, die ähnliches Verhaltensmuster vorweisen, erkannt werden. Die genaue Analyse der Bots und Malware dient dazu, effektive Methoden zur Erkennung und Bekämpfung von Botnetzen zu entwickeln. Es existieren verschiedene Honeypots, wie z. B. GenII oder mwcollect. Die Architektur des GenII-Honeynets besteht aus einem oder mehreren ungepachten Systemen (Honeypots). Diese Rechner werden absichtlich eingesetzt, um die Bots zu locken, diese zu infizieren. Der wichtigste Bestandteil des Honeynets ist die Honeywall. Dies ist eine Art Firewall und ist ein Gatewaygerät, das die Honeypots von der Außenwelt trennt und verhindert, dass infizierte Honeypots Kontakt zu ihren Botmaster aufnehmen können. Jeder Netzwerkverkehr, also jedes Betreten oder Verlassen der Pakete, muss durch die Honeywall durchgehen [32]. Die Abbildung 3.8 zeigt einen Honeynet, das durch die Honeywall von der Außenwelt geschützt wird. Gefangene Bots können ebenfalls absichtlich freigelassen werden. Honeynets ermöglichen das Mitschneiden der Kommunikation zwischen Bot und seinem Bot- Master, wobei weitere wichtige Informationen gesammelt werden können. Der Code des Bots kann ebenfalls alle Informationen über z. B. eine Verbindung zum IRC- Kanal enthalten und werden dabei keine asymmetrischen Verschlüsselungsverfahren eingesetzt, kann dies dazu führen, dass durch Honeynets ein Botnetz übernommen bzw. abgeschaltet werden kann. 33

41 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 8: Honeynet Bei der Analyse des Conficker-Wurms hatten Experten im Schadcode Hinweise gefunden, dass dieser am 01. April 2009 eine große Kommunikationswelle aktivieren wird und den weltweit geschätzten 15 Millionen infizierten Rechner Anweisungen für neue Angriffe erteilen sollte. Dabei warnten sie Unternehmen vor u. a. enormen Spam-Angriffen. Diese blieben jedoch aus. Das Einzige was sich an diesem Datum änderte, war das Kommunikationsverhalten des Wurms. Er kann seitdem über Domains neue Updates, Anweisungen oder Schadsoftware nachladen, was dazu führen kann, dass er noch größere Angriffe durchführen könnte und es ihn noch gefährlicher macht [33]. Eine der weiteren Gegenmaßnahmen ist es mit Hilfe von Top Level Domain Verwalter und Internet Service Provider die zentralen Server oder Websites, die als Zugangspunkt der Botnetze dienen, sperren zu lassen. Dadurch könnte die zentrale Struktur des Botnetzes außer Gefecht gesetzt werden. Wird ein Botnetz übernommen, könnte über die Verteilungsfunktion neuer Schadsoftware eine Deinstallationssoftware eingesetzt werden, die auf infizierten Rechnern automatisch installiert wird und Teile des Bots deinstalliert oder Kommunikationsports sperrt. 34

42 Aufbau und Funktionsweise von Botnetzen Doch bei der Übernahme oder Kontrolle der Bot-Netzwerke können rechtliche Probleme auftreten. Wird ein Botnetz von Security-Software-Firmen oder anderen Einrichtungen übernommen, können sie als reale Personen identifiziert werden und können, falls sie aktive Gegenmaßnahmen, wie das entfernen oder deaktivieren der Bots, an den infizierten Rechnern durchführen, für den Verlust der Daten oder für Produktionsausfälle haftbar gemacht werden Selbstverteidigungsmechanismus der Botnetze Moderne Botnetze haben die Eigenschaft sich selbst zu aktualisieren, indem sie, wie ganz normale Programme, Updates ausführen. Hierbei schickt der Bot-Master einen Befehl an alle Bots, um dies zu erzielen. Sobald alle Bots online sind, laden sie sich eine neue Version des Bots herunter und installieren diese auf kompromittierte Systeme, auf denen sie laufen. Die Verwendung solcher Bots führt dazu, dass sich beispielsweise IRC-basierte Botnets in P2P-Botnetze verwandeln können. Einige Versionen der Bots, beispielsweise der Storm-Bot, haben die Möglichkeit virtuelle Maschinen zu erkennen [8]. Dabei bringen sie die virtuellen Maschinen zum Absturz oder führen ihre Funktionen auf ihnen erst gar nicht aus. Andere wiederum verschlüsseln bei der Verbreitung ihren Code, so dass die Erkennung durch die Antivirenprogramme erschwert wird. Alle Bots laufen unauffällig auf kompromittierten Rechnern und nutzen dabei Root- Kits. Dadurch wird die Existenz der Bots auf solchen Rechnern völlig verschleiert. Moderne Varianten der Selbstverteidigungsmechanismen der Bots ist eine Manipulation der Virenscanner oder gar deren komplette Deaktivierung. Dabei läuft der Bot im Hintergrund und manipuliert die Antivirenanwendung, so dass dieser keine Möglichkeit hat den Bot zu erkennen. Raffinierte Bots (Agobot) sind modular aufgebaut und können daher um weitere Funktionen erweitert werden. Dadurch kann der Bot-Master immer wieder neue Funktionen implementieren und durch ein Update Bots, die unter seiner Kontrolle sind, aktualisieren. Die größte Gefahr des Internets stellt eine Kombination aus einem P2P-Botnet dar, das sich mit einem Wurm verbreitet und stets sich selbst aktualisiert. Die Größe des 35

43 Aufbau und Funktionsweise von Botnetzen Botnetzes kann sehr schnell wachsen und der Eigenschutz eines solch dynamischen Botnetzes ist weitgehen hoch. Einen Wurm, der sich selbstständig verbreitet und immer durch dessen Betreiber auf den aktuellsten Stand gebracht wird, indem er ihn mit neuen Exploits für neue Sicherheitslücken in Systemen aktualisiert, ist fast unmöglich außer Gefecht zu setzen. 36

44 Fallbeispiel mit Agobot 4 Fallbeispiel mit Agobot In diesem Kapitel wird ein konkretes technisches Fallbespiel mit Agobot dargestellt. Das Ziel dabei ist den Aufbau und Funktionsweise des Botnetzes zu zeigen. Dabei wird die VM-Workstation benutzt, um über virtuelle Maschinen die Infrastruktur aufzubauen. Es werden vier VMs (Virtuelle Maschinen) benutzt. Auf einer wird der IRC-Server installiert zusammen mit Wireshark, um später den Datenverkehr mitschneiden zu können. Auf der anderen VM wird der IRC-Client installiert. Die dritte VM wird für die Entwicklungsumgebung benutzt und am Ende mit Agobot infiziert. Die vierte VM wird ebenfalls mit Agobot infiziert. Anschließend wird die Kommunikation zwischen dem IRC-Server und dem Bot-Master dargestellt. Im Abschnitt 4.1 wird zunächst die Funktionsweise von Agobot erläutert, danach wird in 4.2 der Aufbau der Infrastruktur gezeigt, in der die genau Definition des Netzes (4.2.1) und Softwareinstallation (4.2.2) gezeigt werden. Im Abschnitt 4.3 wird die Konfiguration des Agobots durchgeführt und anschließend in 4.4 wird die Verbreitung von Agobot erläutert. 4.1 Funktionsweise von Agobot Der Quellcode von Agobot ist in C++ geschrieben und hochmodular. Diese Eigenschaft macht diesen Bot zu den beliebtesten Bots von Crackern. Er wurde im Jahr 2002 vom deutschen Programmierer Axel Ago Gembe entwickelt, der sich am Ende des Jahres 2006 vor dem Amtsgericht in einem Strafprozess als Verantwortlicher für zahlreiche Angriffe verantworten musste [34]. Agobot taucht in vielen Versionen auf und ist auch unter den Namen Gaobot oder Phatbot bekannt. Der Grund dafür ist, dass nach der Veröffentlichung des Quellcodes immer mehr neue Versionen des Bots auftauchen, die aber alle auf den Quellcode des Agobots basieren. Agobot ist ein IRC-basierter Bot, welcher als Grundlage das Waste Chat Protokoll benutzt. Bei der Infektion eines Systems kopiert er sich in die System- Verzeichnisse und legt in der Registry Einträge an, so dass er bei jedem Systemstart automatisch ausgeführt wird. Er bietet zahlreiche Funktionen (Rootkit- Funktionalitäten), um seine Präsenz auf dem infizierten Rechner zu verstecken. Er 37

45 Fallbeispiel mit Agobot enthält Funktionen, wie Packet-Sniffer, Keylogger und Rootkit-Installer. Desweiteren beinhaltet er einen SMTP-Client, um z. B. Spam-Angriffe und einen http-client, um z. B. DDoS-Angriffe zu koordinieren und durchzuführen. Agobot ist ebenfalls in der Lage virtuelle Maschinen zu erkennen und diese zum Absturz zu bringen [35]. Er beinhaltet umfangreiche Kommandos, die es ihm u. a. erlauben, den IRC-Server oder den Kommunikationskanal zu wechseln, Dateien herunterzuladen und auszuführen, verschiedene DDoS-Angriffe durchzuführen, Proxys einzurichten oder Prozesse auf dem System beenden zu lassen. Eigenen Funktionalitäten können sich durch die Module, die Agobot anbietet, beispielsweise durch das Erweitern der Klassen CommandHandler oder Scanner, implementieren lassen. Nach einer zufälligen Infektion des Windows 7-Rechners, auf dem die Kaspersky-Anti- Virensoftware (Internet-Security-2010) läuft, wurde er unter dem Namen Virus HEUR:Worm.Win32.Generic und als trojanisches Programm mit dem Namen Backdoor.Win32.Agobot.gen aufgegriffen und bei der Gefährlichkeit als sehr hoch eingestuft. 4.2 Aufbau der Infrastruktur Um den Aufbau und die Funktionsweise, bzw. Steuerung und Kontrolle in einem Botnetz deutlich und verständlich zu sehen, musste zunächst eine Infrastruktur aufgebaut werden. Der erste Schritt war, ein Netz in der VMware Workstation aufzubauen. Dafür wurden vier VM (Virtuelle Maschinen) eingesetzt. Auf drei der virtuellen Maschinen wurde XP mit Service Pack 3 installiert und auf der vierten Maschine, wurde XP mit Service Pack 1 installiert. Es wurden zwei VMs mit Agobot infiziert, eine XP mit Service Pack 1 und eine XP mit Service Pack 3. In der VM- Workstation wurde ein Netz mit den vier VMs aufgebaut Softwareinstallation Im zweiten Schritt wurde die Softwareinstallation auf den jeweiligen VMs durchgeführt. Auf der ersten VM (XPSP3_Home_02_IRC_Server) wurde der IRC- Server Unreal installiert. Dieser IRC-Server kann im Internet kostenlos auf der Seite heruntergeladen werden. Desweiteren wurde zur 38

46 Fallbeispiel mit Agobot späteren Netzwerkprotokollation Wireshark installiert. Dieser wurde ebenfalls aus dem Internet heruntergeladen (www.wireshark.org). Auf der zweiten VM (XPSP3_Home03_IRC-Client) wurde der IRC_Client installiert. Hierfür wurde Nettalk eingesetzt. Dieser wurde ebenfalls aus dem Internet heruntergeladen (www.ntalk.de). Die dritte VM (XPSP_Home04_DEV_AGO) dient als Entwicklungsumgebung. Um dort den Agobot kompilieren und konfigurieren zu können, wurde C++ Visual Studio 6.0 Enterprise Edition installiert. Auf dieser VM wurde ebenfalls der Windows SDK (Software Development Kit) installiert. Dieser ist wichtig, da er Tools, Dokumentation, Headerdateien und Bibliotheken enthält, die benötigt werden, um Anwendungen für Windows XP zu entwickeln. Auf dieser VM werden Tests durchgeführt und diese Maschine wird später mit Agobot infiziert. Die vierte VM (XPSP1_Home01_Agobot) wird am Ende ebenfalls mit Agobot infiziert. Bei der Softwareinstallation war es sehr wichtig auf allen VMs die Firewall, den Sicherheitscenter und die Updatefunktion zu deaktivieren. Folgende Abbildung zeigt die aufgebaute Infrastruktur. Abbildung 4. 1: Aufbau der Infrastruktur 39

47 Fallbeispiel mit Agobot Konfiguration des IRC-Servers und des IRC-Clients IRC-Server Beim Herunterladen des IRC-Servers wurde eine Konfigurationsdatei mitgeliefert, die als Beispiel für eine Konfiguration dienen soll. Wichtig hierbei ist, diese Konfigurationsdatei umzukonfigurieren und dem eigenen IRC-Server anzupassen. Diese Konfigurationsdatei ist eine Art Dokumentation und ähnelt ein bißchen C++. Sie sollte auf jeden Fall gelesen und verstanden werden. Hier ist es möglich persönliche Varianten von IRC zu programmieren. Viele der Angreifer nutzten diese Möglichkeit. In dieser Konfigurationsdatei wurden der Servername und die Serverbeschreibung festgelegt. Als Servername wurde irc.home02.com und als Serverbeschreibung Agobot-Test angegeben. Da dieser Server für Windows und Linux kompatibel ist, mussten in diesem Fall für Windows einige Zeilen auskommentiert werden. Desweiteren kann hier der Name des Channels festgelegt werden, über die include -Anweisung können weitere Konfigurationsdateien eingefügt werden oder es kann der Port festgelegt werden, an dem der IRCd lauscht und den Usern/Server erlaubt, eine Verbindung zum Server aufzunehmen. Es kann ebenfalls eine SSL-Verschlüsselung eingerichtet und es können sämtliche Passwörter festgelegt werden. Nachdem die Datei erfolgreich konfiguriert wurde, muss sie in die unrealircd.conf umbenannt und ins Hauptverzeichnis des UnrealIRCd kopiert werden. Nun kann der IRC-Server gestartet werden. Abbildung 4. 2: IRC-Server Unreal

48 Fallbeispiel mit Agobot Im Status -Button wird der Servername und die maximale Anzahl der Clients angezeigt. Abbildung 4. 3: Statusanzeige des IRC-Servers IRC-Client Nach der erfolgreichen Installation von Nettalk muss zunächst der Name des IRC- Servers bei den Servereinstellungen eingetragen werden, damit eine Verbindung zwischen dem IRC-Client und IRC-Server erfolgen kann. Nachdem Nettalk den IRC-Server irc.home02.com identifiziert hat, findet nach jedem Einschalten des Nettalks sofort eine erfolgreiche Verbindung zum IRC-Server statt. Folgende Abbildungen zeigen diesen Vorgang. Abbildung 4. 4: Serverstatus 41

49 Fallbeispiel mit Agobot Abbildung 4. 5: Verbindung von Nettalk und IRC-Server Von diesem IRC-Client aus kann der Bot-Master, nachdem sich die Bots beim Server angemeldet haben, seine Befehle an die Bots senden. 4.3 Konfiguration von Agobot Bevor ein Angreifer seine Bots verbreiten und ein Botnetz aufbauen kann, muss er als erstes entweder einen eigenen Bot-Code schreiben oder sich einen fertigen Quellcode aus dem Internet herunterladen und diesen dann seinen Anforderungen anpassen. Er kann ihn für seine Zwecke so konfigurieren, dass er nicht unbedingt große Computerkenntnisse haben muss. In diesem Fall wurde der Agobot-Quellcode aus dem Internet heruntergeladen. Bevor der Quellcode kompiliert werden kann, muss zuerst die Konfiguration des Agobots stattfinden. In dieser Phase werden u. a. IRC-Server und Channel-Informationen festgelegt. Hat es der Bot geschafft sich einmal auf dem kompromittierten System zu installieren, wird er sich jedes Mal mit dem ausgewählten IRC-Server verbinden. Die Konfiguration von Agobot erfolgt auf einer graphischen Schnittstelle. Hier werden verschiedene Informationen für den Agobot eingegeben, die er benötigt, um erfolgreich Verbindung zum Bot-Master aufzunehmen. Es werden Name und Port des IRC-Servers, Name des Channels, Username und das Passwort eingegeben. 42

50 Fallbeispiel mit Agobot Desweiteren können ebenfalls verschiedene Plugins aktiviert werden. In der nächsten Abbildung kann man die Konfigurationsoberfläche des Agobots sehen. Abbildung 4. 6: Konfigurationsoberfläche von Agobot In diesem Fall ist der Servername irc.home02.com und die Portnummer ist Auf diesem Port wird später die Netzwerkaktivität protokolliert. Als Username wurde agobot und als Passwort ago angegeben. Mit diesen Daten meldet sich der Botmaster beim Bot an. Es wurde ebenfalls der Name des Channels angegeben. In diesem Fall ist es #phatrab#. Bei der Verbindung mit dem IRC-Server meldet sich der Bot direkt in diesem Channel an. Desweiteren wurden u.a. folgende Plugins aktiviert: inst_plymorph-boolean, sniffer_enabled-boolean, cdkey_windows-boolean. Als Bot-Command-Präfix wurde # angegeben. Diese Bot-Command-Präfix muss später vor jedem Kommando angegeben werden. Als Bot_filename wurde agobot.exe angegeben. Nach individueller Konfiguration entsteht am Ende als Ergebnis eine config.h, die von großer Bedeutung für die Bot-Kompilation ist. Diese Datei kann jeder Zeit verändert, bzw. neu konfiguriert werden. 43

51 Fallbeispiel mit Agobot Infizierung der PCs mit Agobot Nach der Konfiguration wurde der Bot kompiliert. Nach einer erfolgreichen Kompilation wurden beide Testsysteme manuell infiziert. Nach jedem Systemstart versuchen die Bots sich automatisch mit dem IRC-Server zu verbinden. In der folgenden Abbildung kann man die erfolgreiche Verbindung zum IRC-Server irc.home02.com sehen. Von beiden Testsystemen erfolgt dieselbe Verbindung, in der der Bot ebenfalls seinen Nick-Namen und das Passwort mit sendet. Abbildung 4. 7: Verbindung des Bots mit dem IRC-Server In der Abbildung 4.8 kann man deutlich erkennen, dass sich zwei Bots beim IRC- Client (Nettalk) mit den Nicknamen ntpq5x3 und lqumy6m im Channel #phatrab# angemeldet haben. Nach jeder neuen Anmeldung werden die Nicknamen der Bots automatisch bzw. zufällig neu generiert. Abbildung 4. 8: Anmeldung der Bots beim Mater-Computer 44

52 Fallbeispiel mit Agobot Falls einer der Bots eine Zeit lang nicht aktiv ist und nur auf die Befehle des Bot- Masters lauscht, meldet er sich von alleine ab und meldet sich mit einem neuen Nicknamen an. Dadurch bleibt er unauffällig bzw. gut getarnt Kontrolle der Bots Der nächste Schritt besteht darin, die Kontrolle über die Bots zu gewinnen. Dazu ist eine Authentifizierung erforderlich. Dies erfolgt durch das Senden eines Befehls an den Channel bzw. an die Bots. In diesem Fall wurde der Befehl #login agobot ago eingegeben, und wie man in der nächsten Abbildung sehen kann, wird der Username und das Passwort von beiden Bots akzeptiert. Abbildung 4. 9: Username- und Passwort-Authentifizierung Nach der erfolgreichen Authentifizierung hat man die komplette Kontrolle über die Bots übernommen und kann durch verschiedene Kommandos Anfragen an die Bots senden. In den nächsten Abbildungen werden einige Anfragen und Antworten von Bots gezeigt. Mit dem Kommando #bot.about kann man sich Informationen über den Bot anzeigen lassen, wie z. B. Name und Version des Bots. 45

53 Fallbeispiel mit Agobot Abbildung 4. 10: Master-Anfrage und Bot-Antwort-Botinformationen Mit dem Befehl #bot.sysinfo erhält man Informationen über das System, welches mit dem Bot infiziert ist, wie z.b. welches Betriebssystem auf dem Rechner läuft, den Namen des Computers und Informationen über den Speicherplatz. Beide Bots antworten auf den Befehl. Abbildung 4. 11: Master-Anfrage und Bot-Antwort-Systeminformationen 46

54 Fallbeispiel mit Agobot Mit dem Befehl #pctr.list werden alle laufende Prozesse auf den infizierten Rechner angezeigt. Abbildung 4. 12: Master-Anfrage und Bot-Antwort-Laufende Prozesse Mit dem Befehl #irc.gethost werden Netzwerkinformationen, wie z. B. IP-Adresse des infizierten Rechners angezeigt. Abbildung 4. 13: Master-Anfrage und Bot-Antwort-Netzwerkinformationen Es existieren noch weitere Befehle, die im Abschnitt detailliert erläutert werden. 47

55 Fallbeispiel mit Agobot Agobot-Kommandos In diesem Kapitel werden die wichtigsten Agobot-Kommandos aufgelistet. Wenn ein fertiger Quellcode aus dem Internet heruntergeladen wird, existiert meistens in der Dokumentationsdatei ein Dokument, welches alle Befehle des heruntergeladenen Bots beinhaltet. In fast allen Agobot-Versionen sind die Befehle meistens gleich oder sehr ähnlich. In der nächsten Tabelle sind die beliebtesten Befehle aufgelistet. Befehl commands.list bot.execute bot.open bot.about bot.die bot.dns bot.nick bot.remove bot.status bot.sysinfo irc.server irc.join irc.privmsg http.execute ftp.execute ddos.httpflood ddos.udpflood ddos.synflood ddos.stop redirect.http redirect.socks scan.startall rsl.reboot rsl.shutdown Beschreibung Listet alle verfügbaren Befehle des Bots auf Führt eine exe.datei auf einem entfernten Rechner aus Öffnet eine Datei auf einem entfernten Rechner Zeigt Informationen über den Bot-Code an Beendet einen Bot Zieht eine IP/Hostname über DNS Ändert den Nicknamen von einem Bot Verschiebt den Bot von einem entfernten Rechner Zeigt die Statusinformationen des Bots an Zeigt Informationen eines infizierten Rechners an Verbindet sich mit einem Server Eingabe eines bestimmten Kanals Sendet eine private Nachricht an einen Benutzer Download und führt eine Datei über http aus Download und führt eine Datei über ftp aus Startet einen http-flood Startet einen UDP-Flood Startet einen SYN-Flood Stoppt alle Floods Startet einen http-proxy Startet einen Proxy SOCKS4 Startet eine Scan auf dem entfernten Rechner Startet den entfernten Computer neu Schaltet den Computer aus Tabelle 4. 1: Bot-Kommandos 48

56 Fallbeispiel mit Agobot In der nächsten Tabelle sind die Host-Kommandos aufgelistet. Mit diesen Befehlen werden Informationen über den kompromittierten Rechner angezeigt. Es ist ebenfalls möglich Prozesse oder Dienste auf dem Rechner zu stoppen oder zu löschen. Befehl harvest. s harvest. shttp harvest.registry harvest.windowskeys pctrl.list pctrl.listsvc pctrl.killsvc pctrl.killpid inst.asadd inst.asdel inst.svcadd inst.svcdel Beschreibung Zeigt die Liste der s an Zeigt die Liste der s per HTTP an Zeigt Registryinformationen für speziellen Registry-Pfad Zeigt Windows-Registry-Informationen Zeigt die Liste aller laufenden Prozesse an Zeigt alle Dienste an, die aktiv sind Löscht/Stoppt alle Dienste, die am Laufen sind Beendet einen speziellen Prozess Fügt einen Systemautostart-Eintrag hinzu Löscht einen Systemautostart-Eintrag Fügt einen Dienst auf einem entfernten Rechner ein Löscht einen Dienst auf einem entfernten Rechner Tabelle 4. 2: Host-Kommandos Verbreitung von Agobot Fast alle Bots verfügen über Scanroutinen, über die sie ihre Malware verbreiten. Agobot nutzt u.a. folgende Verbreitungswege [7]: Programme/Schwachstellen TCP-Ports Plug n Play 445,139 RPC-DCOM 135,445,1025 MySQL 3306 Veritas 6101 NetBackup Workstation Service 135,445 MyDoom Backdoor 2745 IIS 5.x SSL PCT 443 Accounts mit Trivialpasswörtern 139,445 MSSQL-Server mit Trivialpasswort 1433 Tabelle 4. 3: Verbreitung von Agobot über Schwachstellen und TCP-Ports 49

57 Fallbeispiel mit Agobot 4.4 Netzwerkaktivität Das größte Zeichen eines infizierten Rechners ist die Verlangsamung des Systems. Ein einfacher Nutzer hat die Möglichkeit über ein Netzwerk-Tool die Netzwerkaktivität seines Systems zu überprüfen. Dabei können verdächtige Verbindungen aufgespürt werden. Ein typisches Netzwerk-Tool ist Netstat oder Wireshark. In unserem Fall wird Wireshark benutzt. Die Aufgabe eines solches Tools ist jegliche Netzwerkaktivität zu überwachen. Sie kontrollieren aktive Ports und untersuchen vor allem TCP und UDP-Ports. Sie zeigen außerdem alle geöffnete Streams bzw. Verbindungen zu entfernten Hosts. Wichtig hierbei sind die Verbindungen zu den TCP-Ports im Bereich , vor allem der Port In der Regel sollte die Internetverbindung getrennt werden und der Computer neugestartet und dann neu überprüft werden. Ist ein unbekannter Port geöffnet oder wird eine Verbindung zu einer unbekannten IP-Adresse angezeigt, ist die Möglichkeit einer Infektion hoch. Vorher sollten aber andere Programme, wie z. B. Webbrowser geschlossen werden, da auch diese oft Verbindungen zu unbekannten IP-Adressen aufbauen können. Im Folgenden wird anhand von Wireshark die Kommunikation zwischen dem IRC- Server, IRC-Client und einem Bot analysiert. Zur besseren Übersicht der Analyse wurde beim Wireshark eine Filter-Regel eingeführt, nämlich port Da die ganze Kommunikation über den Port 6667 abläuft, werden im Wireshark nur diese Pakete, die über diesen Port ein- und ausgehen, angezeigt. In der Tabelle 4.4 sind noch mal die wichtigsten IP-Adressen der Rechner angegeben. Rechner IP IRC-Server IRC-Client Bot Tabelle 4. 4: Rechner und IP-Adressen 50

58 Fallbeispiel mit Agobot In der Abbildung 4.14 ist zu erkennen, dass die logische Kommunikation zwischen dem IRC-Client (Bot-Master) und dem Bot über den IRC-Server läuft. Sendet der Bot-Master ein Kommando an den Bot, wird dieses Kommando zuerst an den IRC- Server gesendet und an den Bot weitergeleitet. Wenn der Bot dem Bot-Master antwortet, findet die Kommunikation ebenfalls über den IRC-Server statt. Bei einem IRC-basierten Botnetz findet die Kommunikation zwischen Bot-Master und dem Bot also nie direkt, sondern immer über den IRC-Server. Abbildung 4. 14: Kommunikation zwischen IRC-Client, IRC-Server und Bot Die Vernetzung zwischen den drei Stationen ist in Abbildung 4.15 dargestellt. Sendet der Bot-Master den Bots ein Kommando, läuft dieses zuerst über den IRC-Server. Die Bots führen anschließend die Kommandos aus, wie z. B. DDoS-Angriff oder Spam versenden. Abbildung 4. 15: Weg von einem Kommando bis zum Angriff 51

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

Kademlia A Peer-to-peer Information System based on the XOR Metric

Kademlia A Peer-to-peer Information System based on the XOR Metric Kademlia A Peer-to-peer Information System based on the XOR Metric Martynas Ausra 12.5.2007 Zusammenfassung Das Kademlia-Protokoll wurde im Jahr 2002 an New York University von Petar Maymounkov und David

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Seminarvortrag. Anton Ebertzeder 02.12.2010. von

Seminarvortrag. Anton Ebertzeder 02.12.2010. von Seminarvortrag von Anton Ebertzeder am 02.12.2010 Überblick 1. Definitionen 2. Lebenszyklus 3. Verwendung von Botnets 4. Bekannte Botnets 5. Schutzmöglichkeiten 02.12.2010 Anton Ebertzeder 2 Definitionen

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Avira Version 2014 - Update 1 Release-Informationen

Avira Version 2014 - Update 1 Release-Informationen Release-Informationen Releasedatum Start des Rollouts ist Mitte November Release-Inhalt Für Produkte, die das Update 0, bzw. Avira Version 2014 nicht erhalten haben Die meisten Produkte der Version 2013

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

EBW Systems HANDBUCH Offline Programm

EBW Systems HANDBUCH Offline Programm EBW Systems HANDBUCH Offline Programm Seite 1 von 7 Inhaltsverzeichnis 1. Programmsteuerung 2. Veranstaltungen verwalten 3. Daten absenden 4. Sonstige Hinweise Seite 2 von 7 1. Programmsteuerung Programm

Mehr

tzeforderung Installationsleitfaden Dieser Wegweiser führt Sie durch die Installation des Programms

tzeforderung Installationsleitfaden Dieser Wegweiser führt Sie durch die Installation des Programms tzeforderung Installationsleitfaden Dieser Wegweiser führt Sie durch die Installation des Programms EDV-Beratung Thomas Zecher 25.05.2013 1. Inhalt 2. Systemvoraussetzungen... 3 a).net Framework... 3 b)

Mehr

Installationshandbuch. Erforderliche Konfiguration Installation und Aktivierung

Installationshandbuch. Erforderliche Konfiguration Installation und Aktivierung Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung Erforderliche Konfiguration Programme der 4D v12 Produktreihe benötigen folgende Mindestkonfiguration: Windows Mac OS Prozessor

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Anleitung zur Installation von Thunderbird

Anleitung zur Installation von Thunderbird Anleitung zur Installation von Thunderbird Download und Installation 1. Dieses Dokument behandelt die Installation von PGP mit Thunderbird unter Windows 7. Im Allgemeinen ist diese Dokumentation überall

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014 Sophos Anti-Virus Felizitas Heinebrodt Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg Version 12 September 2014 DokID: sophos Vers. 12, 20.08.2015, RZ/THN Informationen des

Mehr

Einrichten eines SSH - Server

Einrichten eines SSH - Server Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Malware. Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. von Eugene Kaspersky. 1. Auflage. Hanser München 2008

Malware. Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. von Eugene Kaspersky. 1. Auflage. Hanser München 2008 Malware Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt von Eugene Kaspersky 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 41500 3

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

NetMan Desktop Manager Quick-Start-Guide

NetMan Desktop Manager Quick-Start-Guide NetMan Desktop Manager Quick-Start-Guide In diesem Dokument wird die Installation von NetMan Desktop Manager beschrieben. Beachten Sie, dass hier nur ein Standard-Installationsszenario beschrieben wird.

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

INSTALLATION VON DR.WEB ENTERPRISE SECURITY SUITE V6

INSTALLATION VON DR.WEB ENTERPRISE SECURITY SUITE V6 INSTALLATION VON DR.WEB ENTERPRISE SECURITY SUITE V6 1 Installation des Servers Tragen Sie Ihre Seriennummer im Download-Assistent ein: http://download.drweb-av.de/ Laden Sie die Installationsdatei des

Mehr

SecurityGateway. Installationsanleitung

SecurityGateway. Installationsanleitung Installationsanleitung Inhaltsverzeichnis Installationsanleitung 3 Schritt 1 Download der Installationsdateien 3 Schritt 2 Willkommensbildschirm 4 Schritt 3 Lizenzbestimmungen 4 Schritt 4 Installationsverzeichnis

Mehr

Mac Quick Guide für die Migration zum HIN Client

Mac Quick Guide für die Migration zum HIN Client Mac Quick Guide für die Migration zum HIN Client Anleitung zur Migration vom ASAS Client zum neuen HIN Client in Schritten:. Schritt 2. Schritt. Schritt Installation HIN Client Software Installiert die

Mehr

SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt

SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt ewon - Technical Note Nr. 014 Version 1.2 SMS versenden mit ewon über Mail Gateway Am Beispiel von dem Freemail Anbieter GMX wird diese Applikation erklärt Übersicht 1. Thema 2. Benötigte Komponenten 3.

Mehr

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder BS-Anzeigen 3 Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder Inhaltsverzeichnis Anwendungsbereich... 3 Betroffene Softwareversion... 3 Anzeigenschleuder.com... 3 Anmeldung...

Mehr

Einrichten der Outlook-Synchronisation

Einrichten der Outlook-Synchronisation Das will ich auch wissen! - Kapitel 3 Einrichten der Outlook-Synchronisation Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Installationsanleitung für Internet Security. Inhalt

Installationsanleitung für Internet Security. Inhalt Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer installieren...3 3 Installationsanleitung

Mehr

2 Ist-Zustand des Systems 3

2 Ist-Zustand des Systems 3 Pflichtenheft Softwaretechnologie-Projekt für die ITC AG Gruppe 05 Tabelle 1: Historie Version Beschreibung Autor, Datum 0.1 Erstentwurf Sven Goly, 28.10.2014 0.2 Portierung in Latex, Kriterien Sven Goly,

Mehr

X5 unter Windows Vista / 7 und Windows 2008 Server

X5 unter Windows Vista / 7 und Windows 2008 Server X5 unter Windows Vista / 7 und Windows 2008 Server Die Benutzerkontensteuerung (später UAC) ist ein Sicherheitsfeature welches Microsoft ab Windows Vista innerhalb Ihrer Betriebssysteme einsetzt. Die UAC

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Transit/TermStar NXT

Transit/TermStar NXT Transit/TermStar NXT Hardware/Betriebssystem Ihres Rechners ändern 2013-09 Gültig ab Service Pack 7 Stand 2013-09. Dieses Dokument ist gültig ab Transit NXT Service Pack 7. Transit wird kontinuierlich

Mehr

Überblick über COPYDISCOUNT.CH

Überblick über COPYDISCOUNT.CH Überblick über COPYDISCOUNT.CH Pläne, Dokumente, Verrechnungsangaben usw. werden projektbezogen abgelegt und können von Ihnen rund um die Uhr verwaltet werden. Bestellungen können online zusammengestellt

Mehr

Botnetzmonitoring Waledac

Botnetzmonitoring Waledac Botnetzmonitoring Waledac Ben Stock Universität Mannheim 14. September 2009 Übersicht 1 Einführung 2 Waledac Analyse Aufbau des Netzwerkes Benutzte Technologien 3 Entwickelte Werkzeuge Repeater Crawler

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

MultiCash@Sign. Ablaufbeschreibung/Anleitung

MultiCash@Sign. Ablaufbeschreibung/Anleitung Juni 2015 Willkommen zu MultiCash@Sign Was ist MultiCash@Sign? MultiCash@Sign ermöglicht es Benutzern von MultiCash, Zahlungsunterschriften von jedem beliebigen Ort und jedem beliebigen Windows-System

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 DynDNS-Accounts sollten in regelmäßigen Abständen mit der vom Internet-Provider vergebenen IP- Adresse (z.b. 215.613.123.456)

Mehr

Academic Starter Pack Konfigurationshandbuch

Academic Starter Pack Konfigurationshandbuch Academic Starter Pack Konfigurationshandbuch 1 Inhalt 1. Einführung 3 2. Academic Starter Pack Registration und Kauf..4 3. SKySMS Server Konfiguration...5 4. GWTalk Konfiguration..7 5. SKySMS Client Konfiguration..10

Mehr

Synology MailStation Anleitung

Synology MailStation Anleitung Nach dem englischen Original von Synology Inc. Synology MailStation Anleitung Übersetzt von Matthieu (synology-forum.de) Matthieu von synology-forum.de 04.08.2009 Inhaltsverzeichnis Einleitung... 3 1.

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Bedienungsanleitung für den SecureCourier

Bedienungsanleitung für den SecureCourier Bedienungsanleitung für den SecureCourier Wo kann ich den SecureCourier nach der Installation auf meinem Computer finden? Den SecureCourier finden Sie dort, wo Sie mit Dateien umgehen und arbeiten. Bei

Mehr

Dokumentation Softwareprojekt AlumniDatenbank

Dokumentation Softwareprojekt AlumniDatenbank Dokumentation Softwareprojekt AlumniDatenbank an der Hochschule Anhalt (FH) Hochschule für angewandte Wissenschaften Fachbereich Informatik 13. Februar 2007 Betreuer (HS Anhalt): Prof. Dr. Detlef Klöditz

Mehr

Computersicherheit & Passwörter

Computersicherheit & Passwörter 1 1. Malware Spuren - Sobald der Rechner eine Online-Verbindung herstellt, empfängt und sendet er Daten und hinterlässt Spuren. Begriff - Malware ist der Oberbegriff für Software, die dem Anwender schaden

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Benutzerhandbuch Managed ShareFile

Benutzerhandbuch Managed ShareFile Benutzerhandbuch Managed ShareFile Kurzbeschrieb Das vorliegende Dokument beschreibt die grundlegenden Funktionen von Managed ShareFile Auftraggeber/in Autor/in Manuel Kobel Änderungskontrolle Version

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Information Ob in Internet-Auktionshäusern, sozialen Netzwerken oder Online-Geschäften, das Stöbern im

Mehr

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern Kurzanleitung Inhaltsverzeichnis 1. Allgemeine Informationen... 3 2. Netzwerkübersicht... 3 3. Konfiguration...

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Zeiterfassungsanlage Handbuch

Zeiterfassungsanlage Handbuch Zeiterfassungsanlage Handbuch Inhalt In diesem Handbuch werden Sie die Zeiterfassungsanlage kennen sowie verstehen lernen. Es wird beschrieben wie Sie die Anlage einstellen können und wie das Überwachungsprogramm

Mehr

Anleitung für Kaufkunden, bei denen der CLIQ Web Manager nicht permanent mit dem CLIQ Data Center (DCS) verbunden sind

Anleitung für Kaufkunden, bei denen der CLIQ Web Manager nicht permanent mit dem CLIQ Data Center (DCS) verbunden sind Anleitung für Kaufkunden, bei denen der CLIQ Web Manager nicht permanent mit dem CLIQ Data Center (DCS) verbunden sind Bitte anklicken: Wozu brauche ich das CLIQ DATA Center (DCS)? Wie erhalte ich Zugang?

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

ViSAS Domainadminlevel Quick-Start Anleitung

ViSAS Domainadminlevel Quick-Start Anleitung 1. Was ist VISAS? VISAS ist eine Weboberfläche, mit der Sie viele wichtige Einstellungen rund um Ihre Internetpräsenz vornehmen können. Die folgenden Beschreibungen beziehen sich auf alle Rechte eines

Mehr

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

INSTALLATION OFFICE 2013

INSTALLATION OFFICE 2013 INSTALLATION OFFICE 2013 DURCH OFFICE 365 Zur Verfügung gestellt von PCProfi Informatique SA Einleitung Das folgende Dokument beschreibt Ihnen Schritt für Schritt, wie man Office Umgebung 2013 auf Ihren

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Stadtsparkasse Felsberg Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 1 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Netzwerkserver Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU)

Mehr

F-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1

F-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1 Mit dem Handy sicher im Internet unterwegs F-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1 Inhalt 1. Installation und Aktivierung 2. Auf Viren scannen

Mehr

Viren, Würmer, Trojaner

Viren, Würmer, Trojaner Viren, Würmer, Trojaner Was muss ich beachten? Ralf Benzmüller G DATA Software AG Überblick Einleitung Grundlegende Begriffe Gefahrensituation Zahlen und Daten Trends Infektionsmechanismen Viren Würmer

Mehr

Client/Server-Systeme

Client/Server-Systeme Frühjahrsemester 2011 CS104 Programmieren II / CS108 Programmier-Projekt Java-Projekt Kapitel 3: /Server-Architekturen H. Schuldt /Server-Systeme Ein zweischichtiges /Server-System ist die einfachste Variante

Mehr

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem Information Ob in Internet-Auktionshäusern, sozialen Netzwerken oder Online-Geschäften, das Stöbern im Internet zählt für

Mehr

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Dateiname: ecdl2_06_01_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

PaedIT Unternehmergesellschaft (haftungsbeschränkt) DNSControl GUI: Installation und Konfiguration

PaedIT Unternehmergesellschaft (haftungsbeschränkt) DNSControl GUI: Installation und Konfiguration PaedIT Unternehmergesellschaft (haftungsbeschränkt) DNSControl GUI: Installation und Konfiguration PaedIT 02.05.2010 1 Inhalt 1 Inhalt... 2 2 Vorwort... 3 3 Systemvoraussetzungen... 4 4 Installation auf

Mehr

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Agenda Warum wird das Thema Sicherheit immer wichtiger? Welche Arten von Sicherheitsrisiken gibt es? Welche Arten von Verschlüsselung gibt

Mehr

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) T-Sinus 154 DSL/DSL Basic (SE)/Komfort Portweiterleitung (Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) Wenn Sie auf Ihrem PC

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail Kundeninformation zu Secure E-Mail Einleitung Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungs-dateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem Absender,

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

Informationen zur Installation des GIS-Zentrum 2

Informationen zur Installation des GIS-Zentrum 2 Informationen zur Installation des GIS-Zentrum 2 Inhaltsverzeichnis: Inhaltsverzeichnis:... 1 Allgemeine Hinweise... 2 Installationsvoraussetzungen... 2 Was passiert bei der Installation?... 2 Einzelplatzinstallation...

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de Webmail Anleitung für Ihr online E-Mail-Postfach http://webmail.willytel.de Inhalt: Inhalt:... 2 Übersicht:... 3 Menü:... 4 E-Mail:... 4 Funktionen:... 5 Auf neue Nachrichten überprüfen... 5 Neue Nachricht

Mehr

TIKOS Leitfaden. TIKOS Update

TIKOS Leitfaden. TIKOS Update TIKOS Leitfaden TIKOS Update Copyright 2015, Alle Rechte vorbehalten support@socom.de 06.05.2015 Inhalt 1. Allgemeine Hinweise... 3 2. Ausführen des Updates... 3 3. Mögliche Meldungen beim Update... 9

Mehr

Print.FX ist das Hauptprogramm die Programmzentrale hier können Sie Übersichten aufrufen, Auswertungen erstellen und Einstellungen festlegen.

Print.FX ist das Hauptprogramm die Programmzentrale hier können Sie Übersichten aufrufen, Auswertungen erstellen und Einstellungen festlegen. Ein Kurzüberblick: Print.FX besteht aus 3 Programmteilen: Print.FX: Print.FX ist das Hauptprogramm die Programmzentrale hier können Sie Übersichten aufrufen, Auswertungen erstellen und Einstellungen festlegen.

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

SWN-NetT Webmail. Benutzerhandbuch für SWN-NetT Webmail. SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de

SWN-NetT Webmail. Benutzerhandbuch für SWN-NetT Webmail. SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de SWN-NetT Webmail Benutzerhandbuch für SWN-NetT Webmail SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de Übersicht Einstieg... 2 Menü... 2 E-Mail... 3 Funktionen... 4 Auf eine neue Nachricht

Mehr

Nachrichten (News) anlegen und bearbeiten

Nachrichten (News) anlegen und bearbeiten Nachrichten (News) anlegen und bearbeiten Dieses Dokument beschreibt, wie Sie Nachrichten anlegen und bearbeiten können. Login Melden Sie sich an der jeweiligen Website an, in dem Sie hinter die Internet-

Mehr