Aufbau und Arbeitsweise von Botnetzen anhand eines konkreten Fallbeispiels

Transkript

1 Aufbau und Arbeitsweise von Botnetzen anhand eines konkreten Fallbeispiels Diplomarbeit an der Fachhochschule Frankfurt am Main im Fachbereich Informatik und Ingenieurwissenschaften zur Erlangung des akademischen Grades Diplom-Informatiker (FH) von Ana Geljic Frankfurt am Main, 01. Juni 2010 Referent: Dr. Dipl.-Phys. Erwin Hoffmann Korreferent: Prof. Dr. Matthias Schubert

2 Kurzreferat Diese Diplomarbeit beschreibt den Aufbau und Arbeitsweise von Botnetzen. Bots sind Programme, welche verschiedene Sicherheitslücken in einem Betriebssystem oder Browser ausnutzen und Computer infizieren. Sie laufen, ohne Wissen des Benutzers, im Hintergrund und führen Kommandos aus, welche ihnen von einer einzigen Person, dem Bot-Master, befohlen werden. Werden mehrere Bots zusammengestellt, so entsteht ein Botnetz. In dieser Diplomarbeit werden verschiedene Arten von Botnetzen dargestellt, welche zurzeit zur größten Bedrohung der Internet-Infrastruktur gehören. In Kapitel zwei werden zunächst die wichtigsten Grundlagen, die sich auf das Thema beziehen, zusammengefasst. In Kapitel drei werden insbesondere folgende Angriffsarten der Botnetze besprochen: Spamming, Phishing, Distributed Denial-of-Service, Klickbetrug, Sniffing und Keylogging. In Kapitel vier wird am Beispiel eines Bots, des Agobots, der Aufbau und die Funktionsweise eines serverbasierten Botnetzes präsentiert. Dabei wird ein Netzwerk, bestehend aus einem IRC-Server, IRC-Client und zwei infizierten Rechnern, auf einer Testumgebung mit virtuellen Maschinen, aufgebaut. Desweiteren werden Tests mit dem Bot durchgeführt. Anschließend wird die Kommunikation zwischen dem Bot und dem Bot-Master anhand einer Netzwerkanalyse dargestellt. Das Ziel dieser Diplomarbeit ist zu zeigen, wie solche Botnetze raffiniert eingesetzt werden können, welchen Schaden sie anrichten und warum sie zur größten Gefahr des Internets gehören. Außerdem werden verschiedene Gegenmaßnahmen besprochen. i

3 Hiermit versichere ich, dass ich die Diplomarbeit ohne fremde Hilfe selbstständig verfasst und nur die angegebenen Quellen und Hilfsmittel benutzt habe. Wörtlich oder dem Sinn nach aus anderen Werken entnommene Stellen sind unter Angaben der Quellen kenntlich gemacht. Frankfurt am Main, den 01. Juni 2010 Ana Geljic ii

4 Inhaltsverzeichnis Kurzreferat... i Abbildungsverzeichnis... v Tabellenverzeichnis... vi 1 Einleitung Motivation Ziel und Aufbau der Arbeit Grundlagen Malware Viren Trojaner Würmer Spyware/Adware Backdoors Rootkits Zombies Bots Schaden der Malware Peer-to-Peer-Netze Kademlia Attribute-Value-Pair XOR-Metrik Routingtabellen Operationen des Kademlia-Protokolls Netzwerkbeitritt Gültigkeitsdauer der Attribute-Value-Pairs Churn iii

5 3 Aufbau und Funktionsweise von Botnetzen Serverbasierte Botnetze Fast-Flux-Netze Peer-to-Peer-basiertes Botnetz Hauptinfektionsquellen Angriffsarten Spamming Phishing/Pharming Distributed-Denial-of-Service Verbreitung von Adware und der Klickbetrug Sniffing und Keylogging Verschiedene Arten von Bots Gegenmaßnahmen Honeypots Selbstverteidigungsmechanismus der Botnetze Fallbeispiel mit Agobot Funktionsweise von Agobot Aufbau der Infrastruktur Softwareinstallation Konfiguration des IRC-Servers und des IRC-Clients Konfiguration von Agobot Infizierung der PCs mit Agobot Kontrolle der Bots Agobot-Kommandos Verbreitung von Agobot Netzwerkaktivität Zusammenfassung und Ausblick Quellenangaben...56 Abkürzungsverzeichnis...60 iv

6 Abbildungsverzeichnis Abbildung 3. 1: Vergleich eines serverbasierten Botnetzes mit einem oder mehreren IRCs 18 Abbildung 3. 2: Fast-Flux-Botnetz Abbildung 3. 3: Abfrage einer Flux-Website Abbildung 3. 4: Peer-to-Peer-basiertes Botnet Abbildung 3. 5: Hauptinfektionsquellen von Bots Abbildung 3. 6: Beispiel einer Spam Abbildung 3. 7: Botnetz-DDos-Angriff Abbildung 3. 8: Honeynet Abbildung 4. 1: Aufbau der Infrastruktur Abbildung 4. 2: IRC-Server Unreal Abbildung 4. 3: Statusanzeige des IRC-Servers Abbildung 4. 4: Serverstatus Abbildung 4. 5: Verbindung von Nettalk und IRC-Server Abbildung 4. 6: Konfigurationsoberfläche von Agobot Abbildung 4. 7: Verbindung des Bots mit dem IRC-Server Abbildung 4. 8: Anmeldung der Bots beim Mater-Computer Abbildung 4. 9: Username- und Passwort-Authentifizierung Abbildung 4. 10: Master-Anfrage und Bot-Antwort-Botinformationen Abbildung 4. 11: Master-Anfrage und Bot-Antwort-Systeminformationen Abbildung 4. 12: Master-Anfrage und Bot-Antwort-Laufende Prozesse Abbildung 4. 13: Master-Anfrage und Bot-Antwort-Netzwerkinformationen Abbildung 4. 14: Kommunikation zwischen IRC-Client, IRC-Server und Bot Abbildung 4. 15: Weg von einem Kommando bis zum Angriff Abbildung 4. 16: Kommunikation von IRC-Client, IRC-Server und Bot in Wireshark Abbildung 4. 17: TCP-Protokoll und der Ziel-Port der Kommunikation Abbildung 4. 18: Übertragung der physikalischen Kommunikation v

7 Tabellenverzeichnis Tabelle 2. 1 : Remote-Procedure-Calls und deren Aufgaben Tabelle 3. 1: Verschiedene Arten von Bots und deren Eigenschaften Tabelle 4. 1: Bot-Kommandos Tabelle 4. 2: Host-Kommandos Tabelle 4. 3: Verbreitung von Agobot über Schwachstellen und TCP-Ports Tabelle 4. 4: Rechner und IP-Adressen vi

8 Einleitung 1 Einleitung Bots sind Programme, die auf gehackten Computersystemen installiert sind und dort von einem Bot-Master ferngesteuert werden. Das Ziel ist immer mehr Anwendercomputer zu infizieren und ein sogenanntes Botnetz zu schaffen, um dieses dann für verschiedene Aktionen zu missbrauchen. Hinter solchen Botnetzen steckt meistens eine Person mit viel krimineller Energie, die mit verschiedenen Kommandos die befallenen Rechner dirigiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) existieren derzeit 1000 bis 2000 Botnetze weltweit mit durchschnittlich infizierten Rechnern, mit der Tendenz-steigend. Aufgrund der Anzahl der infizierten Rechner und der gut aufgebauten Internet-Infrastruktur, liegt Deutschland im Landesvergleich auf Platz 3, auf Platz 1 China und auf Platz 2 die USA [40]. Es besteht die Befürchtung, dass die Anzahl der Botnetze weiterhin steigen wird. Der Grund ist, dass immer mehr intelligentere Botnetze entwickelt werden, die länger unentdeckt bleiben können. Botnets und deren Betreiber gehören heute zu den größten Gefahren des Internets. Viele Menschen unterschätzen diese Gefahren, denn sie werden meistens ohne ihr Wissen ein Teil dieses Botnets. Im Moment lauern Tausende von Botnets im Internet, die gemietet oder gekauft werden können. Die Angreifer nutzen viele Techniken, um ein unsichtbares Botnet zu schaffen, um durch verschiedene Angriffsmöglichkeiten u. a. Unternehmen zu erpressen, indem sie ihre Internetseiten lahm legen. Durch Botnetze wird man nicht mehr nur zum Opfer, sondern auch zum Täter. Diese Diplomarbeit beschreibt den Aufbau und Arbeitsweise von solchen Botnets anhand eines konkreten Fallbeispiels. Außerdem werden verschiedene Angriffstechniken und Gegenmaßnahmen erläutert. 1.1 Motivation Ein Bot ist ein Programm, das sich beim Surfen im Internet, ohne Wissen des Inhabers, auf einen Computer installiert. Dadurch öffnet sich ein Kommunikationskanal, das einem Unbekannten, dem Angreifer, die Kontrolle über 1

9 Einleitung den Bot ermöglicht und somit auch Kontrolle über den Großteil eines Rechners. Werden mehrere Rechner durch solche Programme infiziert und zu einem Netzwerk zusammengeschlossen, entsteht ein Botnetz. Diese illegalen Botnetze zählen heute zu den handfesten Online-Angriffen. Ein solcher Bot läuft im Hintergrund auf einem Rechner und macht sich für den Nutzer im ersten Moment komplett unsichtbar. Lediglich kann er einen infizierten Rechner (auch Zombie genannt) verlangsamen, da über diesen z. B. große Menge von Spams verschickt wird. Viele Nutzer vernachlässigen es die aktuellen Updates regelmäßig zu installieren oder achten nicht auf einen guten Antivirus-Schutz. Die Bots werden anonym von einem zentralen Kontrollknoten ferngesteuert, der auch als Command-and-Control-Server (C&C-Server) bezeichnet wird. Ein Bot kommuniziert mit seinem Bot-Master und lauscht dabei auf Befehle, wie z. B. Versenden von Spams oder um Distributed-Denial-Of-Service-Angriffe (DDoS) durchzuführen. Dabei werden gleichzeitig viele Anfragen an einen Webserver gestellt, der diese im ersten Moment nicht bearbeiten kann, was zum Ausfall des Servers führt. Es gibt zwei Kategorien von Botnetzen. Die eine Kategorie ist das serverbasierte Botnet und die andere ist das Peer-to-Peer basierte Botnet. Sie sind von der Architektur unterschiedlich aufgebaut. Bei einem serverbasierten Botnet existiert ein Kontrollknoten, der C&C-Server. Dieser wird von einem Bot-Master kontrolliert. Bei einer Internetverbindung verbinden sich alle mit einem Bot infizierte Rechner mit dem C&C-Server und warten auf die Erteilung der Befehle des Bot- Masters. Die Kommunikation findet über das Internet-Relay-Chat (IRC)-Protokoll statt. Immer mehr Unternehmen werden Opfer solcher Angriffe, vor allem Webunter1nehmen. Der Zweck dieser Angriffe ist meistens Industriespionage und Erpressung. Bei einem Peer-to-Peer Botnetz existiert kein zentraler Kontrollknoten, sondern alle Bots können diese Aufgabe übernehmen und sind somit gleichberechtigt. Sie können auf Befehle warten und diese selbst erteilen. Wenn bei einem serverbasierten Botnet der C&C-Server ausfällt oder durch verschiedene Gegenmaßnahmen ausgeschaltet wird, ist somit das komplette Botnetz außer Gefecht gesetzt worden, und die Bots haben keinen Ansprechpartner mehr. Wenn aber bei einem Peer-to-Peer Botnetz ein Knoten ausfällt, übernimmt ein anderer infizierter Rechner die Aufgabe, die Befehle 2

10 Einleitung zu erteilen. Bots nutzen viele Schwachstellen in Systemen aus. Das weltverbreitete Windows-System ist bei Botnetzbetreibern besonders interessant. Es gibt aber auch Botvarianten, die Schwachstellen auch anderer Betriebssysteme ausnutzen. Mittlerweile fungieren immer mehr kompromittierte Linux-Server, auf denen IRC- Server laufen, als Kernstück eines Botnetzes. Fast alle Bots sind multifunktional programmiert, so dass der Bot-Master diese flexibel nutzen kann. Er kann sich somit dem Motiv seines Angriffs leicht anpassen. Alle diese Fähigkeiten und Eigen-schaften von Bots und Botnetzen machen sie zu einem interessanten Thema für meine Diplomarbeit. 1.2 Ziel und Aufbau der Arbeit Die Zielsetzung dieser Arbeit besteht darin, die Architektur und Funktionsweise von Botnetzen detailliert zu dokumentieren. Anhand eines konkreten Fallbeispiels mit einem Bot, dem Agobot, soll das Systemverhalten genau analysiert werden. Dabei werden verschiedene Kommandos des Bots auf einer Testumgebung durchgeführt und ausgewertet. In dieser Arbeit soll außerdem gezeigt werden, welcher Schaden durch die Botnetze entstehen kann und welche Gegenmaßnahmen eingesetzt werden, um diese auszuschalten. Anschließend soll auch gezeigt werden, wie solche Botnetze erkannt werden können. Die vorliegende Arbeit ist in folgende Kapitel unterteilt: In Kapitel 2 sollen zuerst die theoretischen Grundlagen besprochen werden, die für die Verständnis der weiteren Ausarbeitung dienen sollen. Diese bestehen aus einem Überblick über verschiedene Malwarearten (2.1), einer Beschreibung der Peer-to-Peer Netze (2.2), welche das Kademliaprotokoll (2.3) benutzen, gefolgt von Churn (2.3.7), dem Verschwinden und Auftreten eines Peers in einem Netzwerk. Im Abschnitt 3 werden der Aufbau und die Funktionsweise von Botnetzen detailliert beschrieben. Diese werden einmal in Serverbasierte Botnetze (3.1), Fast-Flux-Botnetze (3.2) und Peerto-Peer-basierte Botnetze (3.3) unterteilt. Der Abschnitt 3.4 gibt einen Überblick über die Hauptinfektionsquellen, welche die Bots nutzen. Im Abschnitt 3.5 werden verschiedene Angriffsarten besprochen, die von Botnetze ausgehen können. Danach 3

11 Einleitung werden im Abschnitt 3.6 verschiedene Gegenmaßnahmen erwähnt, die dazu dienen die Botnetze zu analysieren und eventuell komplett auszuschalten. Im vierten Kapitel wird ein Fallbeispiel mit einem Bot präsentiert. Hier handelt es sich um den Agobot. Im Abschnitt 4.1 werden zunächst seine Eigenschaften und die Funktionsweise beschrieben. Danach wird in 4.2 die aufgebaute Infrastruktur präsentiert, in der die Softwareinstallation (4.2.1) und die Konfiguration des IRC- Servers und IRC-Clients (4.2.2) durchgeführt werden. Im Abschnitt 4.3 wird anschließen die Konfiguration des Agobots gezeigt, gefolgt von der Infizierung der Computer (4.3.1) bis hin zur Kontrolle des Botnetzes (4.3.2). Danach werden im Abschnitt die wichtigsten Agobot-Kommandos aufgelistet und die Netzwerkaktivität (4.3.4) analysiert. Anschließend wird in Abschnitt 4.4. die Verbreitung von Agobot beschrieben. Im letzen Kapitel (5) wird ein Ausblick auf die Gefahr der Botnetze dargestellt und es werden einige offene Fragen angesprochen. 4

12 Grundlagen 2 Grundlagen Botnetze dienen als Verbreitungsweg von Viren und Würmern, um nachdem sie erfolgreich Systeme infiziert haben, von einem Angreifer ferngesteuert werden. In diesem Kapitel werden notwendige Grundlagen erklärt, die zum besseren Verständnis von Bots und Botnetzen verhelfen sollen. Zunächst werden verschiedene Arten von Malware beschrieben (2.1.). Danach werden im Abschnitt 2.2 die Peer-to-Peer-Netze vorgestellt, gefolgt von Kademlia (2.3), welche für die Art und den Aufbau von Peer-to-Peer-Botnetzen eine große Rolle spielt. Kademlia ist eines der wichtigsten Protokolle, das Informationen über den Aufbau von Botnetzen beinhaltet. Es ist die Voraussetzung zum besseren Verständnis von Kapitel 3 (Aufbau und Funktionsweise von Botnetzen). 2.1 Malware Der Begriff Malware kommt aus dem Englischen und setzt sich aus den Worten malicius, was bösartig beduetet, und Software zusammen. Darunter versteht man Programme und Programmcodes, die unerwünscht auf einem Rechner laufen und dessen Ziel es ist, dem Benutzer oder dem System Schaden zuzufügen [9]. Es existieren verschiedene Arten von solchen Schadprogrammen, die auf verschiedene Art und Weise verbreitet werden. Nachfolgend werden diese Typen von Schadprogrammen im Einzelnen erläutert Viren Ein Computervirus ist ein Programm, das sich absichtlich und unbemerkt an Dateien und Programme anhängt oder deren Code komplett ersetzt. Erst wenn diese infizierten Dateien oder Programme ausgeführt werden, wird der Viruscode aktiv und kann sämtlichen Schaden anrichten und sich weiterverbreiten. Es ist also eine Benutzeraktion notwendig, damit der Virencode zur seiner Ausführung kommt und weitere Systeme infizieren kann. Es existieren zwei Klassen von Viren. Zum einen sind es Programmviren und zum Anderen Makroviren. 5

13 Grundlagen Programmviren bestehen, wie die meisten ausführbaren Programme, aus Assemblercode, welcher stark von der Hardwareplattform und dem jeweiligen System abhängig ist. Weil sich der Virencode in einen Programmcode einnisten muss, ist ein Programmvirus meistens auf eine bestimmte Hardwareplattform und Betriebssystem als Wirt angewiesen und kann somit Programme mit anderer Plattform oder anderen Betriebssystemen nicht infizieren [9]. Solche Viren können nicht nur ausführbare Dateien infizieren, sondern auch die Hauptspeicher der Rechner. Sie können sich aber auch mit Dateien oder Dokumenten verbreiten, die vorher auf einem System infiziert wurden, und als Anhang mit einer versenden werden. Werden diese Dateien am anderen Ende ausgeführt, kann dadurch ein weiteres System infiziert werden. Makroviren kommen in Form von Makros vor und sind somit auf eine Umgebung angewiesen, wo die Makrosprache ausgeführt wird. Ein Beispiel für die Makrosprachen sind VBA oder VBS. Makros werden beispielsweise innerhalb von Textverarbeitungsprogrammen ausgeführt, wo sie bestimmte Vorgänge, wie Dateien öffnen, ändern oder abspeichern, automatisieren. Ein Makrovirus nistet sich in solche Anwendungen und versucht meistens die Standardvorlage zu infizieren. Da diese bei jedem Programmstart automatisch geladen wird, wird auch der Virus automatisch mit geladen, wobei er später jedes neu erstellte Dokument infiziert. Manche Viren können bei ihrer Verbreitung Teile von sich verschlüsseln und bei weiterem Verbreitungsvorgang den Schlüssel wieder so ändern, dass es den Virenscannern schwer fällt dessen Signatur zu erkennen Trojaner Der Name Trojaner ist vom Trojanischen Pferd der griechischen Mythologie abgeleitet, und ist ein Programm, das vorgibt eine nützliche Funktion zu haben, aber einen schädlichen Code beinhaltet, der im Hintergrund dem System und den Anwendern Schaden zufügt. Die Trojaner können nur mit einer menschlichen Interaktion auf ein System gelangen. Dabei werden die Benutzer meistens zu besonderen Anlässen (Feiertage oder Veranstaltungen) beeinflusst, Dateien aus dem Internet runterzuladen. Beim Ausführen dieser Dateien, wird neben der vorgegebenen Funktion zusätzlich ein schädlicher Code gestartet, der zur Installation 6

14 Grundlagen anderer Schadprogramme führen kann, wie z. B. Rootkits oder Bots. Trojaner können aber auch über Backdoors von Angreifern in ein System eingeschleust werden Würmer Im Gegensatz zu den Viren, die immer auf einen Wirtsprogramm angewiesen sind, um weitere Systeme zu infizieren, können Würmer dies selbständig und ohne menschliche Interaktion erreichen. Sie gelangen auf Rechner, in dem sie auf ihrem Verbreitungsweg über ein Netzwerk die Schwachstellen der Betriebssysteme oder der Anwendungsprogramme ausnutzen. Einige dieser Schwachstellen können in Betriebssystemen bereitgestellte Dienste oder ungenügend konfigurierbare Firewalls sein. Wenn der Wurm auf einen Rechner gelangt, versucht er gezielt über das Netzwerk weitere Rechner, die ebenfalls diese Schwachstelle haben, zu befallen. Auf diese Art und Weise können sich Würmer sehr schnell innerhalb von kurzer Zeit auf Tausenden von Rechner verbreiten, was sie zu einer großen Gefahr im Internet macht Spyware/Adware Der Begriff Spyware setzt sich aus dem englischen Wort Spy, was übersetzt für Spion steht, und ware, der Endung von Software. Darunter versteht man Programme, die auf einem Rechner installiert sind und ohne Zustimmung und Wissen des Benutzers persönliche Daten sammeln und diese dann an die Angreifer weiterleiten. Die Hersteller dieser Programme nutzen diese Daten, um das Surfverhalten des Nutzers zu analysieren, um ihm beispielsweise beim späteren Surfen im Internet angepasste Werbebanner oder Pop-Ups einzublenden (Adware). Hierfür kommen meistens sogenannte Keylogger zum Einsatz, welche zur Aufzeichnung von Tastatureingaben des Benutzers dienen, um an vertrauliche Informationen, wie Passwörter, zu gelangen. Oft wird Spyware mit Rootkits und Backdoors in Verbindung gebracht, da sie dem Angreifer ermöglicht, auf dem System unsichtbar zu bleiben. 7

15 Grundlagen Backdoors Backdoors (auch Trapdoors genannt, Hintertüren) ermöglichen einem Eindringling, unter Umgehung der sonst üblichen Sicherheits- und Authentifizierungsmechanismen Zugriff auf ein kompromittiertes System zu verschaffen. Zur solchen illegalen Zwecken werden meistens Fernwartungsprogramme, wie Back Orifice oder SubSeven, raffiniert missbraucht. Das Fernwartungstool Back Orifice kann versteckt eingesetzt werden, da sein Name beliebig geändert werden kann. Es taucht weder in der Task-Liste auf, noch wird es durch ein Symbol angezeigt. Die Existenz des Programms bleibt für den Benutzer komplett unsichtbar und ein Angreifer kann somit unbemerkt auf ein System aus der Ferne zugreifen und es unter seine Kontrolle bringen. Dieses Tool wird von Angreifern gerne als ein Hintertür-Programm verwendet, um Trojaner auf Computer einzuschleusen. SubSeven ist ebenfalls auf der Beliebtheitsskala der Angreifer sehr hoch. Der SubSeven-Server aktiviert sich über den TCP-Port 27374, den Standardport für Client-Verbindungen. Nach einer erfolgreichen Verbindung des Clients, kann ein Angreifer sämtliche Steuerungsmöglichkeiten auf dem Rechner durchführen, wie z. B. einen Webserver starten und eine vordefinierte Adresse aufrufen. Der SubSeven- Server ist ein typisches Tool um eine IRC-Verbindung aufzubauen. Ein Angreifer kann somit einen eigenen IRC-Server und einen Channel generieren. Dadurch kann der SubSeven-Server als ein IRC-Server für ein Botnet fungieren, über den der Angreifer seine Befehle erteilt. SubSeven hat ebenfalls die Eigenschaft den Angreifer über IRC oder zu kontaktieren und diesen über sämtliche Angriffe zu informieren [12]. Ohne Bedenken ist SubSeven ein mächtiges und raffiniertes Angriffstool Rootkits Rootkit (auch root kits) ist eine Software, die versucht verschiedene Schadprogramme, Prozesse und infizierte Dateien vor Antivirenprogrammen zu verstecken und Aktivitäten eines Angreifers für den echten Benutzer des Systems 8

16 Grundlagen unsichtbar zu machen. Zu den versteckten Schadprogrammen gehören meistens Würmer und Backdoors. Ursprünglich war der Begriff Rootkits auf unixbasierte Systeme beschränkt und erlaubte einem Angreifer Root-Zugriff (root ist bei Unixsystemen der Benutzer mit Administrationsrechten) zu erlangen, um dadurch ohne Spuren zu hinterlassen, ein System zu manipulieren. Mittlerweile gibt es Rootkits auch für Nicht-Unix-Systeme Zombies Wurde ein Rechner mit Malware kompromittiert, kann sich dieser in einen Zombie verwandeln. Dies bedeutet, dass der betroffene Rechner, ohne Wissen des Benutzers oder der Administratoren, von einem Angreifer ferngesteuert und kontrolliert werden kann. Diese Fernsteuerungsmöglichkeiten werden meistens für kriminelle Zwecke genutzt. Die Angreifer benutzen dabei von ihnen selbst generierte IRC-Server und Channels, über die sie Befehle an die Malware schicken, die diese dann ohne Weiteres ausführt. Ein kompromittierter Rechner kann missbraucht werden um weitere Angriffe durchzuführen, wie z. B. DOS-Attacken oder Angriffe auf weitere Rechner mit dem Ziel, auch diese in Zombies zu verwandeln. Wenn mehrere Rechner auf diese Art und Weise kompromittiert werden, entsteht ein Botnet. Die Angreifer versuchen meistens Peer-to-Peer Botnetze zu schaffen, da sich dabei die Urheber des Schadens sehr schwer zurückverfolgen lassen. Peer-to-Peer- Strukturen, wie Kademlia, werden im Abschnitt 2.3 genauer betrachtet Bots Der Begriff Bot ist die Abkürzung vom Wort Robot. Im technischen Fall versteht man darunter eine Maschine oder ein Programm, das von sich aus alleine, ohne menschliches Eingreifen, verschiedene Aktionen ausführt [7]. Dieses Programm wird auf einer kompromittierten Maschine, ohne Einwilligung des Besitzers, installiert und ausgeführt. Dadurch eröffnet sich ein Kommunikationskanal zwischen dem Angreifer (auch Bot-Master oder Bot-Operator genannt) und dem Bot. Über diesen Kommunikationskanal erteilt der Angreifer dem Bot Befehle, die dieser 9

17 Grundlagen dann ausführt. Durch diesen Kommunikationskanal wird eine Server-Client- Verbindung aufgebaut. Werden mehrere Client-Systeme, die mit Bot infiziert sind, zusammengeschaltet, so spricht man von einem Botnetz. Die Bots erhalten ihre Befehle über eine zentrale Kontrollstruktur, dem C & C- Server, über den der Bot-Master die komplette Kontrolle über alle mit Bots infizierte Rechner hat. Alle Bots lauschen somit permanent auf die Befehle des Bot-Masters, um diese regelrecht auszuführen. In der Vergangenheit diente die Funktionalität der Bots zur Automatisierung von Internet Relay Chat (IRC), einem System, über den textbasierte Nachrichten ausgetauscht werden können [8]. Der Angreifer nutzt dieses System aus, in dem er für sich einen IRC-Server einrichtet, um somit den sogenannten Channel zu öffnen. Die Bots verbinden sich zu solch einem IRC-Server und treten somit dem Channel bei, über den sie auf ihre Befehle warten. Diese Channels sind meistens mit einem Passwort geschützt, das nur dem Bot-Master bekannt ist und er somit alleine die Kontrolle über seine Bots hat. Über diesen IRC-Server werden die Bots ferngesteuert und können verschiedene Funktionen ausführen. Sie können u. a. DDoS-Angriffe ausführen, weitere Systeme scannen, die ebenfalls infiziert werden können oder führen verschiedene Downloads durch [7]. Andere Botnetze nutzen wiederrum zum Nachrichtenaustausch das http-protokoll. Hier richtet der Bot-Master im Gegensatz zu einem IRC-Server einen http-server ein. Dort hinterlässt er seine Befehle, die die Bots ausführen sollen. Hier besteht keine permanente Verbindung, sondern die Bots verbinden sich periodisch mit diesem http-server, um von dort aktuelle Befehle zu erhalten, die sie dann ohne Verzögerung ausführen. Weitere Kommunikationsmethoden sind Peer-to-Peer- Protokolle, die im Abschnitt ausführlich besprochen werden. Um die Funktionsweise von Botnetzen noch besser verstehen zu können, werden zunächst im Abschnitt 2.2 und 2.3 wichtige Grundlagen und Begriffe besprochen Schaden der Malware Der angerichtete Schaden durch verschiedene Schadprogramme kann manchmal sehr hoch sein. Durch Malware kann auf einer kompromittierten Maschine sowohl 10

18 Grundlagen Software als auch Hardware zerstört werden. Malware ermöglicht vertrauliche Daten zu stehlen, was zum Missbrauch und Erpressung führen kann. Malware von infizierten Systemen zu entfernen kann ebenfalls zu hohen Kosten führen. 2.2 Peer-to-Peer-Netze Peer-to-Peer-Netze (P2P) sind unabhängig von zentralen Strukturen und arbeiten somit selbstorganisierend. Jeder Knoten (Rechner) ist gleichberechtigt und die Technik ermöglicht, dass Clients als Server fungieren können und umgekehrt. Die Aufgaben aller im P2P-Netze existierenden Rechner sind gleichverteilt. Sie bauen die Netzstruktur selbstständig auf und versuchen diese aufrecht zu erhalten. Dies ist eine beliebte Variante der Botnetzbetreiber ihre Botnetze aufzubauen, da es hier keine zentrale Kontrollstruktur gibt. Jeder Rechner kann als eine Kontrollstuktur fungieren. Die Botnetzbetreiber können sehr schwer strafrechtlich zurückverfolgt werden. Um den Aufbau der P2P-Netze verständlich zu machen, wird die Kademlia- Technik (2.3) vorgestellt. Netze die über eine zentrale Kontrollstruktur verfügen, können allein durch ihre Abschaltung außer Gefecht gesetzt werden. Wie diese Gegenmaßnahmen angewendet werden, wird im Abschnitt 3.6 genauer erläutert. 2.3 Kademlia Kademlia ist ein Algorithmus, welches im Jahr 2002 von Peter Maymounkov und David Manzieres entwickelt wurde. Bei dieser Technik wird eine Distributed Hash Table (DHT) implementiert, die ein strukturiertes Peer-to-Peer-Netz aufbaut und die Art und Weise des Netzes festlegt. Kademlia wird eingesetzt, um die Kommunikation und Austausch von Netzwerkknoten zu organisieren [14]. Die Aufgabe einer verteilten Hash-Tabelle ist, Informationen über ein Netzwerk, welcher aus vielen Knoten (Peers) besteht, zu speichern, wobei jeder Knoten einen Teil der Informationen (Werte) speichern und bereitstellen kann. Der Aufwand von Kademlia ist sehr effizient, nämlich (log ) [14]. 11

19 Grundlagen In diesem Kapitel wird zunächst erläutert, welche Rolle die Attribute-Value-Pairs (2.3.1) spielen. Es werden die XOR-Metrik (2.3.2), die Routingtabellen(2.3.3) und Operationen des Kademlia-Protokolls (2.3.4) beschrieben. Danach wird der Netzwerkbeitritt (2.3.5) und die Gültigkeitsdauer der Attribute-Value-Pairs angesprochen (2.3.6) und anschließend Churn (2.3.7), das Auftreten und Verschwinden der Peers Attribute-Value-Pair DHTs werden meistens in Filesharing-Tools (emule, KaZaa, Gnutella) eingesetzt. Dabei werden meistens Informationen, die zum Auffinden von gewünschten Dateien benötigt werden, in einem Netzwerk gespeichert. Bei diesem Vorgang werden bestimmte Tupel eingesetzt, beispielsweise <Pointer,Key>. In diesem Fall ist der Pointer ein Zeiger, der auf bestimmte Hosts zeigt, die z. B. gewünschte Dateien zum Downloaden bereitstellen und den dazugehörigen Schlüssel. Der Zeiger kann aber auch in Form von einem Tupel <IP,Port> bestehen, der die IP-Adresse und den Port eines Hosts anzeigt. Hier ist der Schlüssel (Attribute) ein Hashwert des gewünschten Dateinamens oder Inhaltes. Zu diesen Schlüsseln werden bestimmte Werte (Value) zugeordnet, die mit der Hilfe einer Hashtabelle einfach und jeder Zeit wiederaufgerufen werden können. Dies geschieht mit den sogenannten lookup- Abfragen. Im Nachfolgenden wird die Funktionsweise von Kademlia näher beschrieben, da Kademlia für P2P-Botnetze eine große Rolle spielt. Eine P2P- Technik, wie Kademlia, ist notwendig zum späteren Verständnis der Funktionsweise von P2P-Botnetzen. Kademlia wird in Verbindung mit dem User Datagramm Protocol (UDP) eingesetzt. UDP ist ein unzuverlässiges und verbindungsloses Netzwerkprotokoll, das auf der Transportschicht seine Verwendung findet. Seine Aufgabe ist es, die über das Internet gesendete Daten, der richtigen Anwendung auf dem Zielrechner zukommen zu lassen. Dabei werden UDP-Ports verwendet. UDP sendet immer die Port-Nummer des Dienstes, der die Daten am Zielrechner erhalten soll [15]. 12

20 Grundlagen XOR-Metrik Die besondere Eigenschaft von Kademlia ist der virtuelle Adressraum für die Knoten-IDs und Schlüssel mit 160 Bit Breite. Jeder im Netz beteiligte Knoten (Client) besitzt eine anfangs zufällig generierte 160 Bit breite Identifikationsnummer (ID). Jeder Informationsinhalt bekommt ebenfalls einen eindeutigen 160 Bit Hashwert durch DHT zugewiesen. Dies ist der Schlüssel einer Datei, die in einem Netzwerk abgelegt oder gesucht wird. Dadurch können die IDs und die Schlüssel miteinander verglichen und deren Abstände berechnet werden. Für die Abstandfunktion wird XOR benutzt. Um den Abstand d zwischen zwei 160-Bit-IDs oder Schlüsseln (x und y) berechnen zu können, wird folgende Funktion definiert: (, ) = Dies kann man auch folgendermaßen interpretieren: Abstand (Argument_1,Argument_2)=Argument_1 XOR Argument_2. Der Abstand d zwischen 1011 und 1000 beträgt beispielsweise (1001,100)=0011. Eine weitere Eigenschaft von XOR ist die Undirektionalität. Darunter versteht man, dass es zu jedem gegebenen Punkt (Schlüssel bzw. ID) und bei der Distanz ԑ > 0, genau ein Punkt (Schlüssel bzw. ID) existiert, so dass (, )=ԑ. Wenn ein Wert gespeichert werden soll, wird dessen 160-Bit-Hash-Wert berechnet und sein Wert wird dann auf den Knoten abgelegt, dessen ID dem Hash am nächsten ist bzw. der Abstand am kleinsten ist. Die Information (Wert) befindet sich dann auf dem Knoten, der den geringsten Abstand aufweist Routingtabellen Alle beteiligten Knoten in einem Kademlia-Netzwerk werden als Listen verwaltet. Um den kompletten Adressraum zu überblicken, verwaltet jeder Knoten 160 Listen von Tupel <IP,UDP,ID>. 13

21 Grundlagen Bei 0 <160 verwaltet die Liste die Knoten, deren Abstand um 2 bis 2 betragen. Daher gilt [2,2 ]. Jedes Tupel beschreibt einen Knoten im Netzwerk. Die IP zeigt die genaue IP-Adresse des Hosts, UDP den UDP-Port und ID den ID-Knoten. In einer solchen Liste können maximal k Einträge platziert werden [16]. k ist ein Parameter, dessen Richtwert in der Praxis k=20 ist und der immer so gewählt werden sollte, dass der Ausfall aller Knoten, die sich in einer Liste befinden, innerhalb einer Stunde eher unrealistisch ist. Bei P2P-Botnetzen ist diese Eigenschaft von Kademlia von großer Bedeutung. Solche Listen werden auch als k-buckets bezeichnet. Jeder Bucket wird nach dem am längsten nicht kontaktierten Knoten sortiert, wobei die zuletzt kontaktierten Kontaktknoten am Ende der Liste stehen. Diese Struktur bewirkt, dass die Knoten sehr viel über ihre Nachbarknoten wissen, dafür aber nur wenige Knoten, deren Abstand von ihnen groß ist, kennen. Diese Listen werden durch ein Verfahren, das die Aktualisierung von k-buckets bewirkt, selbst aktualisiert. Dies geschieht sobald ein Knoten eine Nachricht von einem anderen Knoten in Kademlia bekommt. Dieses Verfahren sieht folgendermaßen aus: - Wenn ein Absenderknoten in k-bucket bereits existiert, wird er an das Ende seiner Liste sortiert - Wenn ein Absenderknoten nicht in k-bucket existiert und ist das k-bucket noch Platz für Einträge hat, wird der Knoten am Ende der Liste eingefügt - Wenn ein Absenderknoten nicht im entsprechenden k-bucket existiert und das k-bucket hat keinen Platz mehr für neue Einträge, wird der Knoten angepingt, der sich an der Wurzel der Liste befindet. Reagiert dieser nicht mit einem Pong, wird der neue Knoten am Ende der Liste eingefügt oder der neue Knoten wird komplett verworfen Operationen des Kademlia-Protokolls Das Kademlia-Protokoll besteht aus verschiedenen Operationen, genau aus vier Remote-Procedure-Calls (RPC), die hier kurz erläutert werden. 14

22 Grundlagen Remote-Procedure-Calls (RPC) Beschreibung PING RPC FIND_NODE RPC FIND_VALUE RPC STORE RPC Überprüft, ob ein Knoten online ist. Ist ein Knoten online und antwortet mit einem Pong, wird somit die Routingtabelle des Empfängers aktualisiert Dieser RPC enthält einen 160-Bit Schlüssel. Der Empfänger gibt zu Schlüssel k die nächsten Tupel (IP,UDP,ID) an den Sender zurück Falls ein Wert auf einem Knoten mittels STORE RPC gespeichert wurde, gibt FIND_VALUE diesen direkt zurück Dieser Befehl dient zum Abspeichern eines Schlüssel-Wert- Paares <Schlüssel.Wert> auf einem Knoten Tabelle 2. 1 : Remote-Procedure-Calls und deren Aufgaben Netzwerkbeitritt Möchte ein Knoten einem Kademlia-Netzwerk beitreten, so besitzt er als Neuankömmling noch keine 160-Bit breite Kennung. Diese wird zufällig mit einer Hashfunktion generiert. Beim ersten Eintritt verfügt der Knoten ebenfalls über keine Knoten in seinen k-buckets. Bei seinem Eintritt muss er mindestens einen bekannten Knoten in seine k-buckets einfügen. Danach führt er einen FIND_NODE auf die eigene ID durch, was dazu bewegt, seine Nachbarknoten (Peers) kennenzulernen und da-durch seine k-buckets zu füllen. Dadurch wird der Knoten für andere Knoten selbst sichtbar. Die Nachbarknoten nehmen den neuen Knoten nach den vordefinierten Regeln in ihre k-buckets ebenfalls auf. Bei jeder späteren Teilnahme an dem Netzwerk verwendet der Knoten immer dieselbe ID Gültigkeitsdauer der Attribute-Value-Pairs Die Einträge der Buckets sind nur für eine bestimmte Zeit gültig. Die Schlüssel- Wert-Paare verlieren ihre Gültigkeit durch einen 24-Stunden-Stempel. Ein Knoten, der ein Schlüssel-Wert-Paar mit STORE RPC gespeichert hat, muss dies alle 24 Stunden wiederholen, sonst verfallen die Einträge. Hinzu kommt, dass jeder Knoten diese Daten neu im Netzwerk ablegen muss. Durch Anfragen und Antworten 15

23 Grundlagen suchender Knoten, werden die Buckets üblicherweise automatisch aktualisiert. Allerdings kann es vorkommen, dass einige Knoten diesen Vorgang über einen längeren zeitraum nicht durchgeführt haben, und somit nicht aktualisiert wurden. Wird innerhalb einer Stunde bei den Buckets kein FIND_NODE durchgeführt, wird es aktualisiert, in dem auf einer zufällig gewählten ID ein FIND_NODE durchgeführt wird Churn Durch das An- oder Abschalten der Rechner oder der P2P-Programme, kann es dazu führen, dass Peers in einem Netzwerk neu auftreten und verschwinden können (Churn). Daher spielt der Parameter k eine große Rolle. Wenn k zu klein gewählt wird, kann es dazu führen, dass Knoten, die Werte zur Verfügung stellen, im selben Moment auch wieder verschwinden können. Die Routingtabelle würde dadurch Einträge erweisen, die auf Knoten zeigen, die aber längst verschwunden sind [17]. Wird k zu groß gewählt, wird dadurch auch der Verwaltungsaufwand erhöht. Daher wird laut Maymounkov und Mazieres [16] empfohlen den Wert von k=20 zu wählen, da damit der Ausfall aller Knoten, die sich in einer Liste befinden, innerhalb einer Stunde ziemlich unrealistisch ist. 16

24 Aufbau und Funktionsweise von Botnetzen 3 Aufbau und Funktionsweise von Botnetzen Die Funktionsweise von Botnetzen hängt von verschiedenen Faktoren ab. Es ist nicht unbedingt notwendig viel über technische Kenntnisse zu verfügen, um ein Botnetz zu schaffen oder kriminell zu missbrauchen. Zur Erstellung eines Botnetzes sind im Internet viele Werkzeuge verfügbar und sogar vorprogrammierte Sourcecodes erhältlich. Ein bereits geschaffenes Botnetz kann auch gekauft oder sogar für Stunden oder Tage für Geld gemietet werden [1]. Wie ein Rechner mit einem Bot infiziert wird, wie sieht die Organisation eines Botnets aus und welche Fähigkeiten ein Bot hat, um sich stets zu aktualisieren, sind Faktoren, die bei einem Aufbau und Funktionsweise von Botnets eine große Rolle spielen. Viele der Bots verbreiten sich über Viren, Trojaner, Würmer und nutzen Programmier- oder Software-Design-Fehler aus, um auf Rechner zu gelangen. In allen Fällen, führt dies zur Installation der Bots auf dem Rechner und der Kontrolle des Bot-Masters über ein System, das am Ende in einen Zombie verwandelt wird. Je nach Art und Weise der Verbreitung, wird das Botnetz erweitert bzw. vergrößert. Bei Viren und Trojanern ist eine menschliche Interaktion notwendig, wobei bei Würmern die Verbreitungsgeschwindigkeit viel größer ist, da hier keine menschliche Interaktion notwendig ist. In diesem Kapitel werden zunächst serverbasierte Botnetze (3.1) beschrieben, gefolgt von den Fast-Flux-Netzen (3.2).Von großer Bedeutung sind ebenfalls die Peer-to- Peer-Botnetze (3.3), gefolgt von den Hauptinfektionsquellen (3.4) der Bots. Im Abschnitt 3.5 werden verschiedene Angriffsarten von Botnetzen erläutert und im Abschnitt 3.6 werden verschiedene Arten von Bots dargestellt. Anschließend werden im Abschnitt 3.7verschiedene Gegenmaßnahmen dargestellt. 3.1 Serverbasierte Botnetze Bei serverbasierten Botnetzen ist eine zentrale Struktur vorhanden, von der aus das komplette Botnetz gesteuert und kontrolliert wird. Die meisten Botnetze benutzen 17

25 Bot Bot Bot Aufbau und Funktionsweise von Botnetzen eine solche Organisation. Die zentrale Struktur ist meistens das Internet Relay Chat Protocol (IRC). IRC ermöglicht textbasierte Kommunikation in Echtzeit (sog. chatten ). Die Funktionsweise besteht darin, dass sich ein Benutzer mit einem IRC- Server verbindet und sich einem Chat-Room (sog. Channel ) anschließt. Diese Channels können mit einem Passwort geschützt werden. Benutzer mit administrativen Rechten können über diese Channels wachen. Auf diese Art und Weise kann ein Botnetz ebenfalls funktionieren. Ein Angreifer generiert einen solchen IRC-Server und die einzelnen Bots agieren als IRC-Benutzer. Sie verbinden sich mit dem IRC-Server und schließen sich dem, vom Bot-Master eingerichteten Channel, an. Der Bot-Master verbindet sich ebenfalls mit diesem Channel und sendet seine Nachrichten, die in diesem Fall Befehle bzw. Kommandos sind, an alle Bots. Die Bots nehmen diese Befehle an und führen diese sofort aus. Diese Befehle können verschiedene Angriffsattacken auslösen. IRC ermöglicht auch einen Channel über mehrere IRCs einzurichten. Im Fallbeispiel in Kapitel 4 wird ein IRC-Server eingerichtet und es wird gezeigt, wie die Kommunikation zwischen dem Bot-Master und Bots funktioniert. Die Abbildung 3.1 zeigt ein Botnetz mit zentraler Struktur und ein Botnetz mit mehreren IRCs. C&C- Server Bot- Master Kommunikation Bot Bot Bot a) Botnetz mit zentralem IRC-Server b) Botnetz mit mehreren IRC-Server Abbildung 3. 1: Vergleich eines serverbasierten Botnetzes mit einem oder mehreren IRCs 18

26 Aufbau und Funktionsweise von Botnetzen Der Vorteil von diesen Botnetzen ist, dass der Angreifer keine spezielle Server- Software benötigt und dass Client-Bibliotheken bereits vorhanden sind. Außerdem können auch Channels in öffentlichen IRC-Netzen genutzt werden. Der Nachteil ist, dass durch das Abschalten des IRC-Servers das gesamte Botnetz außer Gefecht gesetzt werden kann. Dem Angreifer ist es nicht mehr möglich das Botnetz zu kontrollieren. Daher ist es nach dem Abschalten des IRC-Servers nicht mehr notwendig die einzelnen Bots von den kompromittierten Systemen zu entfernen, da sie ohne Kontakt zum IRC-Server keine Funktion mehr haben. Um das Abschalten der IRC-Server zu erschweren, werden die meisten IRC-Server in fernöstlichen Ländern platziert, da dort das Interesse oder Beschwerden gegen Botnetz-Betreiber sehr gering sind [6]. Im nächsten Kapitel wird eine andere Variante der serverbasierten Botnetze erläutert, die das Abschalten der serverbasierten Botnetze fast (aber nur fast) unmöglich macht. Diese Variante nennt sich Fast-Flux-Netz. 3.2 Fast-Flux-Netze Da sich Botnetze durch Deaktivierung oder Abschaltung des IRC-Servers außer Gefecht gesetzt werden können, haben sich die Botnetz-Betreiber eine Variante ausgedacht, um dies zu erschweren. Sie versuchen dies zu umgehen, indem sie mehrere IRC-Server generieren, so dass die infizierten Rechner mit diesen C&C- Server nicht direkt kommunizieren, sondern über eine Zwischenstation. Diese Zwischenstation wird Proxy genannt. Ein Netz, das auf solche Art und Weise aufgebaut ist, nennt sich Fast-Flux-Netzwerk. Fast-Flux ist eine Technik, die Aufrufe einer Domain an viele verschiedene IP- Adressen weiterleitet. Diese IP-Adressen, die einer Domain zugewiesen sind, werden mit dem sogenannten Round-Robin-Verfahren ständig gewechselt und haben dadurch eine sehr kurze Lebensdauer. Eine IP-Adresse einer Domain kann dadurch ca. alle 3 Minuten geändert werden. Es existieren zwei Arten von Fast-Flux- Netzwerken. In einem Single-Flux-Netzwerk, muss ein sogenannter bullet-proof- Server generiert werden, der versteckt und sicher vor Entdeckung und seiner Abschaltung sein muss. Der DNS-Eintrag für eine Third-Level-Domain wird durch diesen Server mit fester IP versehen. In einem Double-Flux-Netzwerk kann der Nameserver für die Third-Level-Domain auch ein Bot aus dem Botnetz darstellen. 19

27 Aufbau und Funktionsweise von Botnetzen Die DNS-Auflösung erfolgt nicht durch den infizierten Rechner, sondern von dem sogenannten Mothership, das durch das Bot als Proxy geschützt bleibt [27]. In einem Fast-Flux-Netzwerk existieren mehrere Proxys, die vom C&C-Server, über den der Botmaster die Kontrolle hat, ihre Anweisungen erhalten. Wenn ein, mit Bot infizierte Rechner, sich mit dem Internet verbindet, ist sein erstes Ziel sich mit dem C&C-Server zu verbinden, um sich neue Befehle zu holen. Dabei kontaktiert er eine Domain (z. B. die auf mehrere IP-Adressen verweist. [6]. Diese IP-Adressen werden, wie bereits erwähnt, mit dem Round-Robin-Verfahren ständig getauscht und haben dadurch eine kurze Lebensdauer. Das bedeutet, dass wenn ein Benutzer einen Host beim DNS abfragt, immer eine andere IP-Adresse zurückbekommt. Diese Eigenschaft führt dazu, um ein Lastausgleich (z. B. Tausenden von Bots) zu erzielen [18]. Die Abbildung 3.2 zeigt ein solches Scenario. Abbildung 3. 2: Fast-Flux-Botnetz Die DNS-Einträge verweisen auf mit Bots infizierte Rechner. Diese sind in diesem Fall die Proxys für den eigentlichen C&C-Server. Hinter diesen Proxys versteckt sich der C&C-Server und bleibt damit im Hintergrund, von wo er seine Befehle losschicken kann. Moderne IRC-basierte Botnetze und deren Betreiber nutzen diese Technik zur Tarnung und um schwer auffindig zu bleiben. Wird ein DNS-Server abgeschaltet, kann das Botnetz nicht beeinflusst werden, da weitere Server existieren, über die Zombies mit dem C&C-Server Kontakt aufnehmen können. In der Abbildung 3.3 wird eine Abfrage einer Flux-Website dargestellt. 20

28 Aufbau und Funktionsweise von Botnetzen Sobald sich ein Bot mit dem Internet verbindet, ist der erste Schritt, eine Abfrage der Domain beim DNS-Server durchzuführen. Von dort bekommt er IP-Adressen von verschiedenen Proxys (ebenfalls mit Bot infizierte Rechner) und baut mit einem dieser Proxys eine Verbindung auf. Durch diese Verbindung erfolgt eine Registrierung des Bots im Netzwerk. Der Proxy kontaktiert den C&C-Server (Mothership) und meldet somit den Bot dort an. Der Proxy schickt an den Bot Befehle zurück, die er vom C&C-Server zuvor erhalten hat. Die Kommunikation erfolgt meistens mit Hilfe von http, da dieses Protokoll in Verbindung mit Firewalls und Proxys problemlos funktioniert [18]. Abbildung 3. 3: Abfrage einer Flux-Website Eine Gegenmaßnahme von Fast-Flux-Netzen ist, die Deaktivierung der Domains. Eine solche Deaktivierung erfolgte im Februar 2010 durch den Softwarehersteller Microsoft. Dabei wurden 277 Internetdomains vom Netz deaktiviert, die mit dem Waledac-Botnet ihre Verwendung hatten [20]. Das Abschalten solcher Domains wird erschwert, wenn diese Domains in Ländern mit nicht stark befasten Cyber- Kriminalität, registriert werden. 21

29 Aufbau und Funktionsweise von Botnetzen Um die Deaktivierung der zentralen Kontrollstruktur bei IRC-basierten Netzen und somit das Abschalten des ganzen Botnetzes zu vermeiden, versuchen immer mehr Botnetz-Betreiber eine dezentrale Kontrollstruktur zu schaffen. Eine solche zentrale Kontrollstruktur wird als Peer-to-Peer-Botnetz genannt und wird im nächsten Abschnitt genauer erläutert. 3.3 Peer-to-Peer-basiertes Botnetz Peer-to-Peer-Netze wurden im Abschnitt 2.2 vorgestellt. Sie sind von zentralen Kontrollstrukturen unabhängig. Ein Knoten (Peer) kann in einem solchen Netz als Server und als Client fungieren. Alle Knoten sind gleichberechtigt und können die Aufgaben anderer Knoten übernehmen. Im Falle, dass ein Knoten abgeschaltet oder deaktiviert wird, wird er durch einen anderen Knoten ersetzt. P2P-Botnetze nutzen eine P2P-Technologie, wie z. B. das Kademliaprotokoll (Kapitel 2.3). Wenn ein Rechner infiziert wurde und sich in ein Botnetz einklinken möchte, muss er mindestens einen Rechner des Botnetzes kontaktieren. Nach diesem Schritt erhält er automatisch weitere Kontaktadressen weiterer Rechner. Ist ein Rechner infiziert, kann ihm dabei eine Liste mit Knoten mitgegeben werden, welche der Rechner bei der ersten Kontaktaufnahme nutzen kann. Es gibt aber auch Bots, die andere P2P- Netze nutzen. Das Phatbot nutzt beispielsweise das Gnutella-Netzwerk. Er verbindet sich mit diesem über einen anderen Port. Auf diesem Weg kann er sich von den anderen Gnutella-Clients unterscheiden und kann, um sein eigenes Netzwerk zu erreichen, andere Knoten finden [18]. Die Verbreitung erfolgt ohne menschliche Interaktion und die Verbreitungsgeschwindigkeit der P2P-Botnetze wird mit diesem Verfahren sehr beschleunigt. 22

30 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 4: Peer-to-Peer-basiertes Botnet In Abbildung 3.4 wird ein P2P-Botnetz dargestellt. In einem P2P-Botnetz ist es nicht mehr erkennbar, hinter welchem Knoten sich der C&C-Server befindet. Der Bot- Master schließt sich dem Botnetz als ein einfacher Knoten an und verteilt von dort aus seine Befehle. Sendet der Bot-Master einen Befehl an einen Bot, verteilt er damit automatisch dieses Befehl an den Rest der Bots. Damit nur der Bot-Master Befehle erteilen kann, kann er alle Befehle mit einer digitalen Signatur versehen. Jeder Bot muss dann den Public Key des Bot-Masters kennen. Erst nach einer erfolgreichen Authentifizierung kann der Bot-Master seine Befehle erteilen und die Bots diese empfangen und an andere Bots weiterleiten. Hier ist eine komplette Abschaltung des Botnetzes kaum möglich. Es besteht nur die Möglichkeit das Botnetz zu verkleinern, indem einzelne Bots deaktiviert werden. Daher ist es von großer Bedeutung, mit wie vielen Bots ein Bot in Verbindung steht. Wird ein Bot deaktiviert, verlieren alle Bots, die mit ihm in Verbindung stehen, den Kontakt und werden somit ebenfalls deaktiviert [19]. Entscheidend ist also, wie viele Listen ein Bot führt und wie voll sein k-bucket ist. Wie bei Kademlia beschrieben, kann ein Bot, der Verbindung zu einem anderen Bot verloren hat, beim nächstem mal seine Listen aktualisieren und eine neue Verbindung zu anderen aktiven Bots herstellen. Letztendlich ist eine komplette Abschaltung eines P2P-Botnetzes fast gar nicht möglich, da es dabei nötig wäre alle Bots in einem solchen Botnetz zu 23

31 Aufbau und Funktionsweise von Botnetzen deaktivieren bzw. auszuschalten. Dennoch gibt es aktive Gegenmaßnahmen, die sogenannte Honeypots, die im Abschnitt beschrieben werden. In heutiger Zeit existieren mehr Botnetze mit zentraler Kontrollstruktur und P2P- Botnetze treten nur vereinzelt auf (Storm-Botnetz). Es ist aber sehr wahrscheinlich, dass in Zukunft immer mehr Botnetze mit dezentraler Kontrollstruktur geschaffen werden. 3.4 Hauptinfektionsquellen Nach der Untersuchung der europäischen Agentur für Netz- und Informationssicherheit sind die Hauptinfektionsquellen Schwächen im Browser, Einschleusung durch -Anhänge, Lücken im Betriebssystem und Downloads von Dateien aus dem Internet [40]. Quelle: Abbildung 3. 5: Hauptinfektionsquellen von Bots 24

32 Aufbau und Funktionsweise von Botnetzen 3.5 Angriffsarten Botnetze bieten verschiedene Angriffsmöglichkeiten an. Es gibt verschiedene Motive, die dazu führen solche Angriffsarten durchzuführen. Der Hintergedanke ist meistens kriminell und führt von Softwareschäden bis hin zur Erpressung von Webunternehmen. Im Nachfolgenden werden die wichtigsten und häufigsten Angriffsarten beschrieben Spamming Einige Bots haben die Möglichkeit einen SOCKS (Sockets) V4/V5 Proxy auf einer kompromittierten Maschine zu öffnen. Das SOCKS-Protokoll dient dazu Client- Server-Anwendungen durchzuführen und die Dienste eines Proxyservers oder einer Firewall transparent und protokollunabhängig zu nutzen. Somit verbinden sich die Clients, die hinter einer Firewall stehen und eine Verbindung mit einem Server aufbauen möchten, mit einem SOCKS-Proxy. Ist der Client berechtigt den Server zu kontaktieren, so leitet der Proxyserver die Anfrage an den externen Server weiter [22]. Hat dies erfolgreich stattgefunden, kann der kompromittierte Rechner dazu genutzt werden Spams zu versenden. Der Bot-Master nutzt in diesem Fall das gesamte Botnetz und die Bots, um Tausende solcher Spams zu versenden. Diese Spams dienen entweder zur Verbreitung von Bots selbst oder für kommerzielle Gründe (Werbezwecke). Die adressen werden über das Botnetz übertragen oder der Bot sucht auf dem kompromittierten Computer nach den adressen für seine Spams. Manche Bots haben sogar eine speziell implementierte Funktion, um E- Mailadressen selbst zu generieren [21]. Die Bot-Master bleiben somit verborgen, denn auf dem Zielrechner, der eine Spam-Mail bekommt, ist nur die IP-Adresse des Zombies sichtbar. Der STORM-Bot nutzt z. B. Spams auf seinem Verbreitungsweg, indem er mit der einen Link zu einem Web-Server mitschickt, auf dem sich der Bot befindet [8]. 25

33 Aufbau und Funktionsweise von Botnetzen From: "Brenda Askew" To: Cc: Subject: Illegales Forum Date: Thu, 11 Mar :32: Das beste illegale Forum Drogen online bestellen. Speed, Kokain, Hash Kinderpornos 5-13 jahre Jungs und Madchen - nur 10eu! deutsche geklaute Creditkarten fur 2 euro Ebay geklaute Login-Daten Paypal geklaute Accounts DDoS nur 30 Euro/Tag Trojane kostenlos Spam auf Bestellung geklaute Postbank, Sparkasse, Volksbank usw. accounts mit TANs Bei uns gibts alles! Aus Sicherheitsgrunden gibts login nur bei nachfragen - . Abbildung 3. 6: Beispiel einer Spam- In der Abbildung 3.6 kann man ein Beispiel einer Spam sehen, die in März 2010 mit dem Betreff Illegales Forum verschickt wurde, dessen Link eventuell auf eine infizierte Seite verweist. Hier ist ebenfalls erkennbar, wie Geschäfte mit Botnetzen und Spams gemacht werden könnten. Nach einer genaueren Analyse konnte festgestellt werden, dass dahinter ein indisches Botnetz steckt, welches von Russen betrieben wird. Das Botnetz ist seit mindestens drei Jahren aktiv Phishing/Pharming Phishing bedeutet, dass Nutzer über gefälschte s (Spams) aufgefordert werden vertrauliche Daten zu verschicken. Dabei werden die Nutzer auf gefälschte Phishing- Seite, die von einem Bot-Master generiert wurde, gelockt, um dort persönliche Daten einzugeben, wie z. B. Konto- oder Kreditkartendaten. Laut heise.de war für rund zwei Drittel aller Phishing-Angriffe eine einzelne Phishing-Bande verantwortlich. Dabei benutzten die Phisher mehrere hundert Domains, die sie bei verschiedenen Registraren registrierten, die auf Hinweise von Ermittlungsbehörden kaum reagieren. 26

34 Aufbau und Funktionsweise von Botnetzen Wenn ein Registrar Verdacht schöpft, gehen die Phisher einfach zu einem weniger achtsamen Registrar, denn davon gibt es anscheinend mehr als genug. Durch die Zusammenarbeit von Banken, Registraren und anderen Dienstleistern, gelang es jedoch die Angriffe zu reduzieren. Letztes Jahr im Oktober waren es ca mit 924 unterschiedlichen Domainnamen, während im April 2010 fast keine Aktivitäten mehr zu beobachten waren [39]. Pharming ist eine ähnliche Angriffstechnik, wie Phishing. Hierbei wird die Auflösung eines Domainnamens in eine IP-Adresse durch den Bot-Master manipuliert. Um IP-Adressen in Domainnamen umwandeln zu können, wird der sogenannte DNS-Server benötigt. Bevor eine DNS-Abfrage durchgeführt wird, durchsucht der Rechner in seiner Host-Datei (eine lokale Datenbank, über die jeder Rechner verfügt), ob die IP-Adresse für den Domainnamen hinterlegt ist [23]. Der Bot-Master nutzt diesen Vorgang aus, indem er in der lokalen Datenbank einen Eintrag manipuliert. Er kann beispielsweise den Eintrag einfügen. Möchte der Benutzer nun die Seite kontaktieren, wird er, statt auf den tatsächlichen buch.de-server, auf die Seite mit der IP-Nummer weitergeleitet. Diese Seite wurde vorher vom Bot-Master fast identisch mit der Seite generiert und der Benutzer soll dabei Kontozugangsoder Kreditkartendaten offenbaren, die für kriminelle Zwecke eingesetzt werden. Der Benutzer weiß am Ende überhaupt nicht, dass er auf eine gefälschte Seite gelangt ist seine Daten eingegeben hat. Er hatte den Anschein an der von ihm gewünschten Seite zu sein Distributed-Denial-of-Service Die Bots werden am häufigsten für DDoS-Attacken genutzt. Bei dieser Angriffsart werden die Bots dazu benutzt gleichzeitig mehrere Anfragen an einen Ziel-Host zu senden, welche die Bandbreite des attackierten Systems so blockieren, dass das System nicht mehr in der Lage ist diese Anfragen zu verarbeiten. Das Ergebnis führt zum Ausfall des Systems (oder einer Online-Präsenz) [21]. Wegen kritischer Berichterstattung wurde im März 2010 die Internetseite 24-stundenlang mit massiven DDoS-Angriffen bombardiert [24]. Zu solchen DoS-Angriffen zählen 27

35 Aufbau und Funktionsweise von Botnetzen beispielsweise Methoden wie SYN-Flooding, die SMURF-Attacke oder Ping of Death. Sie dienen meistens, um eine Überlastfunktion des Systems herbeizuführen. SYN-Flood-Attacken werden benutzt, um Netzwerkdienste, die TCP-Protokoll als Transportprotokoll benutzen, außer Gefecht zu setzen. Bei dieser Methode versucht der Angreifer scheinbar eine TCP-Verbindung aufzubauen und sendet an den Server ein TCP-Segment mit einem gesetzten SYN-Flag. Der Server speichert die halboffene Verbindung und reagiert mit einem SYN-ACK, um die Verbindung aufzubauen, der aber durch den Angreifer nicht mehr beantwortet wird. Der Server wiederholt mehrere Versuche, um die Verbindung aufzubauen und bricht letztendlich mit einem Timeout den Verbindungsversuch ab. Bei diesem Vorgang reserviert Server Ressourcen für die Verbindung. Da die Ressourcen begrenzt sind, kann eine solche Täuschung der Verbindungswünsche dazu führen, die Kapazität auszuschöpfen und dadurch den Server zu überlasten. Aus diesem Grund ist der Server nicht mehr in der Lage weitere TCP-Verbindungen entgegennehmen zu können [9]. Noch gefährlicher und raffinierter sind solche Angriffe, wenn sie mittels gefälschter IP-Adressen (IP-Spoofing) durchgeführt werden. Dabei benutzt der Angreifer IP- Adressen, bei denen er sich sicher ist, dass diese auf TCP-Segmente mit gesetztem SYN-Flag nicht reagieren. Durch IP-Spoofing kann der Angreifer seine Identität verbergen. Allerdings gibt es mittlerweile Möglichkeiten solche gefälschte IP- Adressen durch Betreiber von Netzen (Service Provider) zu identifizieren und herauszufiltern [9]. Bei DDoS-Angriffen verwendet der Angreifer echte IP- Quelladressen, in dem er Befehle an kompromittierte Rechner schickt (also an seine Bots), um solche SYN-Pakete zu versenden. Er bringt z. B. Millionen von Rechnern dazu gleichzeitig eine Anfrage an einen Webserver zu machen, der auf diese nicht so schnell antworten kann und wegen Überlastung abstürzt. Botnetzbetreiber könnten ihre Bots so einsetzen, so dass die komplette Funktion der Internet-Infrastruktur gestört werden kann. Ein Botnetz aus mehreren Tausenden Zombies würde ausreichen, um einen DDoS-Angriff gegen die dreizehn Root-Name- Server, so durchzuführen, dass binnen einiger Stunden zu einem kompletten Internetausfall führen würde [41]. 28

36 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 7: Botnetz-DDos-Angriff SMURF-Attacke basiert ebenfalls auf IP-Spoofing. Dabei sendet der Angreifer ICMP-Echo-Requests (Pings) an eine Broadcastadresse eines Netzes. Als Absenderadresse verwendet der Angreifer eine gefälschte Adresse und leitet die Anfrage in das innere Netz. Alle, an dieses Netz angeschlossene, Clients antworten an die vermeintliche Absenderadresse, was zu einer Überlastung führen kann. Auf diese Art und Weise kann der Angreifer mit einem einzigen ICMP-Paket eine hohe Anzahl von Pongs an sein Opfer herbeiführen [25]. Das Ziel solcher Angriffe ist es Webunternehmen, durch Blockieren ihrer Internetdienste, zu schädigen oder Lösegeld zu erpressen. Im Jahr 2004 wurde während der Fußballeuropameisterschaft das Online-Wettbüro mybet.com erpresst, eine Summe von Dollar zu zahlen. Als sie das geforderte Geld nicht zahlten, wurde ihre Website für 16 Stunden durch gezielte DDoS-Attacken lahm gelegt [26]. Es ist vorstellbar in welcher Höhe der Schaden stand. Es gibt wenige Schutzmöglichkeiten, sich gegen solche DDoS-Attacken zu schützen Verbreitung von Adware und der Klickbetrug Botnetze werden dafür verwendet, um Adware zu verbreiten. Adware ist, wie in Kapitel beschrieben, Software, die unerwünscht beim Surfen im Internet 29

37 Aufbau und Funktionsweise von Botnetzen Werbung anzeigt. Für einen Bot-Master ist es sehr einfach auf einer kompromittierten Maschine Adware zu installieren. Er kann einen finanziellen Gewinn aus seinem Botnetz machen, in dem er mit Werbeunternehmen Verträge abschließt, die ihm für jede angezeigte Werbung bzw. jeden Klick auf dem generierten Werbebanner Geld bezahlen. Mit Hilfe seines Botnetzes kann der Bot- Master diese Klicks automatisch generieren, so dass in einer bestimmten Zeit Tausende von Bots auf die bestimmten Werbebanner klicken [28]. Das Ähnliche kann man mit dem Google AdSense Programm erfolgen. Google AdSense ist ein Programm, das Werbung auf verschiedenen Webseiten anbieten kann. Durch AdSense werden Anzeigen präsentiert, die von Google automatisch erzeugt werden. Google erhält dabei Einnahmen von werbetreibenden Unternehmen durch den Klick auf die Werbebanner. Die Bezahlung erfolgt über die Höhe der Anzahl der Klicks. Einen Teil davon gibt Google an den Werbeanbieter (Website- Betreiber) weiter [29]. Solche Klicks können von Botnetz-Betreibern manipuliert werden, in dem der Bot das Anklicken solcher Werbe-Banner generiert und dadurch die Anzahl der Klicks erhöht. Dies führt dazu, dass das Geld eigentlich dem Botmaster in die Tasche fließt Sniffing und Keylogging Botnetze können ebenfalls dazu benutzt werden, um auf kompromittierten Maschinen den Datenverkehr zu protokollieren. Sniffer bedeutet übersetzt Schnüffler und sie werden meistens dazu benutzt vertrauliche Daten, wie Benutzernamen und Passwörter, herauszulesen. Sind mehrere Computer ein Teil von mehr als einem Botnetz, kann ein Sniffer die Logindaten des fremden Botnetzes ergattern, was dazu führen kann, dass ein Botmaster das andere Botnetz stehlen und es unter seine Kontrolle bringen kann [28]. Ist die Kommunikation der kompromittierten Maschine verschlüsselt, so ist das Protokollieren des Datenverkehrs ohne den Entschlüsselungs-Key nicht möglich. Viele Bots bieten Funktionen, um in solchen Situationen den Datenverkehr dennoch mitlesen zu können. Mit Hilfe eines sogenannten Keyloggers (Mitschneiden der Tastatureingaben des Benutzers auf einem System) können Bot-Master an vertrauliche Daten trotzdem gelangen. Keylogger können Tastatureingaben 30

38 Aufbau und Funktionsweise von Botnetzen aufzeichnen und diese auf der Festplatte des Rechners speichern oder sie über das Internet an einen anderen Rechner verschicken. Um den Speicherplatz zu sparen, können manche Keylogger wiederrum gezielt auf Passwörter warten und speziell nur diese aufzeichnen und speichern [30]. 3.6 Verschiedene Arten von Bots Es existieren viele Arten von Bots und die meisten Quell-Codes stehen im Internet zum Downloaden zur Verfügung. Alle verfügen über besondere Merkmale und jeder Bot besitzt auf seine Art und Weise gewisse Besonderheit. In der folgenden Tabelle sind einige Bots kurz aufgelistet bzw. dargestellt, die über Gemeinsamkeiten verfügen, sich aber auch in ihrem Verbreitungsweg unterscheiden [38], [36], [35], [18]. Botname Eigenschaft Verbreitungsweg Agobot GTBot SDBot Conficker Storm Srizbi Slapper Hochmodular aufgebaut, IRC-basiert,Quellcode C++ IRC-basiert, besteht aus mirc-skripte, Portscanning Geschrieben in C, keine große Anzahl an Features Generieren von Domains, benutzt Signatur für Updatemechanismus P2P, Server-Polymorphismus, Erkennung von virtuellen Maschinen Arbeitet komplett im Kernel-Mode, nutzt Domains zum Verbindungsaufbau P2P, basiert auf UDP und verwendet Port 2002 Nutzt eine Vielzahl von Exploits aus Benutzer werden über Spam auf infizierten Websites gelockt Ausnutzung von Microsoft-Windows-Schwachstellen, Dateidownload von Webserver, Attachement an s, NetBios (Port 139) Windows RPC-Exploit, gilt im Moment als gefährlichster Wurm im Internet mit meistinfizierten Rechnern Links auf infizierte Files, Anhang an Spam-Mails, Rootkitaktivität Installiert sich als Treiber, Rootkitaktivität, Manipulation der Netzwerktreiber, über die er Pakete versendet, Umgehen von Firewall und Sniffer Apache WebServer auf IA32Linux über OPEN-SSL- Exploit Tabelle 3. 1: Verschiedene Arten von Bots und deren Eigenschaften 31

39 Aufbau und Funktionsweise von Botnetzen 3.7 Gegenmaßnahmen Bot-Codes sind meistens modular aufgebaut und können nach Belieben modifiziert werden und verfügen über Funktionen, über die sich der Bot automatisch aktualisieren lassen kann. Die Infektion eines Rechners kann nicht komplett ausgeschlossen werden. Dennoch kann man mit einfachen Maßnahmen das Risiko erheblich reduzieren. Apelle der IT-Fachmänner sind Patches auf die Rechner einzuspielen, um Sicherheitslücken von Systemen zu schließen. Doch dabei handelt es sich um bekannte Sicherheitslücken, aber was ist mit noch nicht bekannten Sicherheitslücken, die Schädlinge dennoch ausnutzen können? Die nächsten Schritte wären das Betreiben einer Firewall und eines Virenscanners. Dadurch wird die Infektion durch die Bots erschwert. Wichtig dabei ist, dass die Anti-Viren-Software regelmäßig aktualisiert wird, um immer auf dem aktuellen Stand zu sein. Allerdings tauchen manche Bots in verschiedenen Varianten auf, so dass die Virenscanner diese nicht sofort erkennen können. Desweiteren sollte man nicht als Administrator am PC arbeiten, denn so können Schadprogramme noch mehr Schaden anrichten. Daher sollten für alle Nutzer Benutzerkonten eingerichtet werden. Wichtig ist auch Aktive Inhalte im Browser zu deaktivieren, denn über diese können Bots auf dem Rechner installiert werden. Bei Downloads aus dem Internet sollte man sich vergewissern, ob die Quelle auch vertrauenswürdig ist. Man sollte ebenfalls vorsichtig beim Öffnen von -Anhängen sein, da die meisten Bots über Dateianhänge in s verbreitet werden [40]. Botnetze gehören zu den größten Gefahren des Internets, durch welche großer Schaden angerichtet werden kann, und trotzdem können Strafverfolger, wie die Polizei oder das Bundeskriminalamt, nicht selbständig einschreiten, sondern können erst dann aktiv werden, wenn vom Betroffenen eine Anzeige erstattet wird [31]. Es existieren verschiedene Gegenmaßnahmen, um Botnetze zu erkennen und zu beobachten. Das Ziel solcher Gegenmaßnahmen ist es die Betreiber der Botnetze ausfindig zu machen oder die Botnetze zu übernehmen und dadurch diese abzuschalten. Zu den größten Gegenmaßnahmen gehören die Honeypots bzw. Honeynets. Sie sollen dem Angreifer unerkannt bleiben und er soll gar nicht die Ahnung schöpfen, dass er eventuell überwacht wird. Im nächsten Abschnitt werden die Honeypots genauer beschrieben. Zu den weiteren Gegenmaßnahmen gehört das 32

40 Aufbau und Funktionsweise von Botnetzen Blockieren der Netzbereiche, aus denen die Spams verschickt werden. Allerding ist dies kaum mehr möglich, wenn IPv6 eingesetzt wird Honeypots Honeypots kommt aus dem Englischen und bedeutet übersetzt Honigtopf. Honeypots gehören zu den technischen Gegenmaßnahmen, die zur Erkennung und Analyse von Botnetzen dienen. Mehrere Honeypots bilden das sogenannte Honeynet. Dies sind Computer, die mit Absicht mit Schwachstellen programmiert werden, um von Bots absichtlich infiziert zu werden, damit sie ein Teil eines Botnetzes werden. Auf diese Weise können Informationen über Verhaltensmuster bzw. Angriffsmuster der verschiedenen Bots gesammelt und später analysiert werden. Durch diese Analyse des Netzverkehrs können Angriffe im Internet, die ähnliches Verhaltensmuster vorweisen, erkannt werden. Die genaue Analyse der Bots und Malware dient dazu, effektive Methoden zur Erkennung und Bekämpfung von Botnetzen zu entwickeln. Es existieren verschiedene Honeypots, wie z. B. GenII oder mwcollect. Die Architektur des GenII-Honeynets besteht aus einem oder mehreren ungepachten Systemen (Honeypots). Diese Rechner werden absichtlich eingesetzt, um die Bots zu locken, diese zu infizieren. Der wichtigste Bestandteil des Honeynets ist die Honeywall. Dies ist eine Art Firewall und ist ein Gatewaygerät, das die Honeypots von der Außenwelt trennt und verhindert, dass infizierte Honeypots Kontakt zu ihren Botmaster aufnehmen können. Jeder Netzwerkverkehr, also jedes Betreten oder Verlassen der Pakete, muss durch die Honeywall durchgehen [32]. Die Abbildung 3.8 zeigt einen Honeynet, das durch die Honeywall von der Außenwelt geschützt wird. Gefangene Bots können ebenfalls absichtlich freigelassen werden. Honeynets ermöglichen das Mitschneiden der Kommunikation zwischen Bot und seinem Bot- Master, wobei weitere wichtige Informationen gesammelt werden können. Der Code des Bots kann ebenfalls alle Informationen über z. B. eine Verbindung zum IRC- Kanal enthalten und werden dabei keine asymmetrischen Verschlüsselungsverfahren eingesetzt, kann dies dazu führen, dass durch Honeynets ein Botnetz übernommen bzw. abgeschaltet werden kann. 33

41 Aufbau und Funktionsweise von Botnetzen Abbildung 3. 8: Honeynet Bei der Analyse des Conficker-Wurms hatten Experten im Schadcode Hinweise gefunden, dass dieser am 01. April 2009 eine große Kommunikationswelle aktivieren wird und den weltweit geschätzten 15 Millionen infizierten Rechner Anweisungen für neue Angriffe erteilen sollte. Dabei warnten sie Unternehmen vor u. a. enormen Spam-Angriffen. Diese blieben jedoch aus. Das Einzige was sich an diesem Datum änderte, war das Kommunikationsverhalten des Wurms. Er kann seitdem über Domains neue Updates, Anweisungen oder Schadsoftware nachladen, was dazu führen kann, dass er noch größere Angriffe durchführen könnte und es ihn noch gefährlicher macht [33]. Eine der weiteren Gegenmaßnahmen ist es mit Hilfe von Top Level Domain Verwalter und Internet Service Provider die zentralen Server oder Websites, die als Zugangspunkt der Botnetze dienen, sperren zu lassen. Dadurch könnte die zentrale Struktur des Botnetzes außer Gefecht gesetzt werden. Wird ein Botnetz übernommen, könnte über die Verteilungsfunktion neuer Schadsoftware eine Deinstallationssoftware eingesetzt werden, die auf infizierten Rechnern automatisch installiert wird und Teile des Bots deinstalliert oder Kommunikationsports sperrt. 34

42 Aufbau und Funktionsweise von Botnetzen Doch bei der Übernahme oder Kontrolle der Bot-Netzwerke können rechtliche Probleme auftreten. Wird ein Botnetz von Security-Software-Firmen oder anderen Einrichtungen übernommen, können sie als reale Personen identifiziert werden und können, falls sie aktive Gegenmaßnahmen, wie das entfernen oder deaktivieren der Bots, an den infizierten Rechnern durchführen, für den Verlust der Daten oder für Produktionsausfälle haftbar gemacht werden Selbstverteidigungsmechanismus der Botnetze Moderne Botnetze haben die Eigenschaft sich selbst zu aktualisieren, indem sie, wie ganz normale Programme, Updates ausführen. Hierbei schickt der Bot-Master einen Befehl an alle Bots, um dies zu erzielen. Sobald alle Bots online sind, laden sie sich eine neue Version des Bots herunter und installieren diese auf kompromittierte Systeme, auf denen sie laufen. Die Verwendung solcher Bots führt dazu, dass sich beispielsweise IRC-basierte Botnets in P2P-Botnetze verwandeln können. Einige Versionen der Bots, beispielsweise der Storm-Bot, haben die Möglichkeit virtuelle Maschinen zu erkennen [8]. Dabei bringen sie die virtuellen Maschinen zum Absturz oder führen ihre Funktionen auf ihnen erst gar nicht aus. Andere wiederum verschlüsseln bei der Verbreitung ihren Code, so dass die Erkennung durch die Antivirenprogramme erschwert wird. Alle Bots laufen unauffällig auf kompromittierten Rechnern und nutzen dabei Root- Kits. Dadurch wird die Existenz der Bots auf solchen Rechnern völlig verschleiert. Moderne Varianten der Selbstverteidigungsmechanismen der Bots ist eine Manipulation der Virenscanner oder gar deren komplette Deaktivierung. Dabei läuft der Bot im Hintergrund und manipuliert die Antivirenanwendung, so dass dieser keine Möglichkeit hat den Bot zu erkennen. Raffinierte Bots (Agobot) sind modular aufgebaut und können daher um weitere Funktionen erweitert werden. Dadurch kann der Bot-Master immer wieder neue Funktionen implementieren und durch ein Update Bots, die unter seiner Kontrolle sind, aktualisieren. Die größte Gefahr des Internets stellt eine Kombination aus einem P2P-Botnet dar, das sich mit einem Wurm verbreitet und stets sich selbst aktualisiert. Die Größe des 35

43 Aufbau und Funktionsweise von Botnetzen Botnetzes kann sehr schnell wachsen und der Eigenschutz eines solch dynamischen Botnetzes ist weitgehen hoch. Einen Wurm, der sich selbstständig verbreitet und immer durch dessen Betreiber auf den aktuellsten Stand gebracht wird, indem er ihn mit neuen Exploits für neue Sicherheitslücken in Systemen aktualisiert, ist fast unmöglich außer Gefecht zu setzen. 36

44 Fallbeispiel mit Agobot 4 Fallbeispiel mit Agobot In diesem Kapitel wird ein konkretes technisches Fallbespiel mit Agobot dargestellt. Das Ziel dabei ist den Aufbau und Funktionsweise des Botnetzes zu zeigen. Dabei wird die VM-Workstation benutzt, um über virtuelle Maschinen die Infrastruktur aufzubauen. Es werden vier VMs (Virtuelle Maschinen) benutzt. Auf einer wird der IRC-Server installiert zusammen mit Wireshark, um später den Datenverkehr mitschneiden zu können. Auf der anderen VM wird der IRC-Client installiert. Die dritte VM wird für die Entwicklungsumgebung benutzt und am Ende mit Agobot infiziert. Die vierte VM wird ebenfalls mit Agobot infiziert. Anschließend wird die Kommunikation zwischen dem IRC-Server und dem Bot-Master dargestellt. Im Abschnitt 4.1 wird zunächst die Funktionsweise von Agobot erläutert, danach wird in 4.2 der Aufbau der Infrastruktur gezeigt, in der die genau Definition des Netzes (4.2.1) und Softwareinstallation (4.2.2) gezeigt werden. Im Abschnitt 4.3 wird die Konfiguration des Agobots durchgeführt und anschließend in 4.4 wird die Verbreitung von Agobot erläutert. 4.1 Funktionsweise von Agobot Der Quellcode von Agobot ist in C++ geschrieben und hochmodular. Diese Eigenschaft macht diesen Bot zu den beliebtesten Bots von Crackern. Er wurde im Jahr 2002 vom deutschen Programmierer Axel Ago Gembe entwickelt, der sich am Ende des Jahres 2006 vor dem Amtsgericht in einem Strafprozess als Verantwortlicher für zahlreiche Angriffe verantworten musste [34]. Agobot taucht in vielen Versionen auf und ist auch unter den Namen Gaobot oder Phatbot bekannt. Der Grund dafür ist, dass nach der Veröffentlichung des Quellcodes immer mehr neue Versionen des Bots auftauchen, die aber alle auf den Quellcode des Agobots basieren. Agobot ist ein IRC-basierter Bot, welcher als Grundlage das Waste Chat Protokoll benutzt. Bei der Infektion eines Systems kopiert er sich in die System- Verzeichnisse und legt in der Registry Einträge an, so dass er bei jedem Systemstart automatisch ausgeführt wird. Er bietet zahlreiche Funktionen (Rootkit- Funktionalitäten), um seine Präsenz auf dem infizierten Rechner zu verstecken. Er 37

45 Fallbeispiel mit Agobot enthält Funktionen, wie Packet-Sniffer, Keylogger und Rootkit-Installer. Desweiteren beinhaltet er einen SMTP-Client, um z. B. Spam-Angriffe und einen http-client, um z. B. DDoS-Angriffe zu koordinieren und durchzuführen. Agobot ist ebenfalls in der Lage virtuelle Maschinen zu erkennen und diese zum Absturz zu bringen [35]. Er beinhaltet umfangreiche Kommandos, die es ihm u. a. erlauben, den IRC-Server oder den Kommunikationskanal zu wechseln, Dateien herunterzuladen und auszuführen, verschiedene DDoS-Angriffe durchzuführen, Proxys einzurichten oder Prozesse auf dem System beenden zu lassen. Eigenen Funktionalitäten können sich durch die Module, die Agobot anbietet, beispielsweise durch das Erweitern der Klassen CommandHandler oder Scanner, implementieren lassen. Nach einer zufälligen Infektion des Windows 7-Rechners, auf dem die Kaspersky-Anti- Virensoftware (Internet-Security-2010) läuft, wurde er unter dem Namen Virus HEUR:Worm.Win32.Generic und als trojanisches Programm mit dem Namen Backdoor.Win32.Agobot.gen aufgegriffen und bei der Gefährlichkeit als sehr hoch eingestuft. 4.2 Aufbau der Infrastruktur Um den Aufbau und die Funktionsweise, bzw. Steuerung und Kontrolle in einem Botnetz deutlich und verständlich zu sehen, musste zunächst eine Infrastruktur aufgebaut werden. Der erste Schritt war, ein Netz in der VMware Workstation aufzubauen. Dafür wurden vier VM (Virtuelle Maschinen) eingesetzt. Auf drei der virtuellen Maschinen wurde XP mit Service Pack 3 installiert und auf der vierten Maschine, wurde XP mit Service Pack 1 installiert. Es wurden zwei VMs mit Agobot infiziert, eine XP mit Service Pack 1 und eine XP mit Service Pack 3. In der VM- Workstation wurde ein Netz mit den vier VMs aufgebaut Softwareinstallation Im zweiten Schritt wurde die Softwareinstallation auf den jeweiligen VMs durchgeführt. Auf der ersten VM (XPSP3_Home_02_IRC_Server) wurde der IRC- Server Unreal installiert. Dieser IRC-Server kann im Internet kostenlos auf der Seite heruntergeladen werden. Desweiteren wurde zur 38

46 Fallbeispiel mit Agobot späteren Netzwerkprotokollation Wireshark installiert. Dieser wurde ebenfalls aus dem Internet heruntergeladen ( Auf der zweiten VM (XPSP3_Home03_IRC-Client) wurde der IRC_Client installiert. Hierfür wurde Nettalk eingesetzt. Dieser wurde ebenfalls aus dem Internet heruntergeladen ( Die dritte VM (XPSP_Home04_DEV_AGO) dient als Entwicklungsumgebung. Um dort den Agobot kompilieren und konfigurieren zu können, wurde C++ Visual Studio 6.0 Enterprise Edition installiert. Auf dieser VM wurde ebenfalls der Windows SDK (Software Development Kit) installiert. Dieser ist wichtig, da er Tools, Dokumentation, Headerdateien und Bibliotheken enthält, die benötigt werden, um Anwendungen für Windows XP zu entwickeln. Auf dieser VM werden Tests durchgeführt und diese Maschine wird später mit Agobot infiziert. Die vierte VM (XPSP1_Home01_Agobot) wird am Ende ebenfalls mit Agobot infiziert. Bei der Softwareinstallation war es sehr wichtig auf allen VMs die Firewall, den Sicherheitscenter und die Updatefunktion zu deaktivieren. Folgende Abbildung zeigt die aufgebaute Infrastruktur. Abbildung 4. 1: Aufbau der Infrastruktur 39

47 Fallbeispiel mit Agobot Konfiguration des IRC-Servers und des IRC-Clients IRC-Server Beim Herunterladen des IRC-Servers wurde eine Konfigurationsdatei mitgeliefert, die als Beispiel für eine Konfiguration dienen soll. Wichtig hierbei ist, diese Konfigurationsdatei umzukonfigurieren und dem eigenen IRC-Server anzupassen. Diese Konfigurationsdatei ist eine Art Dokumentation und ähnelt ein bißchen C++. Sie sollte auf jeden Fall gelesen und verstanden werden. Hier ist es möglich persönliche Varianten von IRC zu programmieren. Viele der Angreifer nutzten diese Möglichkeit. In dieser Konfigurationsdatei wurden der Servername und die Serverbeschreibung festgelegt. Als Servername wurde irc.home02.com und als Serverbeschreibung Agobot-Test angegeben. Da dieser Server für Windows und Linux kompatibel ist, mussten in diesem Fall für Windows einige Zeilen auskommentiert werden. Desweiteren kann hier der Name des Channels festgelegt werden, über die include -Anweisung können weitere Konfigurationsdateien eingefügt werden oder es kann der Port festgelegt werden, an dem der IRCd lauscht und den Usern/Server erlaubt, eine Verbindung zum Server aufzunehmen. Es kann ebenfalls eine SSL-Verschlüsselung eingerichtet und es können sämtliche Passwörter festgelegt werden. Nachdem die Datei erfolgreich konfiguriert wurde, muss sie in die unrealircd.conf umbenannt und ins Hauptverzeichnis des UnrealIRCd kopiert werden. Nun kann der IRC-Server gestartet werden. Abbildung 4. 2: IRC-Server Unreal

48 Fallbeispiel mit Agobot Im Status -Button wird der Servername und die maximale Anzahl der Clients angezeigt. Abbildung 4. 3: Statusanzeige des IRC-Servers IRC-Client Nach der erfolgreichen Installation von Nettalk muss zunächst der Name des IRC- Servers bei den Servereinstellungen eingetragen werden, damit eine Verbindung zwischen dem IRC-Client und IRC-Server erfolgen kann. Nachdem Nettalk den IRC-Server irc.home02.com identifiziert hat, findet nach jedem Einschalten des Nettalks sofort eine erfolgreiche Verbindung zum IRC-Server statt. Folgende Abbildungen zeigen diesen Vorgang. Abbildung 4. 4: Serverstatus 41

49 Fallbeispiel mit Agobot Abbildung 4. 5: Verbindung von Nettalk und IRC-Server Von diesem IRC-Client aus kann der Bot-Master, nachdem sich die Bots beim Server angemeldet haben, seine Befehle an die Bots senden. 4.3 Konfiguration von Agobot Bevor ein Angreifer seine Bots verbreiten und ein Botnetz aufbauen kann, muss er als erstes entweder einen eigenen Bot-Code schreiben oder sich einen fertigen Quellcode aus dem Internet herunterladen und diesen dann seinen Anforderungen anpassen. Er kann ihn für seine Zwecke so konfigurieren, dass er nicht unbedingt große Computerkenntnisse haben muss. In diesem Fall wurde der Agobot-Quellcode aus dem Internet heruntergeladen. Bevor der Quellcode kompiliert werden kann, muss zuerst die Konfiguration des Agobots stattfinden. In dieser Phase werden u. a. IRC-Server und Channel-Informationen festgelegt. Hat es der Bot geschafft sich einmal auf dem kompromittierten System zu installieren, wird er sich jedes Mal mit dem ausgewählten IRC-Server verbinden. Die Konfiguration von Agobot erfolgt auf einer graphischen Schnittstelle. Hier werden verschiedene Informationen für den Agobot eingegeben, die er benötigt, um erfolgreich Verbindung zum Bot-Master aufzunehmen. Es werden Name und Port des IRC-Servers, Name des Channels, Username und das Passwort eingegeben. 42

50 Fallbeispiel mit Agobot Desweiteren können ebenfalls verschiedene Plugins aktiviert werden. In der nächsten Abbildung kann man die Konfigurationsoberfläche des Agobots sehen. Abbildung 4. 6: Konfigurationsoberfläche von Agobot In diesem Fall ist der Servername irc.home02.com und die Portnummer ist Auf diesem Port wird später die Netzwerkaktivität protokolliert. Als Username wurde agobot und als Passwort ago angegeben. Mit diesen Daten meldet sich der Botmaster beim Bot an. Es wurde ebenfalls der Name des Channels angegeben. In diesem Fall ist es #phatrab#. Bei der Verbindung mit dem IRC-Server meldet sich der Bot direkt in diesem Channel an. Desweiteren wurden u.a. folgende Plugins aktiviert: inst_plymorph-boolean, sniffer_enabled-boolean, cdkey_windows-boolean. Als Bot-Command-Präfix wurde # angegeben. Diese Bot-Command-Präfix muss später vor jedem Kommando angegeben werden. Als Bot_filename wurde agobot.exe angegeben. Nach individueller Konfiguration entsteht am Ende als Ergebnis eine config.h, die von großer Bedeutung für die Bot-Kompilation ist. Diese Datei kann jeder Zeit verändert, bzw. neu konfiguriert werden. 43

51 Fallbeispiel mit Agobot Infizierung der PCs mit Agobot Nach der Konfiguration wurde der Bot kompiliert. Nach einer erfolgreichen Kompilation wurden beide Testsysteme manuell infiziert. Nach jedem Systemstart versuchen die Bots sich automatisch mit dem IRC-Server zu verbinden. In der folgenden Abbildung kann man die erfolgreiche Verbindung zum IRC-Server irc.home02.com sehen. Von beiden Testsystemen erfolgt dieselbe Verbindung, in der der Bot ebenfalls seinen Nick-Namen und das Passwort mit sendet. Abbildung 4. 7: Verbindung des Bots mit dem IRC-Server In der Abbildung 4.8 kann man deutlich erkennen, dass sich zwei Bots beim IRC- Client (Nettalk) mit den Nicknamen ntpq5x3 und lqumy6m im Channel #phatrab# angemeldet haben. Nach jeder neuen Anmeldung werden die Nicknamen der Bots automatisch bzw. zufällig neu generiert. Abbildung 4. 8: Anmeldung der Bots beim Mater-Computer 44

52 Fallbeispiel mit Agobot Falls einer der Bots eine Zeit lang nicht aktiv ist und nur auf die Befehle des Bot- Masters lauscht, meldet er sich von alleine ab und meldet sich mit einem neuen Nicknamen an. Dadurch bleibt er unauffällig bzw. gut getarnt Kontrolle der Bots Der nächste Schritt besteht darin, die Kontrolle über die Bots zu gewinnen. Dazu ist eine Authentifizierung erforderlich. Dies erfolgt durch das Senden eines Befehls an den Channel bzw. an die Bots. In diesem Fall wurde der Befehl #login agobot ago eingegeben, und wie man in der nächsten Abbildung sehen kann, wird der Username und das Passwort von beiden Bots akzeptiert. Abbildung 4. 9: Username- und Passwort-Authentifizierung Nach der erfolgreichen Authentifizierung hat man die komplette Kontrolle über die Bots übernommen und kann durch verschiedene Kommandos Anfragen an die Bots senden. In den nächsten Abbildungen werden einige Anfragen und Antworten von Bots gezeigt. Mit dem Kommando #bot.about kann man sich Informationen über den Bot anzeigen lassen, wie z. B. Name und Version des Bots. 45

53 Fallbeispiel mit Agobot Abbildung 4. 10: Master-Anfrage und Bot-Antwort-Botinformationen Mit dem Befehl #bot.sysinfo erhält man Informationen über das System, welches mit dem Bot infiziert ist, wie z.b. welches Betriebssystem auf dem Rechner läuft, den Namen des Computers und Informationen über den Speicherplatz. Beide Bots antworten auf den Befehl. Abbildung 4. 11: Master-Anfrage und Bot-Antwort-Systeminformationen 46

54 Fallbeispiel mit Agobot Mit dem Befehl #pctr.list werden alle laufende Prozesse auf den infizierten Rechner angezeigt. Abbildung 4. 12: Master-Anfrage und Bot-Antwort-Laufende Prozesse Mit dem Befehl #irc.gethost werden Netzwerkinformationen, wie z. B. IP-Adresse des infizierten Rechners angezeigt. Abbildung 4. 13: Master-Anfrage und Bot-Antwort-Netzwerkinformationen Es existieren noch weitere Befehle, die im Abschnitt detailliert erläutert werden. 47

55 Fallbeispiel mit Agobot Agobot-Kommandos In diesem Kapitel werden die wichtigsten Agobot-Kommandos aufgelistet. Wenn ein fertiger Quellcode aus dem Internet heruntergeladen wird, existiert meistens in der Dokumentationsdatei ein Dokument, welches alle Befehle des heruntergeladenen Bots beinhaltet. In fast allen Agobot-Versionen sind die Befehle meistens gleich oder sehr ähnlich. In der nächsten Tabelle sind die beliebtesten Befehle aufgelistet. Befehl commands.list bot.execute bot.open bot.about bot.die bot.dns bot.nick bot.remove bot.status bot.sysinfo irc.server irc.join irc.privmsg http.execute ftp.execute ddos.httpflood ddos.udpflood ddos.synflood ddos.stop redirect.http redirect.socks scan.startall rsl.reboot rsl.shutdown Beschreibung Listet alle verfügbaren Befehle des Bots auf Führt eine exe.datei auf einem entfernten Rechner aus Öffnet eine Datei auf einem entfernten Rechner Zeigt Informationen über den Bot-Code an Beendet einen Bot Zieht eine IP/Hostname über DNS Ändert den Nicknamen von einem Bot Verschiebt den Bot von einem entfernten Rechner Zeigt die Statusinformationen des Bots an Zeigt Informationen eines infizierten Rechners an Verbindet sich mit einem Server Eingabe eines bestimmten Kanals Sendet eine private Nachricht an einen Benutzer Download und führt eine Datei über http aus Download und führt eine Datei über ftp aus Startet einen http-flood Startet einen UDP-Flood Startet einen SYN-Flood Stoppt alle Floods Startet einen http-proxy Startet einen Proxy SOCKS4 Startet eine Scan auf dem entfernten Rechner Startet den entfernten Computer neu Schaltet den Computer aus Tabelle 4. 1: Bot-Kommandos 48

56 Fallbeispiel mit Agobot In der nächsten Tabelle sind die Host-Kommandos aufgelistet. Mit diesen Befehlen werden Informationen über den kompromittierten Rechner angezeigt. Es ist ebenfalls möglich Prozesse oder Dienste auf dem Rechner zu stoppen oder zu löschen. Befehl harvest. s harvest. shttp harvest.registry harvest.windowskeys pctrl.list pctrl.listsvc pctrl.killsvc pctrl.killpid inst.asadd inst.asdel inst.svcadd inst.svcdel Beschreibung Zeigt die Liste der s an Zeigt die Liste der s per HTTP an Zeigt Registryinformationen für speziellen Registry-Pfad Zeigt Windows-Registry-Informationen Zeigt die Liste aller laufenden Prozesse an Zeigt alle Dienste an, die aktiv sind Löscht/Stoppt alle Dienste, die am Laufen sind Beendet einen speziellen Prozess Fügt einen Systemautostart-Eintrag hinzu Löscht einen Systemautostart-Eintrag Fügt einen Dienst auf einem entfernten Rechner ein Löscht einen Dienst auf einem entfernten Rechner Tabelle 4. 2: Host-Kommandos Verbreitung von Agobot Fast alle Bots verfügen über Scanroutinen, über die sie ihre Malware verbreiten. Agobot nutzt u.a. folgende Verbreitungswege [7]: Programme/Schwachstellen TCP-Ports Plug n Play 445,139 RPC-DCOM 135,445,1025 MySQL 3306 Veritas 6101 NetBackup Workstation Service 135,445 MyDoom Backdoor 2745 IIS 5.x SSL PCT 443 Accounts mit Trivialpasswörtern 139,445 MSSQL-Server mit Trivialpasswort 1433 Tabelle 4. 3: Verbreitung von Agobot über Schwachstellen und TCP-Ports 49

57 Fallbeispiel mit Agobot 4.4 Netzwerkaktivität Das größte Zeichen eines infizierten Rechners ist die Verlangsamung des Systems. Ein einfacher Nutzer hat die Möglichkeit über ein Netzwerk-Tool die Netzwerkaktivität seines Systems zu überprüfen. Dabei können verdächtige Verbindungen aufgespürt werden. Ein typisches Netzwerk-Tool ist Netstat oder Wireshark. In unserem Fall wird Wireshark benutzt. Die Aufgabe eines solches Tools ist jegliche Netzwerkaktivität zu überwachen. Sie kontrollieren aktive Ports und untersuchen vor allem TCP und UDP-Ports. Sie zeigen außerdem alle geöffnete Streams bzw. Verbindungen zu entfernten Hosts. Wichtig hierbei sind die Verbindungen zu den TCP-Ports im Bereich , vor allem der Port In der Regel sollte die Internetverbindung getrennt werden und der Computer neugestartet und dann neu überprüft werden. Ist ein unbekannter Port geöffnet oder wird eine Verbindung zu einer unbekannten IP-Adresse angezeigt, ist die Möglichkeit einer Infektion hoch. Vorher sollten aber andere Programme, wie z. B. Webbrowser geschlossen werden, da auch diese oft Verbindungen zu unbekannten IP-Adressen aufbauen können. Im Folgenden wird anhand von Wireshark die Kommunikation zwischen dem IRC- Server, IRC-Client und einem Bot analysiert. Zur besseren Übersicht der Analyse wurde beim Wireshark eine Filter-Regel eingeführt, nämlich port Da die ganze Kommunikation über den Port 6667 abläuft, werden im Wireshark nur diese Pakete, die über diesen Port ein- und ausgehen, angezeigt. In der Tabelle 4.4 sind noch mal die wichtigsten IP-Adressen der Rechner angegeben. Rechner IP IRC-Server IRC-Client Bot Tabelle 4. 4: Rechner und IP-Adressen 50

58 Fallbeispiel mit Agobot In der Abbildung 4.14 ist zu erkennen, dass die logische Kommunikation zwischen dem IRC-Client (Bot-Master) und dem Bot über den IRC-Server läuft. Sendet der Bot-Master ein Kommando an den Bot, wird dieses Kommando zuerst an den IRC- Server gesendet und an den Bot weitergeleitet. Wenn der Bot dem Bot-Master antwortet, findet die Kommunikation ebenfalls über den IRC-Server statt. Bei einem IRC-basierten Botnetz findet die Kommunikation zwischen Bot-Master und dem Bot also nie direkt, sondern immer über den IRC-Server. Abbildung 4. 14: Kommunikation zwischen IRC-Client, IRC-Server und Bot Die Vernetzung zwischen den drei Stationen ist in Abbildung 4.15 dargestellt. Sendet der Bot-Master den Bots ein Kommando, läuft dieses zuerst über den IRC-Server. Die Bots führen anschließend die Kommandos aus, wie z. B. DDoS-Angriff oder Spam versenden. Abbildung 4. 15: Weg von einem Kommando bis zum Angriff 51