Botnetze: Aufbau, Funktion & Anwendung

Transkript

1 Botnetze: Aufbau, Funktion & Anwendung Matthis C. Laass Fachhochschule Aachen, Fachbereich Elektrotechnik und Informationstechnik, Eupener Str. 70, Aachen, Germany Zusammenfassung Die vorliegende Arbeit beschäftigt sich mit dem Aufbau, der Funktion und der Anwendung von Botnetzen. Botnetze sind verteilte Computernetze, die vornehmlich zu kriminellen Zwecken genutzt werden. Es werden die im Rahmen der Arbeit betrachteten Netzwerkarchitekturen vorgestellt, dabei wird zwischen zentralisierten und dezentralisierten Botnetzen unterschieden. Ferner befasst sich die Ausarbeitung mit den Anwendungsfeldern von Botnetzen und betrachtet mögliche Geschäftsfelder, die sich für Botnetzbetreiber ergeben. Auch Möglichkeiten der Abwehr und der Prävention werden behandelt. Keywords: Betrug, Botnetze, Cyberkriminalität, DDoS, Spam, Verteilte Computernetze 1 Einleitung Im Rahmen dieser Seminararbeit soll der Aufbau und die Funktion von Botnetzen und deren Steuerung werden betrachtet. Auch die hierfür notwendige Kommunikation des Botnetzbetreibers mit den Bots, sowie die Kommunikation der Rechner untereinander werden untersucht. Die Arbeit entstand im Rahmen des Seminars Information System Engineering an der Fachhochschule Aachen und wurde von Herrn Prof. Dr. Marko Schuba betreut, dem ich an dieser Stelle für seine Unterstützung danken möchte. Unter Botnetzen wird der Zusammenschluss von verteilten Rechnern verstanden, die mit dem Ziel der Erfüllung der ihnen übertragenen Aufgaben agieren. Die einzelnen - ferngesteuerten - Rechner eines Botnetzes werden Bot oder Zombie genannt. [1] Die Botnetzbetreiber werden als bot herder oder Botmaster bezeichnet. [2] Der Begriff Botnetz ist negativ geprägt, auch wenn die einem Botnetz anvertrauten Aufgaben nicht zwangsweise bösartig sein müssen. So betreibt beispielsweise der Suchmaschinenbetreiber Google ein ausgedehntes Botnetz zur Internetindizierung - die sog. Googlebots. Auch andere Internetdienstleister lassen regelrechte Rechnerarmeen für sich arbeiten. Die gutartigen Bots zeigen sich jedoch ausgesprochen kooperativ und befolgen den Robote Exclusion Standard [3]. Aufgrund deren zunehmender Bedeutung liegt der Schwerpunkt der vorliegenden Ausarbeitung auf den bösartigen Netzen. Bei den im Folgenden erwähnten Botnetzen, kann der Leser davon ausgehen, dass von solchen mit kriminellem oder

2 2 Botnetze: Aufbau, Funktion & Anwendung zumindest fragwürdigem Zweck die Rede ist. Der Informationsdienst Shadowserver [4] zählte am 11. September aktive Botnetze, was die Relevanz des Themas verdeutlicht. Kriminelle Botnetze werden zum Spamversand, für sog. DDoS-Attacken und Betrug verwendet. Eine genaue Betrachtung dieser Anwendungsfelder für Botnetze erfolgt im Abschnitt Anschließend werden im Abschnitt 3.4 mögliche Abwehrstrategien erörtert. Im folgenden Abschnitt werden zunächst die verschiedenen Architekturen von Botnetzen erklärt. 2 Aufbau von Botnetzen Um ein generelles Verständnis für das Thema zu erlangen wird im folgenden Abschnitt der Aufbau und die Architektur von Botnetzen erörtert. Botnetze sind verteilte Softwaresysteme, die auf verschiedenen, physikalisch unabhängigen Rechnern ausgeführt werden. Die Rechner kommunizieren über Netzwerke miteinander. [5] Ein Bot verfügt über eine Steuerschnittstelle und wird in der Regel von einem sogenannten Mothership gesteuert, welches in der Literatur auch als command and control-center (C&C bzw. CnC) bezeichnet wird. [6] Die Software für den Betrieb als Zombie wird in der Regel ohne die Genehmigung des Rechnerbetreibers installiert. Botnetze kommen in verschiedenen Größen und Ausprägungen vor. Die ersten Netze wurden bereits 1993 entwickelt und waren zentralisiert aufgebaut. [7] Ihre Architektur soll im folgenden erläutert werden. 2.1 Architektur von zentralisierten Botnetzen Stern-Netze Die Stern-Topologie eines Botnetzes sieht die direkte Kommunikation eines zentralisierten C&C-Rechners mit allen Bot-Rechnern vor und ist in Abbildung 1 dargestellt. Jeder Bot bekommt seine Arbeitsanweisungen direkt vom C&C-Center zugewiesen. Die direkte Kommunikation bedeutet die Umsetzung von Arbeitsaufträgen ohne Latenz. Durch diesen Aufbau wird vermieden sensible (gestohlene) Daten unnötig über dritte Rechner zu leiten. Nachdem ein Rechner mit einer Botsoftware infiziert wurde, registriert er sich bei einem vorkonfigurierten C&C-Rechner als Bot und wartet auf neue Anweisungen. [8] Was einen Geschwindigkeitsvorteil auf der einen Seite bedeutet, birgt auf der anderen Seite große Gefahren für die Verwundbarkeit des Netzes. Da in jedem Bot der C&C-Host hinterlegt ist, ist der C&C-Rechner leicht zu entdecken und eine Übernahme dieses C&C-Hosts - z.b. durch den Angegriffenen - bedeutet einen Kontrollverlust über das gesamte Netz. Dabei ist es unerheblich, welche direkten Kommunikationswege für ein Netz verwendet werden, es handelt sich in jedem Fall um einen Single point of failure. Die einzelnen Kommunikationswege werden im Abschnitt Kommunikation in zentralisierten Botnetzen detailliert beschrieben.

3 Botnetze: Aufbau, Funktion & Anwendung 3 Abbildung 1. Zentralisiertes Botnetz mit Stern-Architektur [9] Multi-Server-Netze Multi-Server-Netze sind die logische Erweiterung der Stern-Topologie von Botnetzen und in Abbildung 2 dargestellt. Hierbei übernehmen mehrere C&C-Server die Verteilung der Anweisungen an die einzelnen Bots. Die einzelnen Bots verfügen über eine Liste mit verschiedenen C&C- Servern und können somit auch bei Unerreichbarkeit einzelner C&C-Server noch Arbeitsaufträge des Botmasters bekommen. Dieser Netzaufbau bringt folglich mehr Planungsaufwand mit sich, ist aber durch die Vermeidung eines Single point of failure sicherer gegen Übernahme- und Abwehrbestrebungen und zeigt sich auch nach der Abschaltung einzelner C&C-Server handlungsfähig. [10] Eine intelligente geographische Verteilung der C&C-Infrastruktur erweist sich gegenüber rechtlichen Schritten besser geschützt, da zu einer Vollabschaltung eines Botnetzes Behörden verschiedener Länder kooperieren müssten. Abbildung 2. Zentralisiertes Botnetz mit Multi-Server-Architektur [9] Hierarchische Netze Ein weiterer Typ der zentralisierten Topologie nutzt eine hierarchische Infrastruktur. Für eine Realisierung von hierarchischen Netzen werden Multi-Server-Netze um eine Ebene mit Proxy-Servern erweitert. Diese Netzkonfiguration bedeutet Stabilität und Langlebigkeit des Netzes da die Proxyserver die wahre Herkunft der C&C-Server verschleiern und eine

4 4 Botnetze: Aufbau, Funktion & Anwendung Übernahme der C&C-Server erschweren. Nachteile dieser Konfiguration sind die erhöhte Komplexität der Netzwerkstruktur sowie eine ungünstigere Latenz aufgrund der zusätzlichen Proxy-Server. [9] Der hierarchische Netzaufbau ist in Abbildung 3 zu sehen. Abbildung 3. Zentralisiertes Botnetz mit hierarchischer Architektur [9]. Um den Bots den Kontakt zum C&C-Server - auch phone home genannt - zu ermöglichen, werden häufig hart-codierte IP-Adressen für die C&C-Hosts bzw. für die Proxy-Hosts verwendet. Nach einer Abschaltung dieser Hosts können diese von den Bots nicht mehr via IP-Adresse erreicht werden. Die Bots können somit nicht mehr kontrolliert werden. Die Übermittlung einer IP-Adresse von alternativen C&C-Servern ist nicht möglich. Um diese Schwachstelle zu umgehen werden mittlerweile primär Kontroll-Domains und Domain Name Systems (DNS) verwendet. Die einzelnen Bots sind durch Nameserverabfragen in der Lage die IP-Adresse der C&C-Infrastruktur ausfindig zu machen. Der Ausfall einzelner C&C-Server kann durch Alternativrechner abgefangen und die neue Adresse im DNS-Record eingetragen werden. [10] Die Achillesferse wird dadurch von den C&C-Servern auf die Domainverwaltung verlagert. Aus diesem Grund werden für den Botnetzbetrieb vermehrt Domains von Staaten mit rechtlich nachlässigen Organisationen registriert und somit die Betriebsstörung erschwert. [11] 2.2 Kommunikation in zentralisierten Botnetzen Der zentrale Punkt für den Betrieb von Botnetzen ist die Verteilung der Arbeitsanweisungen an alle Bots eines Netzwerks. Im Folgenden werden mögliche Kommunikationswege von zentralisierten Botnetzen mit ihren Vor- und Nachteilen beschrieben. In der Regel baut der Bot die Verbindung zum Kontrollcenter auf. Die Bots haben häufig wechselnde IP-Adressen, die dem C&C-Center nicht bekannt sind. Außerdem können die für den Kommunikationsaufbau notwendigen offene Ports von den Administratoren der Bot-Rechner leicht entdeckt werden. Auch kann ein Verbindungsaufbau zu einzelnen Ports durch Firewalls verhindert werden. [10]

5 Botnetze: Aufbau, Funktion & Anwendung Kommunikation über IRC-Channel Bereits 1993 wurden die ersten Botnetze entwickelt, die zur Kommunikation Internet Relay Channal (IRC) verwendeten.[7] In IRC-basierten Botnetzen verbinden sich die Bots mit einem öffentlichen oder mit einem vom Betreiber für diesen Zweck aufgesetzten IRC- Server bzw. mit einem zuvor festgelegten Channel und warten auf Anweisungen. Der Botnetzbetreiber verbindet sich ebenfalls mit diesem Channel und sendet Kommandos an die einzelnen Bots. Diese werden von den Bots empfangen und ausgeführt. Der Vorteil liegt in der einfachen Realisation und den häufig fertig vorliegenden Bibliotheken. Nachteile dieser IRC-basierten Netze sind der Single point of failure und die Verletzbarkeit durch Abschaltung eben dieses einen IRC-Servers. [12] Kommunikation über Instant Messaging Dienste Botnetzdesignern bietet sich die Möglichkeit für die Kommunikation zwischen Botmaster und Bots Instant Messaging Dienste wie ICQ, MSN oder Skype zu verwenden. Dieser Aufbau unterscheidet sich in der Grundstruktur kaum von IRC-basierten Netzen. Jeder Bot meldet sich mit einem eigenen Account bei dem jeweiligen Dienstleister an und gibt an den Account des Botmasters seine Dienstbereitschaft bekannt. Diese Möglichkeit erweist sich in der Praxis jedoch als wenig populär, weil für jeden Bot ein eigener Account erstellt werden muss, da die Messaging-Dienstleister ein Mehrfach-Login mit einem Account meist unterbieten. Auch die automatische Accounterstellung wird von den Anbietern zu unterbinden versucht. Der Mehraufwand den diese Struktur mit sich bringt überwiegt die Flexibilitätsvorteile und macht diesen Kommunikationsweg für Botnetzbetreiber unattraktiv. [12] Kommunikation über HTTP und FTP Eine relativ neue und sich schnell verbreitende Form des Botnetz-Designs ist die Kontrolle von Zombie- Netzwerken über das World Wide Web. Die Bots verbinden sich mit einem vorher definierten Webserver von dem sie Arbeitsanweisungen erhalten. Dieses Design der Botnetze erfreut sich zunehmender Beliebtheit, da die Inbetriebnahme relativ einfach zu bewerkstelligen ist. Webserver sind leicht zugänglich und das passende Webinterface für das Botnetz-Management kann vom Webserver gleich mitgehostet werden. Auch hier liegt eine hohe Verletzbarkeit des Netzes vor, da durch Abschalten des Webservers das ganze Botnetz zum Erliegen kommt Kommunikation über soziale Netze Die Branchendienste Arbor Networks und CyberInsecure.com berichten, dass auch soziale Netzwerke wie Facebook [13] oder Twitter [14] als Kommandozentrale für Botnetze verwendet werden. Auch hier ist der Aufbau ähnlich den bisher beschriebenen Verfahren. Der Bot folgt dem Gezwitscher des Accounts seines Botmasters und erfährt von diesem Links zu Webservern auf denen der Botmaster Arbeitsanweisungen hinterlegt hat. Da Twitter über eine Webschnittstelle verfügt kann jeder Bot ohne eigenen Account die Nachrichten des Botmasters verfolgen. Der Vorteil gegenüber der Kommunikation via Instant Messaging Diensten liegt darin, dass

6 6 Botnetze: Aufbau, Funktion & Anwendung die einzelnen Bots ohne eigene Twitter-Accounts auskommen. Aber auch hier kann durch Eingreifen des Betreibers das Netz bzw. der Teil des Netzes, der über einen Account agiert, stillgelegt werden Kommunikation über cloudbasierte Dienste Ein zunehmender Trend in der Informationstechnologie ist das sog. Cloud-Computing. Dienstleister wie Google und Amazon bieten den Kunden mit Produkten wie Amazon Elastic Compute Cloud (Amazon EC2) oder Google App Engine ihre Infrastruktur als Platform-as-a-Service (PaaS) an. [15] Der Internetdienst Arbor Network berichtet, dass Botnetbetreiber die Google App Engine als C&C-Server verwenden. Die einzelnen Bots fragen die von Google gehostete Applikation ab um Arbeitsaufräge zu erhalten. Nach Bekanntwerden reagiert Google und schaltet den Account ab. [14] 2.3 Architektur von dezentralisierten Botnetzen Der vorangehende Text beschreibt den Aufbau von zentralisierten Botnetzen. Neben den Vorteilen der einfachen Realisierung und der geringen Latenz hat der zentralisierte Aufbau einen großen Nachteil. Durch einen Single point of failure ist ein solches Botnetz sehr leicht verwundbar. Als konsequenter Schritt folgt also die Weiterentwicklung zu dezentralisierten Botnetzen. Diese zweite Kategorie von Botnetzen unterscheidet sich maßgeblich von den bereits vorgestellten Netzen und soll im Folgenden beschrieben werden. Das Design ist wesentlich komplexer als das Design der zentralisierten Botnetze. [10] Das Augenmerk richtet sich dabei auf die sog. Fast-Flux-Netzwerke und Peer-to-Peer-Botnetze Fast-Flux Botnetze Das Fast-Flux-Botnetz-Design basiert auf der Round Robin Lastverteilung per DNS, das ursprünglich zur Lastenverteilung von stark frequentierten Websites wie oder auf verschiedene Server entwickelt wurde. [16] Der Aufbau als Single-Flux-Botnetz sieht vor, dass im Nameserver für eine Kontroll-Domain die IP-Adressen verschiedener Bots eingetragen sind, die lediglich als Proxy arbeiten. Genau wie bei zentralisierten Botnetzen benötigen die Zombies einen Host, bei dem sie ihre Arbeitsaufträge erfragen. Im Gegensatz zu den bereits beschriebenen Ansätzen handelt es sich beim Fast-Flux-Aufbau nicht um eine statische IP-Adress oder Domain, sondern um einen flexiblen Kontroll- Domainnamen. Um sich mit Arbeitsaufträgen zu versorgen, stellt ein Zombie zunächst eine DNS-Anfrage für eine hinterlegte Kontroll-Domain und bekommt als Resultat eine der konstant rotierenden IP-Adressen eines Proxy-Bots zurück. An diesen Host stellt er seine Arbeitsanfrage. Der Proxy-Rechner leitet die Anfrage an den Mothership-Rechner weiter und erhält eine Arbeitsanweisung für den Zombie als Resultat. Der Mothership-Rechner entspricht dem C&C-Rechner der bereits vorgestellten Strukturen und wird häufig durch mehrere Server mit statischen IP-Adressen realisiert. Die angefragte Arbeitsanweisung wird vom Proxy- Rechner an den Zombie weitergeben und von diesem ausgeführt. Eine erneute

7 Botnetze: Aufbau, Funktion & Anwendung 7 DNS-Anfrage liefert eine andere IP-Adresse als Ergebnis, da verschiedene Proxy hinterlegt sind, auf die die Anfragen aufgeteilt werden. Der Datenaustausch basiert üblicherweise auf dem HTTP-Protokoll. [17] Um die wahre Identität des Mothership-Rechners weiter zu verschleiern ändert der Mothership-Rechner in kurzen Abständen die Liste der Proxy-Bots durch Update der A-Records des Domain Name Server. Ist ein Proxy-Bot längere Zeit nicht mehr zu erreichen, muss dessen IP-Adresse vom Mothership-Rechner beim nächsten Update aus dem DNS entfernt werden. [10] Um noch mehr Sicherheit zu erreichen, beziehen Botnetz-Architekten auch die Top-Level-DNS-Server mit ein. Die Architektur als Double-Flux-Botnetz sieht neben den Updates den A-Records auch die Änderung der zuständigen Domain Name Server für eine Kontroll-Domain vor. Mithilfe eines überdurchschnittlich kooperativen Domain-Registrars ändern die Botnetzbetreiber die DNS-Einträge der Domain in Zyklen von wenigen Stunden. Die Änderungen werden an die Root-DNS-Server weitergeben und von dort an sämtliche Domain Name Server weltweit verteilt. Um die häufigen Nameserver-Aktualisierungen durchzuführen, ist ein DNS-Provider notwendig, der eine kurze Time to live (TTL) im Minutenbereich zulässt. Das ist bei vielen DNS-Providern nicht selbstverständlich, aber möglich. Für den Botnetz-Aufbau bieten sich sog. Bullet-Proof -Domainnamen an. Diese kugelsicheren Domains lassen sich in Ländern wie China, Südkorea und Brasilien für gerade einmal 100 US$ registrieren und bieten die Gewissheit, dass Beschwerden sofort im Mülleimer landen. [18] Abbildung 4. Ablauf einer Bitflux-Anfrage Peer-to-Peer Botnetze Eine weitere dezentrale Botnetz-Architektur stellen Peer-to-Peer-Botnetze dar. Im Gegensatz zu einer klassischen Server- Client-Architektur, bei der ein privilegierter Knoten - ein Server - die übrigen Teilnehmer - die Clients - kontrolliert, sind beim P2P-Aufbau die einzelnen Netzwerkrechner (Knoten) gleichberechtigt. Der Aufbau ist in Abbildung 5 skizziert. Verweigert ein Server einem Client den Dienst oder fällt aus, ist der Client in den herkömmlichen Client-Server-Strukturen machtlos. Diese Tatsache fällt besonders bei der Verteidigung von zentralisierten Botnetzen ins Gewicht und

8 8 Botnetze: Aufbau, Funktion & Anwendung macht sie angreifbar, in dem die C&C-Server übernommen oder abgeschaltet werden. Die klare Aufteilung von Server und Client ist bei der P2P-Architektur nicht vorgesehen. Alle Knoten übernehmen sowohl Server- als auch Clientaufgaben. [19] Auch die Betrachtung der Wort-Herkunft ist interessant: Das englische Wort peer kann mit Ebenbürtiger oder Gleichgestellter übersetzt werden. [20] Das Fehlen einer zentralen Kontrollstruktur erschwert die Überwachung eines P2P-Netzwerkes erheblich. Die Deaktivierung ist gar unmöglich. Fallen einzelne Knoten aus, werden sie problemlos durch andere Knoten ersetzt. Der Botnetzbetreiber klinkt sich als gleichberechtigter Knoten in das P2P-Netz ein und verteilt seine Kommandos über das Netz. Da diese Struktur jedem Peer die gleichen Rechte einräumt, ist die Verschlüsselung der Arbeitsanweisungen unerlässlich. Wie das Internetmagazin Golem berichtet, ist es Hackern gelungen, ausführbare Dateien in das Bots umfassende Storm-Netz einzuschleusen. Es böte sich die Möglichkeit, Bots unter die eigene Kontrolle zu bringen, da auch der Ursprung der Befehle nicht überprüft wird. [21] Abbildung 5. Architektur eines dezentralisierten Peer-to-Peer-Netzwerks [11]. Das Storm-Botnetz ist eines der verbreitetsten P2P-Botnetze. Es existiert seit ca. 2006, und seitdem sind viele Varianten der Botsoftware erschienen. Im Folgenden soll die mehrstufige, hybride Architektur des Storm-Botnetzes dargestellt werden. Es basiert auf dem von Jed McCaleb entwickelten Overnet-Netzwerk. Das Overnet-Netzwerk ist ein echtes Peer-to-Peer-Netzwerk und erhielt durch seine Integration in die beliebte edonkey-client-software im Jahre 2003 einen Verbreitungsschub. Als Routing-Algorithmus setzt Overnet das von Pater Maymounkov und David Mazires als P2P entwickelte Kademlia-Netzwerk ein. Peers erhalten durch Anwendung einer Hash-Funktion auf die eigene IP-Adresse eine unikale Peer-ID sowie einen 24 Stunden gültigen Zeitstempel. Jeder Peer unterhält Verbindungen zu den 160 nächsten Peers bezüglich einer XOR-Metrik auf eben diese Peer-ID. Die XOR-Metrik definiert sich wie folgt: XOR Distanz(X, Y ) = X Y In einer Routing-Tabelle werden die 160-Bit-Peer-Bezeichner und die IP der Nachbarn gespeichert. Die grundlegende Idee von Peer-to-Peer-Netzwerken ist

9 Botnetze: Aufbau, Funktion & Anwendung 9 die dezentrale Verteilung von Daten. Im Fall von Botnetzen liegt das Interesse der Betreiber darin, Datensätze mit Steuerbefehlen oder IP-Adressen (bzw. Kontroll-Domainnamen) von aktuellen C&C-Hosts bzw. aktiven Proxy-Rechner an die einzelnen Bots zu verteilen. Der Bot-Herder eines Storm-Netzwerkes erstellt täglich eine Liste von Gateways, die von den Bots uneingeschränkt erreicht werden können. Für den Datensatz dieser Liste wird mithilfe einer weiteren Hash-Funktion ein ebenfalls 160 Bit umfassender Bezeichner (Datensatz-ID) erstellt. Die Datei wird durch einen Bot des Betreibers zum Download angeboten und der Speicherort an die Knoten in der Routine-Tabelle mit den geringsten Distanzen zwischen dem Datensatz-Bezeichner und den Peer-Bezeichnern der Bots übermittelt. Die Distanz wird mit der o.g. XOR-Funktion ermittelt. Diese Bots versuchen die Information an eine Menge von Bots in ihrer Routing-Tabelle weiterzugeben, deren Distanz zwischen ihrer Peer-ID und der Datensatz-ID geringer ist als die Distanz zwischen den eigenen Peer-IDs und der Datensatz-ID. Diese Prozedur wird solange wiederholt bis die Information in dem Knoten gespeichert wird, der dem Bezeichner des Datensatzes am nächsten ist. Der den Datensatz speichernde Peer stellt die Information zyklisch zur Verfügung. Für den Fall, dass der Peer ausfällt, dessen Peer-ID die geringste Distanz zur Datensatz-ID hat und somit den Speicherort des Datensatzes publiziert, wird der Speicherort im nächsten Zyklus an den Peer übermittelt, dessen Peer-ID nun die geringste Distanz zur ID des Datensatzes hat. Ein Datensatz kann auch von mehreren Peers gespeichert werden. Sie informieren eigenständig den entsprechenden Peer über ihr Downloadangebot des entsprechenden Datensatzes. Das Suchverfahren nach einem Datensatz ist äquivalent aufgebaut. Auf der Suche nach einem Datensatz, dessen Datensatz-ID dem suchenden Peer bekannt sein muss, fragt er sich solange zu einem Peer durch, dessen Peer-ID der Datensatz-ID am nächsten ist. Dieser teilt dem Suchenden einen oder mehrere Peers mit, die den Datensatz gespeichert haben. Da die einzelnen Peers spätestens bei Unerreichbarkeit durch neue Nachbarschaftsknoten in den Routingtabellen der Peers ersetzt werden, ist sichergestellt, dass sich das Netz eigenständig aktualisiert. Das beschriebene Vorgehen sichert auch dann den reibungslosen Betrieb des Netzes, wenn einzelne Peers abgeschaltet werden oder nicht erreichbar sind. Die zweite Ebene des Botnetzes bilden die o.g. Gateways. Sie werden als Proxy- Rechner eines Fast-Flux-Botnetzes verwendet, das dem Leser aus dem vorigen Abschnitt bekannt ist. Die dritte Ebene stellen die Kontrollknoten dar. Sie sind durch den Bot-Herder betriebene Peers über die eben genannte Liste der Gateways in das Netz eingespielt werden. Auch eine Verbreitung der Arbeitsanweisung direkt über das P2P-Netzwerk ist möglich, bringt aber eine höhere Latenzzeit mit sich. [19], [22] Eine Schwachstelle stellt das sog. Bootstrapping dar. Um dem Botnetz initial beizutreten wird die Botsoftware mit einer Liste von Peers ausgeliefert, die beim ersten Verbindungsaufbau kontaktiert werden. Gelingt es diese Hosts zu übernehmen oder abzuschalten, ist es neuen Bots nicht mehr möglich dem Netz

10 10 Botnetze: Aufbau, Funktion & Anwendung beizutreten. [23] Von den vorgestellten Botnetz-Architekturen stellt die zuletzt Beschriebene den robustesten Lösungsansatz dar. 3 Anwendungsmöglichkeiten von Botnetze und Geschäftsfelder für deren Betreiber Das vorige Kapitel beschreibt den Aufbau und die Funktionsweise von Botnetzen. Der nun folgenden Abschnitt betrachtet mögliche Einsatzgebiete für diese Netze. Es wird die Motivation des Botnetzbetriebes und die Monetarisierung dieses erörtert. Nach Kamluk sind die wichtigsten an Botnetzen interessierte Kunden Kreditkartenbetrüger, Erpresser sowie Spammer. [24] Jakobsson und Kollegen sprechen über Botnetze gar von einem Swiss Army Knife der Internetkriminalität und ergänzen die möglichen Anwendungsfelder durch Identitätsklau, Warezhosting (Piratensoftware), Phishing und Klickbetrug. [9] Die Gruppe der Kreditkartenbetrüger soll an dieser Stelle nicht näher betrachtet werden, da der Kreditkartenbetrug aus heutiger Sicht eher in den Bereich Malware einzuordnen ist. Auch wird an dieser Stelle nicht näher auf Identitätsklau, Warezhosting und Phishing eingegangen. 3.1 Spam Nach Einschätzungen von Experten werden 80% des Spamaufkommens weltweit von gekaperten Zombie-Rechnern versandt. [12] Diese Zahl macht deutlich, dass hierin ein wesentliches Aufgabenfeld für Botnetze zu finden ist. Nach der Abschaltung des fragwürdigen US-amerikanischen Webhosters McColo im Jahre 2008, der Botnetzbetreibern bis dahin als sicherer Hafen für die C&C- Architektur ihrer virtuellen Armeen diente, brach das Spamaufkommen auf 20% seines ursprünglichen Wertes ein. [25] Die Zombies erhalten von ihren C&C- Servern eine Liste von adressen und ein dazugehöriges Spamtemplate, das den Mailinhalt enthält. Damit ausgestattet versenden sie eigenständig s in der Regel über das SMTP-Protokoll. [9] Ein nicht zu unterschätzender Vorteil des Spamversandes über gekaperte Rechner ist die Erweiterung der Empfängerliste durch das Adressbuch des infizierten Rechners. Bei entsprechendem Design erweitert ein Botnetz mit der Zeit den Adressdatenbestand selbstständig. [12] Um die Ware Botnetz ist ein regelrechter Handel entstanden. Mathew Schwarz berichtet im Fachmagazin Dark Reading wie Hacker ihre Botnetze in Foren und über Bannerwerbung anbieten. Dabei bestimmen - wie so oft - Angebot und Nachfrage den Preis. Im Jahre 2010 kostete ein mittleres Botnetz für eine Stunde 9 US$, für einen ganzen Tag 30 US$. [26] Der Preis variiert nach Nutzungsdauer und Zombieanzahl. Auch das Geschäft mit dem Versand von Spammails floriert. Die Botnetzbetreiber bieten zum einen die von ihnen kontrollierten Rechner zum Spamversand an und berechnen für 1 Millionen versandte Mails 150 bis 200 US$ [27], zu anderen versenden sie Spammails in Eigenregie und werden am Gewinn der beworbenen Produkte beteiligt. Untersuchungen des Sicherheitsanbieters Symantec haben ergeben, dass unter den Top 10 der Spam-Themen regelmäßig

11 Botnetze: Aufbau, Funktion & Anwendung 11 Angebote zu Viagra und gefälschten Uhren zu finden sind. [28] Bei Gewinnspannen von beinah 1000% für gefälschte Viagra-Pillen, fallen die Kosten und die Streuverluste beim Spamversand nicht ins Gewicht und so bedeutet dieser ein lukratives Geschäft. [29] 3.2 Distributed Denial of Service Einige Unternehmen wickeln Ihre Aktivitäten mittlerweile fast ausschließlich über das Internet ab. Für Handelsunternehmen kann die Nichterreichbarkeit ihrer Onlineshops sehr teuer sein. Aber auch Unternehmen die keine direkten Umsatzeinbuße durch einen Ausfall ihrer Onlinepräsenz erleiden, können mindestens durch einen möglichen Imageschaden empfindlich getroffen werden. Diese Verletzbarkeit eröffnet Botnetzbetreibern die Möglichkeit für Racheakte und Erpressung. Sie machen von einer Waffe Gebrauch, die sich ihnen durch eine große Anzahl von Bots erschließt: Der sog. Dedicated Dential of Service (DDoS). [24] Die Idee des DDoS ist ebenso einfach wie wirkungsvoll. Seine einzige Aufgabe besteht darin, Webressourcen außer Gefecht zu setzen. Der Botnetzbetreiber gibt an seine Zombiearmee den Befehl eine DDoS-Attacke auf die Website eines Unternehmens zu starten, worauf die einzelnen Rechner zyklisch mit HTTP- Anfragen auf die gewünschte URL beginnen. Die Bots benötigen keine große Bandbreite, ihre Anfragen sind im einzelnen so gering, dass die Benutzer der gekaperten Rechner die Angriffe in der Regel gar nicht mitbekommt. Die schiere Masse an sinnlosen Anfragen kann auch ressourcenstarke Server in die Knie zwingen. Das Vorgehen ist in Abbildung 6 skizziert. [1] Da sich die Finanzun- Abbildung 6. Distributed Denial of Service Angriff [30]. ternehmen Mastercard und Visa dazu entschieden hatten keine Zahlungen mehr an Wikileaks zu leisten, wurden sie Ziel mehrerer DDoS-Attacken und bekamen die Stärke ihrer Widersacher zu spüren, die sich für diese Firmenpolitik rächen wollten. Ihre Firmenwebsites waren tagelang nur eingeschränkt, zwischenzeitlich überhaupt nicht erreichbar. [31] Auch Erpresser nutzen DDoS-Attacken um erst Unternehmensressourcen lahmzulegen oder die Lahmlegung anzudrohen, um dann von den Betroffenen für ihren Rückzug Geld zu fordern. [24]

12 12 Botnetze: Aufbau, Funktion & Anwendung 3.3 Klickbetrug & Softwareinstallation Eine weitere Möglichkeit ein betriebsbereites Botnetz zu monetarisieren wird Klickbetrug genannt. Hierzu nutzt der Betrüger einen Account bei einem Onlinedienstleister, der seine Werbepartner für Klicks auf Werbebanner (Pay per Click) oder die Vermittlung von Besuchern (Pay per Visit) vergütet. Der Betrüger nutzt die Bots dazu, die Banner anzuklicken oder die vergütete Website zu besuchen. Dies geschieht mit den rechnerspezifischen Informationen wie Betriebssystem, Browser und IP-Adresse der gekaperten Rechner und ist somit für den Werbeportalbetreiber nicht als Betrug zu erkennen. Auch zur Steigerung von besucherzahlenbasierten Websiterankings und zur Manipulation von Onlineumfragen werden Botnetze herangezogen. [25] Die auf den befallenen Rechnern installierte Steuerungssoftware verfügt häufig über administrative Rechte, die dem Botbetreiber eine weitere Geschäftsmöglichkeit eröffnen. Wenn es das Softwaredesign zulässt, ist es möglich weitere Software auf den Rechnern der ahnungslosen Benutzern zu installieren. Populäre Programme sind Spyware um Benutzer auszuspionieren oder Keylogger um Passwörter der Benutzer abzugreifen. Diese Installationsdienstleistung bietet weitere kriminelle Möglichkeiten und wird ebenso gehandelt. [25] 3.4 Anonymer Internetzugriff Methoden, die die Verwundbarkeit des Botnetzes reduziert und den reibungslosen Betrieb sichern sollen, können auch als eigenständige Dienste verwendet werden. Cyberkriminelle nutzen die Zombie-Rechner zur Verschlüsselung ihrer Herkunft etwa beim Onlinebanking und hinterlassen in den Logfiles der Bankinstitute lediglich die IP-Adresse des gekaperten Rechners. Die Identität des Kriminellen wird auf diese Weise anonymisiert. [9], [12] 4 Abwehrstrategien Bei der Entwicklung von Abwehrstrategien sind zwei grundsätzliche Unterscheidungen möglich. Zum einen sind die Computer der Benutzer vor den Befall von Schadsoftware, wie der Einschleusung und Installation von Botsoftware zu schützen. Zum anderen ist von Unternehmen eine Internetressourcen-Strategie umzusetzen, die möglichen Angriffen standhält und den Unternehmensbetrieb aufrecht erhält. 4.1 Absicherung der Computer gegen den Befall durch Botsoftware Die wichtigste Waffe gegen die Infizierung von Privat- und Bürorechnern ist die Verwendung von Antiviren-Software inklusive der kurzzyklischen Aktualisierung der Virensignaturen. Auch die Sensibilisierung und Schulung der Endanwender sind wichtige Punkte im Kampf gegen die Cyberkriminalität. Das Scannen von Datenträgern, Dokumenten und Internetdownloads auf Viren gehört ebenso

13 Botnetze: Aufbau, Funktion & Anwendung 13 zu den Aufgaben der Benutzer, wie das überlegte Öffnen von Mailanhängen unbekannter Absender. Mailanhänge sollten zuvor schon serverseitig geprüft worden sein. Das fällt in den Aufgabenbereich der Unternehmens-IT oder des Internet-Providers. [32] Eine aktivierte Firewall sollte auf jedem internetfähigen Rechner installiert sein; diese wird in den neuen Betriebsystemgenerationen in der Regel schon mitgeliefert. Hacker nutzen häufig Schwachstellen in Standard- Softwareprodukten wie Internetbrowsern, um sich Zugriff zu den Rechnern der Benutzer zu verschaffen. Mit sog. Browser-Exploits nutzen Hacker die Browsersoftware um Besucher von Websites mit Schadsoftware zu infizieren, wenn diese mit veralteten Softwareversionen arbeiten. [24] Auch hier ist es notwendig den Updatezyklen der Hersteller zu folgen. 4.2 Abwehrstrategie gegen den Angriff eines Botnetzes Sehr viel aufwendiger verhält sich die Sache bei der Abwehr von Angriffen gegen die Internetressourcen. Das Hauptaugenmerk liegt hier in der Abwehr von DDoS- Attacken. Da Ressourcen wie Internetshops oder die Unternehmenspräsenzen für jedermann zugänglich sein sollen, ist eine intelligente Lösung gefragt. Es wird zwischen präventiven und reaktiven Maßnahmen unterschieden. Filtermechanismen, die Absender-IP-Adressen auf ihre Gültigkeit überprüfen, können ebenso als präventiv angesehen werden wie die Schaffung möglicher Redundanzen. Hierzu soll nicht unerwähnt bleiben, dass solche Maßnahmen häufig ins Leere laufen, da DDoS-Attacken regelmäßig durch die schiere Masse der beteiligten Bots nicht abgefangen werden können. Auch selbstlernende Firewall-Regeln werden zu den präventiven Maßnahmen gezählt. Die Erweiterung dieser Regeln durch die (temporäre) regionale Begrenzung von IP-Adressen, zählt zu den reaktiven Maßnahmen. Hierbei bleibt allerdings zu bedenken, dass damit auch mögliche Kunden ausgeschlossen werden. [33] 5 Zusammenfassung Die vorliegende Arbeit hat sich mit dem Aufbau, der Funktion und der Anwendung von Botnetzen beschäftigt. Es wurden verschiedene Architekturen von Netzen untersucht, wobei zwischen zentral und dezentral aufgebauten Botnetzen unterschieden wurde. Im Rahmen der Betrachtung von zentralisierten Botnetzen wurden neben den Stern- und den Multi-Server-Netzen auch die hierarchischen Netze beschrieben. Es wurden verschiedene Kommunikationstechniken vorgestellt, die sich für den Aufbau von zentralisierten Botnetzen eignen. Bei der Betrachtung von dezentralisierten Botnetzen wurde der Aufbau als Fast- Flux-Botnetz und als Peer-to-Peer-Netz genau beschrieben. Hierbei waren der Verbindungsaufbau zu den Kontrollrechnern und die Verteilung der Steuerungskommandos erörterte Fragestellungen. Im dritten Kapitel wurden verschiedene Anwendungsmöglichkeiten von Botnetzen und Geschäftsfelder für deren Betreiber beschrieben. Dabei wurden neben den bekannten Formen der Computerkriminalität Spam und Erpressung auch

14 14 Botnetze: Aufbau, Funktion & Anwendung weniger bekannte wie Klickbetrug und Anonymisierung untersucht. Im letzten Abschnitt wurden mögliche Abwehr- und Präventionsmaßnahmen erörtert. Dabei wurde zwischen zwei Gebieten unterschieden. Zum einen wurden die Maßnahmen zum Schutz der Computer der Endanwender dargestellt, zum anderen mögliche Maßnahmen zum Schutz von Internetressourcen. Botnetze waren in der Vergangenheit ein Bedrohung für Politik und Wirtschaft, die in den letzten Jahren stark zugenommen hat. Sie werden auch in Zukunft ein bedeutendes Thema für die IT-Sicherheit bleiben. Literatur 1. Laudon, Kenneth C., Jane P. Laudon Detlef Schoder: Wirtschaftsinformatik: Eine Einführung. Addison-Wesley, München, 2. aktual, Vacca, John R.: Network and system security. Syngress/Elsevier, Burlington, MA, Peacock, Ian: Showing robots the door Shadowserver Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Protokolle. Oldenbourg, München, 6., überarb. und erweiterte Auflage, Oram, Andrew John Viega: Beautiful security. O Reilly, Sebastopol, Calif, 1st, Holz, Thorsten: A short visit to the bot zoo. IEEE (): Security & Privacy, Ollmann, Gunter: Botnet Communication Topologies. pubs/wp Botnet Communications Primer ( ).pdf Jakobsson, Markus Zulfikar Ramzan: Crimeware - Understanding new attacks and defenses. Addison-Wesley, Upper Saddle River, N.J, Graham, James, Richard Howard Ryan Olson: Cyber security essentials. Auerbach Publications, Boca Raton, FL, Carle, Georg Schmitt Corinna: Proceedings of the Seminar Future Internet (FI) Kamluk, Vitaly: The botnet business / CyberInsecure.com: Facebook Is Used As Command And Control Channel For Crimeware Distributors Arbor Networks: Malicious Google AppEngine Used as a CnC Baun, Christian, Marcel Kunze, Jens Nimis Stefan Tai: Cloud Computing: Web-based Dynamic It Services. Springer Verlag, Albitz, Paul Cricket Liu: DNS und BIND. O Reilly, Beijing and, Cambridge and, Farnham and, Köln and, Paris and, Sebastopol and, Taipei and, Tokyo, 3, Schwenk, Joerg: Sicherheit und kryptographie im Internet. Vieweg+Teubner, Wiesbaden, 2009.

15 Botnetze: Aufbau, Funktion & Anwendung Schmidt, Juergen: Hydra der Moderne Mahlmann, Peter Christian Schindelhauer: Peer-to-Peer-Netzwerke: Algorithmen und Methoden. Springer, Berlin, LEO Onlinewörterbuch: Peer Internetdienst Golem: 25C3: Storm-Botnet gekapert Dahl, Frederic: Diplomarbeit: Der Storm-Worm. Universität Mannheim, Mannheim, Wang, Ping, Sparks Sherri Zou Cliff C.: An Advanced Hybrid Peer-to-Peer Botnet. papers/wang/wang.pdf Kamluk, Vitaly: Ökosystem Botnetze Plohmann, Daniel, Elmar Gerhards-Padilla Felix Leder: Botnets: Detection, Measurement, Disinfection & Defence Schwartz, Mathew J.: Pssst...Want To Rent A Botnet? jhtml?articleid= Price, Brian: Botnet for Sale Business Going Strong, Security Researchers Say. Going-Strong-Security-Researchers-Say848696/ Symantec: Symantec Spam Report March PhishingReport April2010.pdf Weber, Stefan: Sicher wie Banknoten Australian Goverment: Denial of service. Attorney-General s Dept., Barton, A.C.T, Vijayan, Jaikumar: MasterCard, Visa others hit by DDoS attacks over WikiLeaks. MasterCard Visa others hit by DDoS attacks over WikiLeaks Janowicz, Krzysztof: Sicherheit im Internet: [Gefahren einschätzen, Risiken minimieren: fundiertes Hintergrundwissen rund ums Internet ; effektiver Schutz für den PC: Wissenswertes über Schädlinge und Angriffsszenarien ; mit zahlreichen Sicherheitstools auf CD-ROM]. O Reilly, Beijing [u.a.], 2. Aufl., 1., korrigierter Nachdr., Gamer, Thomas: Dezentrale, anomalie-basierte Erkennung verteilter Angriffe im Internet. KIT Scientific Publ, Karlsruhe, 2010.