219136

Botnet wird über JPEG-Bilder gesteuert

01.10.2009 | 15:36 Uhr |

Ein kürzlich entdecktes Botnet wird von seinem Kommando-Server gesteuert, indem dieser seine Befehle als JPEG-Bilder getarnt verschickt. Die Zombies des Botnet Monkif/DlKhora laden daraufhin weitere Malware herunter.

Um ein Botnet vor Entdeckung zu schützen, ist die Tarnung der Kommunikation zwischen dem Kommando-Server und den gekaperten Rechnern ein wichtiges Mittel. Das Botnet "Monkif/DlKhora" setzt hierzu auf Täuschung. Die Kommunikation läuft über HTTP, der Kommando-Server kennzeichnet die Datenpakete jedoch als JPEG-Bilder. Der Datenverkehr kann so bei oberflächlicher Betrachtung wie eine normale Browser-Sitzung erscheinen.

Jason Milletary vom Sicherheitsunternehmen SecureWorks hat das Monkif-Botnet eine Weile beobachtet und näher untersucht. Die Zombie-Rechner laden vor allem weitere Malware herunter und installieren sie. Dazu zählt etwa ein BHO (Browser Helper Object) für den Internet Explorer, das dem Klickbetrug dient. Die Bot-Software kann außerdem Antivirusprogramme und Desktop Firewalls ausschalten, um sich vor Entdeckung und Beseitigung zu schützen.

Um seine Befehle an die Zombies zu tarnen, sendet der Kommando-Server HTTP-Pakete, die als "image/jpeg" ausgewiesen sind. Darin stecken Datenpakete, die mit einem gültigen, 32 Bytes langen JPEG-Header beginnen und so als Bilddateien erscheinen. Nach diesen gefälschten Kopfdaten folgen jedoch keine Pixel sondern XOR-kodierte Befehle. Das Fehlen von echten Bildinformationen kann genutzt werden, um diese Pakete als das zu identifizieren, was sie wirklich sind.

0 Kommentare zu diesem Artikel
219136