1706012

Bot-Netz live vor Publikum ausgeknipst

28.02.2013 | 15:57 Uhr |

Ein Sicherheitsforscher hat während seines Vortrags auf der RSA-Konferenz ein Bot-Netz infiltriert und abgeschossen. Es handelt sich um den Bot Kelihos.c, einen Enkel des berüchtigten Sturm-Wurms und dessen Nachfolger, Waledec.

In dieser Woche findet in San Francisco die RSA-Sicherheitskonferenz statt. Einer der Vortragenden, Tillmann Werner, hat während seiner Präsentation die Infiltration eines Bot-Netzes demonstriert. Werner, vormals Informatiker an der Uni Bonn, heute beim Sicherheitsunternehmen Crowdstrike, hat die P2P-Kommunikation des Bot Kelihos.c analysiert und einen Angriffspunkt entdeckt. Werner hat die Kommunikation der Bots vergiftet und das Bot-Netz vor Publikum lahm gelegt.

Die Aktion war mit dem FBI und anderen Ermittlungsbehörden abgesprochen. Unterstützt wurde Werner auch durch die Shadowserver-Stiftung, die technische Infrastruktur beigesteuert hat. Wesentlicher Teil dieser Infrastruktur ist ein so genannter Sinkhole-Server (Senkgrube). Werner hat an die mit dem Kelihos.c-Bot verseuchten Rechner neue Instruktionen geschickt, sodass sie sich nicht mehr mit ihren eigentlichen, durch Online-Kriminelle kontrollierten Proxy-Rechnern verbunden haben, sondern mit dem Sinkhole. Die Proxy-Server des Bot-Netzes hat Werner auf eine ebenfalls übermittelte Blacklist (Sperrliste) gesetzt.

Das Publikum konnte auf einer Weltkarte verfolgen, wie sich die Zombie-Rechner des Bot-Netzes nach und nach mit dem Sinkhole verbunden haben. Die Bots sind nun nicht mehr in der Lage neue Instruktionen von den Online-Kriminellen zu empfangen, die das Bot-Netz aufgebaut haben. Diese haben allerdings schon in der Vergangenheit gezeigt, dass sie solche Eingriffe durchaus verkraften können. Es bleibt also abzuwarten, wie lange der Effekt anhalten wird.

Hinter Kelihos.c, der dritten Generation dieses Bot, steckt wohl die gleiche Bande wie hinter dem Sturm-Wurm und dessen Nachfolger Waledec . Allen gemeinsam ist, dass sie Bot-Netze mit technisch ausgefeilter Kommunikation aufbauen. Die gekaperten Rechner dienen vor allem dem Spam-Versand.

Nach Angaben Tillmann Werners wird Microsoft beim nächsten Patch Day am 12. März seinem Schädlingsbekämpfer, dem "Tool zum Entfernen bösartiger Software", Signaturen hinzufügen, um Kelihos.c von damit verseuchten Rechnern zu entfernen.

0 Kommentare zu diesem Artikel
1706012