239825

Botnet-Steuerung wird ins Web verlagert

23.10.2006 | 16:15 Uhr |

Die Übermittlung der Kommandos, mit denen Botnets kontrolliert werden, findet zunehmend nicht mehr über IRC statt. Vielmehr verbergen die Botmaster ihre Befehle im großen Datenstom legitimer Web-Nutzung.

Traditionell steuern Botmaster die gekaperten Rechner ("Zombies") über das IRC (Internet Relay Chat). Ein Bot, der einen PC kontrolliert, nimmt Kontakt zu einem bestimmten IRC-Server auf und betritt einen bestimmten Chat-Raum ("Channel"). Dort erhält er weitere Anweisungen, etwa zum Download weiterer Komponenten.

Der Datenverkehr im IRC weist Charakteristika auf, die eine Entdeckung erleichtern und auch eine Blockade ermöglichen. Daher gehen die Botmaster dazu über, die Kommunikation zwischen Kontroll-Server und Zombies über das im Web genutzte Protokoll HTTP abzuwickeln. Diese Art von Datenverkehr fällt im großen Rauschen des Web-Verkehrs kaum auf - die Kommunikation läuft über den Port 80 und erscheint wie legitime Anfragen an einen Web-Server sowie dessen Antworten.

Durch diese neue Taktik wächst die Gefahr für Unternehmen unentdeckte Zombies in ihren vermeintlich abgeschirmten Netzwerken zu beherbergen. Können sie leicht jeglichen IRC-Verkehr entdecken und blockieren, greift diese recht einfache Schutzmaßnahme nun nicht mehr. Es muss erheblich mehr Aufwand betrieben werden, um die Steuerkommandos von Botnets in der breiten Masse der legitimen Web-Transfers zu entdecken und zu unterbinden.

Eine erste Maßnahme ist das Blockieren des Datenverkehrs zu und von bestimmten IP-Adressen oder Web-Servern, die bereits als Botnet-Kontroll-Server bekannt sind. Schwarze Listen ("Blacklists") derartiger Server werden wohl in Zukunft ähnlich wie solche mit bekannten Spam-Quellen abonnierbar sein.

Bislang liegt der Anteil Web-gesteuerter Botnets noch im Bereich von einem Prozent, deutliche Zuwächse sind jedoch in nächster Zeit zu erwarten. Die Bot-Jäger in den Sicherheitsunternehmen werden sich auf diese neue Herausforderung einstellen müssen.

0 Kommentare zu diesem Artikel
239825