Honeynet
Innenansichten chinesischer Botnets
Forscher des internationalen Honeynet-Projekts haben zusammen mit ihren chinesischen Kollegen eine Langzeitstudie zu IRC-basierten, chinesischen Botnets durchgeführt. Dabei haben sie binnen zwölf Monaten über 3000 Botnets entdeckt und untersucht.
Botnets sind heute das Universalwerkzeug sowohl der Online-Kriminellen wie auch der Spammer. China ist nicht nur ein potenter Markt für viele reguläre Wirtschaftszweige, dort sind auch über 50 Prozent der Malware-verseuchten Websites zu finden, wie die jüngste Malware-Statistik des britischen Antivirus-Herstellers Sophos ausweist. Diese dienen auch dem Ausbau bestehender und dem Aufbau neuer Botnets, Netzwerken fremdgesteuerter PCs, so genannter Zombies.
Thorsten Holz, Uni Mannheim, und andere Forscher des Honeynet-Projekts (http://honeynet.org/) haben in den knapp zwölf Monaten von Juni 2006 bis Juni 2007 in Zusammenarbeit mit dem chinesischen Honeynet-Projekt ein Netzwerk von Sensoren und Honeypots in China betrieben, um neue Einblicke in die chinesische Botnet-Szene zu gewinnen. Dabei haben sie 3290 Botnets entdeckt, die ihre interne Kommunikation noch über die klassischen IRC-Methode (Internet Relay Chat) abwickeln.
Die nun vorliegende Auswertung der weitgehend automatisiert abgelaufenen Datenerhebung hat ergeben, dass sowohl die Rechner der Opfer als auch die Kommando-Server weltweit verteilt sind. Die meisten der Server finden sich in den USA mit knapp 39 Prozent, auf den Plätzen folgen China, Südkorea, Deutschland und die Niederlande. Die durchschnittliche Lebensdauer eines Kommando- und Kontroll-Servers beträgt dabei 52 Tage. Von den anfänglich entdeckten Botnets haben immerhin etwa 11 Prozent auch nach einem Jahr noch existiert.
IRC-basierte Botnets sind auf dem Rückzug, die Kommunikation läuft zunehmend über HTTP- oder P2P-basierte Protokolle. Die klassischen IRC-Botnets setzen oft auch auf alte Sicherheitslücken aus 2004 und 2005. Eine andere übliche Methode ist die Ausnutzung zu schwacher Passwörter.
Die insgesamt 50 Honeypots haben über die Zeitspanne von zwölf Monaten etwa 90.000 unterscheidbare Malware-Dateien eingesammelt, meist 2000 bis 4000 am Tag. Davon entfallen allerdings mehr als zwei Drittel auf zwei polymorphe Wurmfamilien, "Virut" und "Allaple", die sich bei jeder Infektion verändern.
Diese und zukünftige Studien bringen im Detail wertvolle Hinweise, die dem besseren Verständnis von Botnets dienen. Nur wer den Feind kennt, kann wirksame Schutzmaßnahmen entwickeln. Und so lautet das Motto des Honeynet-Projekts "KYE - Know your Enemy". Die komplette Studie finden Sie unter dem Titel "Characterizing the IRC-based Botnet Phenomenon" oder "TR-2007-010" als PDF-Datei im HoneyBlog.
