96594

Kasse machen mit Botnets - Teil 2

18.09.2006 | 15:11 Uhr |

Vor einer Woche haben wir darüber berichtet, wie Botnet-Betreiber durch die Installation von Spy- und Adware Geld verdienen. Eines dieser Botnets hat das German Honeypot Project genauer unter die Lupe genommen. Die Spur führt dabei zu einem Server, auf dem in kurzer Zeit ausgespähte Informationen gesammelt wurden, die von 39.000 Rechnern stammen, vorwiegend aus Deutschland.

Der Aufbau von Botnets erfolgt, soviel ist längst klar, nicht zum Spaß. Es stecken ganz profane finanzielle Interessen dahinter. Eine Möglichkeit zum Geldverdienen mit Botnets ist die Vermietung der Rechner an Spammer, eine andere die Verbreitung von Adware und Spyware ( wir berichteten ). Thorsten Holz vom German Honeypot Project untersucht die Wege, auf denen die Betreiber Kasse machen und berichtet in seinem Honeyblog (http://honeyblog.org) darüber.

Dieses Mal führt die Spur von einem kompromittierten Uni-Rechner zu einem Botnet und dessen Kontroll-Server, sowie zu einem alten Bekannten. Letzterer ist die Schädlingsfamilie Haxdoor, auch unter dem Namen Goldun bekannt. Diese Schädlinge sammeln unter anderem persönliche Daten - etwa Kontoinformationen, Kreditkartennummern und Zugangsdaten zu Web-Diensten.

Ausgangspunkt der Analyse war ein verseuchter PC, dessen Datenverkehr Holz untersucht hat. Dieser Rechner sendete Daten an ein PHP-Script auf einem entfernten Server. Die weitere Untersuchung dieses Servers und des über ihn gesteuerten Botnets brachten Protokolldateien ans Licht, die mehr als sechs Millionen Einträge enthielten. Über 250 MB an Daten, die an nur neun Tagen im April dieses Jahres auf verseuchten PCs gesammelt worden waren, stammten von insgesamt 39.000 IP-Adressen.

Die meisten dieser IP-Adressen gehörten zu Einwahlzugängen deutscher Internet-Provider. Die gesammelten Informationen stammten also vorwiegend von privaten Computern. Haxdoor/Goldun überwacht den Internet Explorer und protokolliert Eingaben auf bestimmten Websites. Dieses sendet er an einen zentralen Server. Holz und seine Mitstreiter fanden mindestens 280 komplette Datensätze mit Kontodaten bei 15 verschiedenen Banken.

Auch 28 Kreditkartennummern nebst aller Details wurden gefunden. Diese relativ geringe Zahl von Kreditkartennummern kann dadurch erklärt werden, dass der Einsatz von Kreditkarten in Deutschland weniger üblich ist als in anderen Teilen der Welt. Unter den ausspionierten Informationen fanden sich außerdem Zugangsdaten für Mail-Konten und Diskussionsforen.

Die gewonnenen Erkenntnisse über das Botnet und die betroffenen Opfer wurden an das DFN-CERT, die IT-Sicherheitsgruppe des Deutschen Forschungsnetzes übergeben. In Zusammenarbeit mit Universitäten und Providern wurden die Betroffenen so gut es ging informiert.

Botnets verteilen Adware und Spyware (PC-WELT Online, 11.09.2006)

0 Kommentare zu diesem Artikel
96594