84278

Botnet-Opfer benutzen meist den IE

08.05.2009 | 15:22 Uhr |

Die Entdeckung eines Botnet aus 1,9 Millionen gekaperten Rechnern liefert einige Einblicke, die besonders Unternehmen zu denken geben sollten. Die meisten Zombies stehen in den USA, etliche jedoch auch in Deutschland.

Online-Kriminelle, die ihre Botnets weiter ausbauen wollen, machen erst einmal keinen Unterschied, ob ihre Trojanischen Pferde (Bots) private PCs oder Firmenrechner rekrutieren. Je nach Art und Aufgaben des Schädlings können die Schäden, die dadurch in Unternehmen entstehen, weitaus größer sein als für Privatleute. In Unternehmen werden auch seltener alternative Web-Browser wie Firefox eingesetzt. Meist herrschen hier ältere IE-Versionen vor, die besonders gefährdet sind.

Wie das israelische Sicherheitsunternehmen Finjan bei der Analyse eines Botnets aus 1,9 Millionen Zombies-PCs festgestellt hat, ist auf der überwiegenden Zahl (78 Prozent) der gekaperten Rechner der Internet Explorer als Standard-Browser eingerichtet. Firefox folgt mit immerhin 15 Prozent, Opera mit drei Prozent. Die Schädlinge gelangen über so genannte Drive-by Downloads auf die Rechner, oft beim Besuch gehackter Websites.

Die meisten der gekaperten Computer stehen in den USA und machen etwa 45 Prozent des Botnet aus. Großbritannien (sechs Prozent) sowie Kanada und Deutschland mit je vier Prozent Anteil folgen auf den Plätzen, dahinter Frankreich mit drei Prozent. Unter diesen Rechnern sind etliche, die zu Regierungsbehörden, etwa Botschaften, in verschiedenen Ländern gehören. Insgesamt 77 Regierungs-Domains haben die Forscher im Botnet ausgemacht.

Der auf diesen Rechnern laufende Bot wird über mehrere Kommando-Server gesteuert und liefert ausspionierte Daten an sein Mutterschiff. Dazu gehören Informationen aus Mails, Screenshots, aufgezeichnete Tastatureingaben und kopierte Dateien. Die Online-Kriminellen setzen auf diesem Weg Befehle an ihre Zombie-Armee ab, die dann zum Beispiel Spam versenden, als Web-Server dienen oder DoS-Angriffe auf Unternehmen starten.

Botnets oder Teile davon werden oft zeitweise an Spammer oder andere Online-Kriminelle vermietet, die sie für ihre Zwecke nutzen. Aus verschiedenen Untergrundforen haben die Finjan-Forscher ermittelt, dass ein Botnet für Preise von 100 bis 200 US-Dollar pro Tag und 1000 Rechner vermietet wird. Bei einem 1,9 Millionen Computer umfassenden Botnet könnten die Botmaster also durchaus 200.000 US-Dollar am Tag verdienen.

Andere Sicherheitsfachleute kommen zu ähnlichen Erkenntnissen. Alex Lanstein vom Sicherheitsunternehmen FireEye gibt zu bedenken, dass die meisten Botnets kaum bekannt sind, wenig Erwähnung in den Medien finden. Das wäre auch nicht im Interesse der Botmaster, die lieber ungestört im Verborgenen operieren.

Paul Kocher von Cryptography Research ergänzt, die Täter benutzten inzwischen oft starke Verschlüsselung sowohl bei der Kommunikation zwischen Bots und Mutterschiff als auch beim Speichern der ausspionierten Daten. Werden diese Daten auf gekaperten Rechnern zwischengelagert und vom Benutzer eines Rechners entdeckt, erscheinen die Dateiinhalte wie sinnloser Datenmüll.

Unternehmen sollten sich besser schützen, indem sie mehrschichtige Sicherheitsmaßnahmen einsetzen. Firewall und Antivirus-Software allein genügen meist nicht mehr. Jede zusätzliche Schicht, etwa IDS/IPS-Systeme, erhöht die Chance, Eindringliche zu entdecken und fern zu halten.

Der wichtigste Aspekt (und der immer noch am meisten vernachlässigte) bleibt jedoch die Unterweisung der Anwender. So raten viele Fachleute übereinstimmend, Anwendern sollten die Tricks der Angreifer (Stichwort: Social Engineering) demonstriert werden, damit sie nicht mehr (so oft) darauf herein fallen. Das sei der beste Schutz vor Malware-Angriffen.

0 Kommentare zu diesem Artikel
84278