Ist ein Analysereport für eine Schadsoftware mittels Honeypot-Köder erstellt, erfolgt der Gegenschlag: Die Forscher nutzen die so gesammelten Informationen, um nun ihrerseits das Botnetz zu infiltrieren. Sie geben sich selbst als Bot aus und schleusen sich in den Fernsteuerungskanal ein. Dadurch können sie nun das Botnetz von innen beobachten. Wie ein Spion im Verborgenen empfangen sie dabei beispielsweise über den C&C-Server die aktuell vom Angreifer ausgesendeten Befehle.

Die Arbeitsgruppe von Thorsten Holz schlägt den Gegner mit seinen eigenen Waffen. © RUB

Was ein bisschen wie aus einem James-Bond-Film klingt, erlaubt den IT-Forschern nicht nur einen detaillierten Einblick in den Aufbau und die Funktionsweise von Botnetzen. Sie benutzen die in der Infiltrierungsphase gesammelten Informationen auch, um das Netz gezielt abzuschwächen. Dies geschieht beispielsweise, indem sie den Kommunikationskanal der Bots schließen, so dass der Angreifer keine Befehle mehr zu den kompromittierten Maschinen senden kann. Auf der Basis der gesammelten Daten können sie aber auch die Besitzer von infizierten Rechnern informieren, damit diese ihre Maschine von der Schadsoftware säubern, beispielsweise mit Hilfe von Antivirenprogrammen.

Im Rahmen ihrer Arbeiten haben die Bochumer Forscher auf diese Weise bereits Botnetze für IRC, HTTP, einige proprietäre Protokolle sowie für das Peer-to-Peer-Botnetz Storm Worm infiltriert und ausspioniert. Über einen Zeitraum von vier Monaten sammelten sie so detaillierte Informationen allein über rund 900 IRC-basierte Botnetze. Mehr als 500.000 Bots konnten sie in dieser Zeitspanne beobachten, was die weite Verbreitung dieser Gefahr illustriert. Die typische Größe eines Botnetzes lag zwischen einigen hundert Bots bis hin zu mehr als 40.000 Bots. Zusätzlich erfassten sie mehr als 300 DDoS-Angriffe gegen etwa 100 Opfersysteme. Die gesammelten Informationen haben die Wissenschaftler an entsprechende Stellen - zum Beispiel Antivirenhersteller - weitergegeben, die dann gegen die Botnetze vorgegangen sind.