Der Gegenangriff - scinexx | Das Wissensmagazin
Anzeige
Anzeige

Spione im gegnerischen Netz

Der Gegenangriff

Ist ein Analysereport für eine Schadsoftware mittels Honeypot-Köder erstellt, erfolgt der Gegenschlag: Die Forscher nutzen die so gesammelten Informationen, um nun ihrerseits das Botnetz zu infiltrieren. Sie geben sich selbst als Bot aus und schleusen sich in den Fernsteuerungskanal ein. Dadurch können sie nun das Botnetz von innen beobachten. Wie ein Spion im Verborgenen empfangen sie dabei beispielsweise über den C&C-Server die aktuell vom Angreifer ausgesendeten Befehle.

Die Arbeitsgruppe von Thorsten Holz schlägt den Gegner mit seinen eigenen Waffen. Da die Sicherheitsspezialisten intelligente Gegenspieler haben, müssen sie damit rechnen, dass auch diese sich Tricks und Kniffe von ihnen abschauen. © RUB

Was ein bisschen wie aus einem James-Bond-Film klingt, erlaubt den IT-Forschern nicht nur einen detaillierten Einblick in den Aufbau und die Funktionsweise von Botnetzen. Sie benutzen die in der Infiltrierungsphase gesammelten Informationen auch, um das Netz gezielt abzuschwächen. Dies geschieht beispielsweise, indem sie den Kommunikationskanal der Bots schließen, so dass der Angreifer keine Befehle mehr zu den kompromittierten Maschinen senden kann. Auf der Basis der gesammelten Daten können sie aber auch die Besitzer von infizierten Rechnern informieren, damit diese ihre Maschine von der Schadsoftware säubern, beispielsweise mit Hilfe von Antivirenprogrammen.

Im Rahmen ihrer Arbeiten haben die Bochumer Forscher auf diese Weise bereits Botnetze für IRC, HTTP, einige proprietäre Protokolle sowie für das Peer-to-Peer-Botnetz Storm Worm infiltriert und ausspioniert. Über einen Zeitraum von vier Monaten sammelten sie so detaillierte Informationen allein über rund 900 IRC-basierte Botnetze. Mehr als 500.000 Bots konnten sie in dieser Zeitspanne beobachten, was die weite Verbreitung dieser Gefahr illustriert. Die typische Größe eines Botnetzes lag zwischen einigen hundert Bots bis hin zu mehr als 40.000 Bots. Zusätzlich erfassten sie mehr als 300 DDoS-Angriffe gegen etwa 100 Opfersysteme. Die gesammelten Informationen haben die Wissenschaftler an entsprechende Stellen – zum Beispiel Antivirenhersteller – weitergegeben, die dann gegen die Botnetze vorgegangen sind.

  1. zurück
  2. |
  3. 1
  4. |
  5. 2
  6. |
  7. 3
  8. |
  9. 4
  10. |
  11. 5
  12. |
  13. 6
  14. |
  15. weiter

Thorsten Holz / RUBIN – Wissenschaftsmagazin der Ruhr-Universität Bochum
Stand: 16.11.2012

Anzeige
Anzeige

In den Schlagzeilen

Inhalt des Dossiers

Hacker im Honigtopf
Elektronische Köder locken Internet-Angreifer in die Falle

Gekaperte Rechner
Von Bots, Botnetzen und DdoS-Angriffen

Elektronischer Honigtopf als Köder
Wie funktionieren Honeypots?

Nur scheinbar verwundbar
System beobachtet und analysiert Angreifer in Echtzeit

Der Gegenangriff
Spione im gegnerischen Netz

Kontrolle über 120.000 Rechner
Forscher knacken Spam-Botnetz

Diaschauen zum Thema

News zum Thema

Spam-Flut muss nicht sein
Fraunhofer-Studie untersucht Spam-Aufkommen bei kostenlosen E-Mail-Diensten

Weltweit größter Schlag gegen Spam-Netzwerk
Konzertierte Aktion legt „Waledac- Botnetz" lahm

Dossiers zum Thema

Anzeige
Anzeige