Forscher infiltrieren Storm-Botnetz

28.04.2008
Deutsche Sicherheitsforscher haben Wege gefunden, wie sich ein Peer-to-Peer-Botnetz - konkret: die hinter dem berüchtigten "Storm"-Wurm stehende Bot-Herde - stören beziehungsweise lahm legen lässt.

Den Experten ist es offenbar nicht nur gelungen, das Storm-Botnetz zu analysieren, zu infiltrieren und so dessen interne Kommunikation empfindlich zu stören, sondern auch die bislang genaueste Schätzung seines Umfangs zu liefern. Das von Forschern der Universität Mannheim sowie des Intituts Eurécom verfasste Grundlagenpapier "Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm" wurde kürzlich auf dem Usenix-Workshop "Large-Scale Exploits and Emergent Threats (LEET)" in San Francisco vorgestellt.

Botnetze zählen mittlerweile zu den größten Internet-Bedrohungen: Nicht nur sind sie für das Gros des Spam-Aufkommens verantwortlich, sie lassen sich auch für groß angelegte DDoS-Attacken (Distributed Denial-of-Service) und zu anderen bösartigen Zwecken missbrauchen. Zombie-Herden, wie sie der berüchtigte Storm-Wurm kreiert, stützen sich zunehmend auf Peer-to-Peer-Techniken, um Befehle an die Botnetz-Drohnen zu leiten, sprich: sie benötigen keinen zentralen Kontroll-Server mehr und sind dadurch schwerer außer Gefecht zu setzen.

Dem Bericht zufolge ist es den Forscher gelungen, sich in das Storm-Botnetz "einzuschleusen" und dort die Kommunikation zwischen den einzelnen Bot-Rechnern mit Hilfe manipulierter Befehle zeitweise zum Erliegen zu bringen. Die neuen Ansätze zum Auskundschaften von Peer-to-Peer-Botnetzen sollen es zudem ermöglichen, infizierte von gutartigen Peers zu unterscheiden und so konkretere Anhaltspunkte zum Umfang eines Bot-Verbunds zu bieten. Bislang ließ sich dessen Größe lediglich anhand von Merkmalen wie etwa der Zahl der verschickten Spam-Mails schätzen. So ergab die Analyse des Storm-Botnetzes, dass im Zeitraum zwischen Dezember 2007 und Februar 2008 stets 5000 bis 40.000 Peers online waren, wobei die Zahl der gekaperten Rechner in der Weihnachtszeit und um den Jahreswechsel herum drastisch gestiegen sein soll. Die Bots befanden sich in rund 200 Ländern - den mit 23 Prozent größten Anteil beherbergten die USA.

Da es sich bei den Botnetz-Hosts im Prinzip um Computersysteme im Besitz Dritter handelt, die sich des Missbrauchs ihrer Systeme in der Regel nicht bewusst sind, kann die aktive Beeinflussung eines Botnetzes für Forscher rechtliche Konsequenzen haben. Nicht zuletzt aus diesem Grund habe sich die Forschung bislang auf passive Techniken zur Bestimmung der Größe und Kontrollstruktur eines Botnetzes beschränkt und es den Strafverfolgungsbehörden überlassen, dagegen vorzugehen, so die Experten.

Künftig wollen sich die Forscher auf die Analyse der Systeme konzentrieren, die die eigentlichen Befehle absetzen, was dann die Identifikation der Storm-Wurm-Betreiber ermöglichen könnte. (kf)