computerwoche.de

Security

Wie sich Bot-Netze enttarnen lassen

24.06.2005
Von f niemann

Der Anteil .text:004012C4 push offset sub_4204C0 stellt den Verweis auf alle Funktionen des TFTP-Servers dar, die innerhalb des ausgelösten Threads behandelt werden. Da für jeden Netzwerkdienst des Bots ein Thread generiert wird, modifizierten die Autoren die Funktionen so, dass der Thread nicht aufgerufen werden kann, allerdings trotzdem einen positiven Wert zurückgibt. Im Falle des TFTP-Servers war das die Meldung [TFTP]: Ser-ver started, während in Wirklichkeit gar keine TFTP-Funktion existierte.

Bot-Betreiber ausfindig machen

Anhand von Namen und Daten konnte über einschlägige Suchmaschinen ein zweiter IRC-Server identifiziert werden. Dort unterhielt sich die Person, deren Codename sowohl innerhalb des Bot-Codes, als auch in bestimmten Teilen der Kommunikation zwischen Bot und Bot-Netzwerk auftauchte. Die Betreiber stammen aus Deutschland und Italien.

Durch die Ermittlung ihrer Identität könnten diese Zeitgenossen zur Rechenschaft gezogen werden. Warum dies viel zu selten geschieht, entzieht sich der Kenntnis der Autoren. Täglich entstehen Dutzende Bot-Netzwerke, die persönliche und schützenswerte Daten von Benutzern abgreifen und deren Systeme darüber hinaus missbräuchlich nutzen. Appelle an die Nutzer, Patches einzuspielen, um längst bekannte Sicherheitslücken zu schließen, liegen nahe, lösen aber nur bekannte Probleme.

Das Fazit der Untersuchungen liegt in dem technischen Beweis, dass Betreiber von Bot-Netzwerken aufgespürt werden können. Die hier dargestellten Methoden eignen sich dazu, um Personen zu enttarnen, die nach Ansicht der Autoren kriminell handeln.

Spammer mieten Bot-Netze Die Betreiber von Botnets sind zum Teil Spaßvögel, aber auch Geschäftemacher: Nach den Erfahrungen von Holz vermieten Bot-Betreiber ihre Netze zum Beispiel an Spammer, die auf diese Weise Mail-Müll versenden können. Obwohl von Bot-Netzen eine potenzielle Gefahr ausgeht, können Strafverfolger nicht aktiv werden. "Da es sich um ein Antragsdelikt handelt, kann die Polizei oder das Bundeskriminalamt erst einschreiten, wenn jemand Anzeige erstattet", erläutert Dirk Häger, Experte für Trojaner beim Bundesamt für Sicherheit in der Informa-tionstechnik.