IT-Security und Botnetze. Aktuelle Angriffs- und Abwehrmethoden

Inhaltsverzeichnis

Danksagungen

Zusammenfassung

Kapitel 1 Einleitung
1.1 Einführung in das Thema
1.2 Motivation
1.3 Aufbau der Arbeit

Kapitel 2 Übersicht
2.1 Geschichte der Botnetztechnologie
2.1.1 GM
2.1.2 EggDrop
2.1.3 Pretty Park
2.1.4 SubSeven Trojan/Bot
2.1.5 GTBot
2.1.6 SDBot
2.1.7 AgoBot
2.1.8 SpyBot
2.1.9 RBot
2.1.10 PolyBot
2.1.11 MYTOB
2.1.12 MetaFisher
2.1.13 Storm Worm
2.2 Täter im Hintergrund
2.2.1 Thr34t_Krew
2.2.2 Axel Gembe
2.2.3 Jay Echouafni, Jeanson James Ancheta
2.2.4 Anthony Scott Clark
2.2.5 Christopher Maxwell

Kapitel 3 Einführung in Botnetze
3.1 Was ist ein Botnetz?
3.1.1 Finanzielle Aspekte von Botnetzen
3.1.2 Modulares Design
3.1.3 Botnetz - Management
3.2 Botnetzeigenschaften
3.2.1 Modularer Programmaufbau
3.2.2 (Gezielte) Verbreitungsmöglichkeiten
3.2.3 „Botnet degradation
3.3 Botnetz - Statistiken
3.4 Lebenszyklus eines Botclients
3.4.1 Exploitation
3.4.2 Rallying und Botnetzclient sichern
3.4.3 Anweisungsentgegennahme und Updateinstallation

Kapitel 4 Botnetzaktivitäten
4.1 Infizierung von Clients
4.2 DDoS
4.2.1 TCP SYN Flood
4.2.2 Push - Ack
4.2.3 Teardrop
4.2.4 Land
4.2.5 Naptha
4.2.6 UDP Flood
4.2.7 ICMP Flood
4.2.8 Ping of Death
4.2.9 Smurf Attacke
4.2.10 Recursive HTTP (Spidering)
4.2.11 DNS Recursion (Amplification Attacks)
4.3 Installation von Adware und Clicks4Hire
4.4 Spam und Phishing
4.5 Pump - and - Dump Betrug
4.6 Speichern und Verteilen von illegalen Raubkopien
4.7 Ransomware
4.8 Data Mining
4.9 Bots vermieten
4.10 Informationsdiebstahl
4.11 Versteckte Kommunikation
4.12 Ergebnisse berichten
4.13 Beweise vernichten

Kapitel 5 Command and Control Technologien
5.1 IRC
5.1.1 Allgemein
5.1.2 IRC Struktur
5.1.3 IRC - Protokoll
5.1.4 IRC - Netzwerke
5.2 Allgemeinübliche Ports
5.3 IRC C&C
5.4 DNS und C&C
5.4.1 Domain Names
5.4.2 Multihoming
5.5 Alternative Kontrollchannels
5.6 Web - Based C&C Server
5.6.1 Echo - Based
5.6.2 Command Based
5.7 P2P Botnezte
5.8 Instant Messaging C&C
5.9 Drop Zones and FTP - Based C&C
5.10 Advanced DNS - Based Botnets
5.10.1 DynamicDNS
5.10.2 Fastflux DNS
5.11 Superbotnetz
5.12 Verschlüsselung
5.13 Ausblick

Kapitel 6 Bekannte Botnetze
6.1 SDBot
6.1.1 Pseudonamen
6.1.2 Infizierungsvorgang
6.1.3 Infektionsanzeichen Systemordner
6.1.4 Ausbreitung
6.2 RBot
6.2.1 Pseudonamen
6.2.2 Infizierungsvorgang
6.2.3 Infektionsanzeichen Systemordner
6.2.4 Ausbreitung
6.3 AgoBot
6.3.1 Pseudonamen
6.3.2 Infizierungsvorgang
6.3.3 Infektionsanzeichen Systemordner
6.3.4 Ausbreitung
6.4 Conficker
6.4.1 Geschichtlicher Überblick
6.4.2 Infektionsverteilung
6.4.3 Conficker.A
6.4.4 Conficker.B
6.4.5 Conficker.C
6.4.6 Conficker.D
6.4.7 Conficker.E

Kapitel 7 Praxis - Botnetz Implementierung
7.1 Struktur
7.2 IRC - Server installieren, konfigurieren
7.3 Bot Sourcecode modifizieren und installieren
7.4 Analyse der Funktionen
7.4.1 Überblick
7.4.2 Verbindungsaufbau nach Infektion
7.4.3 Befehle login
7.4.4 keylog
7.5 Bots im Zusammenhang mit Firewallsystemen

Kapitel 8 Ausblick und Zusammenfassung
8.1 Zusammenfassung

A.1 Unrealircd Konfigurationsscript
A.2 Vollständige Konfigurationsdatei
A.3 Batchfile find.bat von Rbot, um wichtige Informationen über das System zu gewinnen

Abbildungsverzeichnis

Tabellenverzeichnis

Listings

Literaturverzeichnis

Danksagungen

An dieser Stelle möchte ich mich bei allen Personen bedanken, die mir das Schreiben dieser Arbeit ermöglicht haben. Mein besonderer Dank richtet sich an Professor Johann Haag, MMag. Sandra Buchner, sowie auch an alle Verwandte und Freunde, die mich unterstützt haben.

Zusammenfassung

Das kontinuierliche Angebotswachstum im Internet wird von der steigenden Anzahl an Hackerattacken, sowie Einbrüchen in fremde Computersysteme, begleitet. Die Motivation für schädliche Aktivitäten hat sich in den letzten Jahren signifikant verändert: von Vandalismus und Anerkennung in der Hackcommunity bis hin zu Attacken und Einbrüchen um einen finanziellen Nutzen daraus zu ziehen. Diese Veränderung wurde durch die immer besser entwickelten Tools und Methoden um einen Angriff auszuführen gekennzeichnet.

Botnetze sind derzeit eines der größten Gefahren im Internet. Ein Botnetz ist ein Zusammenschluss von mehreren infizierten Clients, welche in der Lage sind Befehle in einer koordinierten Art und Weise entgegenzunehmen.

Die Verwendung von Tausenden infizierten Rechner, um zum Beispiel eine Distributed Denial of Service Attacke gegen Unternehmens - oder Regierungsinternetressourcen auszuführen, ist zu einem üblichen und gefährlichen Trend geworden. Die Besitzer der kompromittierten Clients sind typischerweise als User mit niedrigem Sicherheitsbewusstsein profiliert.

Übersicht über die Diplomarbeit:

Diese Diplomarbeit repräsentiert eine Arbeit über das Thema Botnetze, welche die Erläuterung verschiedener Technologien zum Ziel hat. Sie versucht, einen kurzen Einblick in die schier grenzlosen Möglichkeiten zu bieten, die durch ein Botnetz geboten werden.

Im Praxisteil wird ein eigenes Botnetz implementiert und der Datenverkehr zwischen Bot und Server analysiert.

Kapitel 1 Einleitung

1.1 Einführung in das Thema

Das Internet, ein weltweites Netzwerk bestehend aus vielen Rechnernetzwerken, ist ein nicht mehr wegzudenkender Bestandteil unserer Gesellschaft geworden. Es findet ihren Nutzen in privaten, sowie in gewerblichen Bereichen. Beispiele dafür sind unter anderem Datenaustausch, Informationsbeschaffung, Kommunikation zwischen mehreren Rechner oder Netzwerken, und Social Networking via Facebook, Twitter etc.. Jedoch wird dieses Medium auch für kriminelle Zwecke genutzt. Sei es Datendiebstahl, Datenmissbrauch oder Einbrüche in fremde Computersysteme. Die Anzahl an illegalen Aktivitäten, sowie an neuen Bedrohungen, verursacht durch Viren/Würmer/Trojaner oder Botnetzen, wächst kontinuierlich an.

Botnetze, bei denen es sich um Netzwerke von Bot infizierten Rechnern handelt, sind zu einer beliebten Technologie geworden, um Angriffe auf diversen Zielsystemen auszuführen. Solche Angriffe können Spams, Phishing Attacken, Identitätsdiebstahl oder auch DDoS[1] Attacken beinhalten. Derzeit befinden sich Millionen von verschiedenen Botvarianten, die in mehrere tausende Botnetze organisiert sind, im weltweiten Netz. Die Tatsache, dass ein Botnetz viele verschiedene Angriffsmöglichkeiten bietet und es weltweit mehrere Millionen Zombies[2] gibt, macht es zu einem der größten Sicherheitsrisiken im Internet. (vgl. [Lee08])

Ein Beispiel für diese potentielle Bedrohung liefert der im Jahr 2008 erschiene Computerwurm Conficker, der nicht nur mehrere Tausende Privatrechner, sondern auch gut geschützte Systeme von bedeutenden Instituionen, wie zum Beispiel die Kärnter Landesregierung, verschiedene Spitäler und Universitäten infizierte.

1.2 Motivation

Das Thema Botnetz wurde im Rahmen des Unterrichts angesprochen, weshalb ich mich aus Interesse über diese Thematik informierte. Schlagzeilen wie zum Beispiel „ Conficker legt Kärntner Regierungscomputer lahm“ intensivierten mein Interesse.

Der Umstand, dass Botnetze eines der größten Gefahren im Internet sind, machen sie zu einem spannenden und interessanten Thema für eine Diplomarbeit.

1.3 Aufbau der Arbeit

Diese Arbeit ist in folgende Kapitel unterteilt:

Im Kapitel 2 soll dem Leser ein Überblick über die Größe des Problems, die geschichtliche Entwicklung von Botnetzen und Beispielfälle aus den Medien gegeben werden. Die Definition und Eigenschaften von einem Botnetz, der Lebenszyklus eines Botclients, mit welchen Mitteln bzw. Aktivitäten Botherder Geld verdienen und welche Methoden angewandt werden um unentdeckt zu bleiben sind im Kapitel 3 zu finden. Im Kapitel 5 werden verschiedene Command and Control (C&C) Technologien aufgezeigt. Kapitel 6 behandelt bereits bekannte Botnetze, wie zum Beispiel SDBot und Conficker.

Nach Kapitel 6 folgt der Praxisteil der Diplomarbeit. Dieser besteht aus der Implementierung und Konfiguration eines eigenen Botnetzes mit anschließender Analyse. Im abschließenden Kapitel 8 ist der Ausblick und die Zusammenfassung zu finden.

Kapitel 2 Übersicht

Dieses Kapitel soll den historischen Längsschnitt der Evolution der Botnetztechnologie erläutern. Zum Abschluss folgen Beispielnachrichten aus den Medien im Zusammenhang mit Botnetzen.

2.1 Geschichte der Botnetztechnologie

Bots, Kurzform für „robots“, waren anfangs nützliche Tools ohne bösartigen Hintergrund. Sie wurden ursprünglich als virtuelle Arbeitskraft erfunden, die Verwaltungsaufgaben in einem IRC Channel erledigten, wenn der Operator anderweitig beschäftigt war.

IRC, Internet Relay Chat, wurde im August 1988 von Jarkko Oikarinen an der Universität Oulu in Finnland entwickelt und ist ein textbasiertes Chat - System.

Wie vieles andere auch im Internet, wurde diese brauchbare Technologie für illegale Zwecke benutzt und so entstand 1999 der erste schädliche Bot Pretty Park. Dieser markierte den Anfang der Entwicklung bösartiger Schadprogramme. Die frühen Botentwicklungen fingen in kleinen, simplen Projekten an. Aus diesen kleinen, simplen Projekten entwickelte sich eine gefährliche, sowie automatisierte Cyberkriminalität.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1 zeigt die Evolution der Bottechnologie anhand einer Zeitachse.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1: Zeitachse - Geschichtlicher Überblick (vgl. [Sch07])

2.1.1 GM

Der historisch älteste IRC Bot, GM genannt, wurde im Jahr 1989 von Greg Lindahl entwickelt. GM ist die Abkürzung für „Game Manager “. Dieser Bot spielte mit den IRC Usern das Spiel „Hunt the Wumpus“, ein Text basiertes Spiel, dass in Basic programmiert wurde. Die früheren Bots wurden im Gegensatz zu den heutigen für Verwaltungsaufgaben von IRC- Verbindungen entwickelt.

2.1.2 EggDrop

Einer der ersten IRC Bots war EggDrop. Der Bot wurde von Robey Pointer im Jahr 1993 in der Programmiersprache C geschrieben und hatte ursprünglich die Aufgabe, Channels zu verwalten und zu schützen. IRC Channels sind Gesprächskanäle, in denen die Chatteilnehmer miteinander kommunizieren können. Er ist der älteste Bot an dem noch entwickelt wird. EggDrop kann IRC Channels permanent offen halten und bei Aufruf spezielle Funktionen ausführen. Man kann Scripts hinzufügen um die Funktionalität zu erweitern, wie zum Beispiel: Online Games, User und Channel Management, Informationsspeicherung, Channel Mitglieder begrüßen, Botnetzmanagement, Anti-Spam, Datenbereitstellung - und Verteilung, uvm.

2.1.3 Pretty Park

Im Mai 1999 wurde ein in Delphi programmierter Botclient, Pretty Park, entdeckt. Pretty Park hatte mehrere Funktionen und Konzepte, die in den heutigen Bots üblich sind.

Dazu zählen:

Die Möglichkeit den Computernamen, OS Version, User Informationen und andere Systeminformationen zu empfangen Die Möglichkeit nach E - Mails und ICQ Logindaten zu suchen und diese zu empfangen Die Möglichkeit Usernamen, Passwort und Netzwerkeinstellungen zu empfangen Die Möglichkeit die eigenen Funktionen zu aktualisieren. Die Möglichkeit DDoS Attacken durchzuführen

2.1.4 SubSeven Trojan/Bot

In den späten 90er Jahren haben einige Würmer Sicherheitslücken ausgenutzt, damit sie den Client über einen Backdoor kontrollieren konnten. Im Juni 1999, ist die Version 2.1 vom Subseven Trojaner freigegeben worden. Subseven war ein Remote - Control Trojaner, der ebenfalls in Delphi programmiert wurde. Von seinem Autor wurde er als Remote Administrationstool geworben. Sein Toolset enthielt jedoch Funktionen, die ein echter Administrator nicht benutzen würde, wie zum Beispiel die Möglichkeit Passwörter zu stehlen, Tastenanschläge aufzuzeichnen und seine Identität zu verbergen. SubSeven gibt den Botcontroller volle administrative Kontrolle über die kompromittierten Systeme.

2.1.5 GTBot

Ein Botclient, basierend auf mIRC, erschien im Jahr 2000. Er wurde GT (Global Threat) genannt und von Sony, mSg und DeadKode programmiert. mIRC ist ein IRC Client Software Paket. Dieses Programm hat zwei wichtige Eigenschaften für die Botnetzkonstruktion: Es kann Skripts ausführen und unterstützt TCP und UPD Socketverbindungen.

GT Bot hat folgende Funktionen: Port Scanning Er scannt nach offenen Ports. Flooding Die Ausführung von DDoS - Attacken ist möglich. Cloning Ein Clone ist jede, zusätzlich zu der Ersten, hergestellte Verbindung zum IRC Server. BNC (Bounce) Eine Methode um den Zugriff vom Botclient zum Server zu anonymisieren.

Heutzutage werden alle Varianten von Botnetztechnologien, die auf mIRC basieren, zu Mitgliedern der GT Bot Familie gezählt. Diese Botclients haben keinen direkten Mechanismus um sich selbst zu verteilen. Stattdessen benutzen sie verschiedene Varianten von Social Engineering Tricks. Eine übliche Vorgehensweise um ein System zu infizieren sind Phishing Attacken. Bei einer Phishing Attacke will der Angreifer mittels manipulierter Internetseiten an Daten eines Users gelangen. Diese früheren Botclients waren nicht modular, sondern waren in einem Single Package enthalten.

2.1.6 SDBot

SDBot wurde im Jahr 2002 bekannt. Programmiert wurde er von einem russischen Programmierer bekannt als sd. SDBot war ein großer Schritt in der Evolutionskette der Botnetze. Er wurde in C++ geschrieben. Viel wichtiger war aber, dass der Source Code als Open Source Code publiziert wurde. Dies machte ihn für viele Hacker leicht zugänglich. Noch dazu war er leicht zu modifizieren und zu warten. Die Hauptcharakteristik von dem Bot ist die Inkludierung und Benutzung von Remote Control Backdoors. SDBot Familie verteilte sich über mehrere Methoden, wie zum Beispiel:

Abbildung in dieser Leseprobe nicht enthalten

Der Bot nutzt zusätzlich zwei Serverapplikationssicherheitslücken aus: WebDav (Port 80) und MSSQL (Port 1433). Betroffen sind auch Applikationssicherheitslücken: DameWare Remote Management Software (Port 6129) und Imail IMAPD Login Username (Port 143). Noch dazu nutzt er die CISCO IOS HTTP Authorization (Port 80) Sicherheitslücke aus.

Liste von Backdoors die ausgenutzt werden:

Abbildung in dieser Leseprobe nicht enthalten

Wenn ein Exploit erfolgreich ist, dann erstellt der Wurm ein Skript und führt es aus. Dieses Skript veranlasst die Opfermaschine, den SDBot herunterzuladen und auszuführen. Einmal exekutiert, ist das System infiziert. Heutige Botvarianten verbreiten sich auch über Spam Attacken in Instant Messaging (SPIM), CDs, Wechseldatenträger, verseuchte E- Mail Anhänge und versteckte Downloads auf Phishing Seiten.

2.1.7 AgoBot

AgoBot, auch bekannt als Gaobot wurde 2002 entdeckt. Dieser Bot besitzt ein modulares Design und hat signifikante Funktionen inkludiert. Modulares Design bedeutet in diesem Kontext, dass Agobot das System nicht mit dem gesamten Code infiziert, sondern die Infektion in drei Schritten mit drei Modulen erfolgt:

1. Das Initialisierungsmodul beinhaltet den IRC Bot und den Remote Access Backdoor.

3. Modul 3 verhindert, dass der User bestimmte Webseiten erreichen kann (normalerweise Antivirus Webseiten)

Jedes Modul erhält das nächste Modul, wenn es seine Hauptaufgabe erledigt hat. Dieser Aspekt verhindert, dass der Botherder Modul 2 und 3 updaten kann, wenn neue Techniken oder Seiten verfügbar sind. Diese Modulare Updatemöglichkeit lässt die Variationen auf Tausende steigen. Agobot verwendet IRC als C&C Server, verbreitet sich aber über Peer - to - Peer (P2P) File - Sharing Applikationen, wie zum Beispiel Kazaa, Grokster oder Bear Share. Der Botclient kann via IRC befehligt werden, Agobot öffnet aber zusätzlich noch einen Remote Access Backdoor. Agobot bietet folgende Funktionen:

Suche nach Sicherheitslücken

Ausführung von verschiedenen DDoS Attacken

Suche nach CD Keys

Beendet Antiviren und Monitoring Prozesse

Modifiziert die Hosts Datei, um Zugriffe auf Antiviren Webseiten zu verhindern

Versteckt sich mithilfe der Rootkit Technologie

Verwendet Techniken um Reverse Engineering schwieriger zu machen

2.1.8 SpyBot

Spybot ist ein Open Source Trojaner und eine Ableitung von SDbot. Er wurde 2003 bekannt. Spybot fügte Spywarefunktionen hinzu, wie zum Beispiel Sammeln von Webformulardaten, Liste von E - Mail Adressen und eine Liste von besuchten URLs. Zusätzlich kann er sich via File Sharing Applikationen (PnP Apps) sowie durch das Ausnutzen bekannter Sicherheitslücken verbreiten. Weiters wird nach Systemen gesucht, die mit dem SubSeven oder Kuang2 Trojaner infiziert wurden. Ähnlich wie SDbot und Agobot ist auch Spybot modifizierbar. Diese Tatsache machen die Versuche diesen Bot zu erkennen und zu identifizieren schwieriger. Seine Funktionen sind gleichartig mit denen von Agobot, Spybot, Rbot, URbot und URXbot.

Verschiedene Varianten von Spybot haben folgende Funktionen implementiert:

Port Scanning nach offenen Ports

Ausführen von DDoS Attacken

Mit Social Engineering Techniken P2P Users zu verleiten infizierte Dateien herunterzuladen

Keylogger

Inhalte von Windows Clipboard aufzeichnen

Gespeicherte Passwörter finden

Screenshots machen von dem Bildschirmbereich, auf dem ein Mausklick stattgefunden hat

Spamming

Netzwerkdatenverkehr aufzeichnen um Passwörter, Usernamen etc. herauszufinden

Abschalten von Antiviren - und Securityprogrammen

Webcams kontrollieren

Moderne Exploits scannen, wie zum Beispiel:

Microsoft Windows Local Security Authority Service Remote Buffer Overflow (MS04-011)

Microsoft Windows SSL Library Denial of Service (MS04-011)

Microsoft Webdav Buffer Overrun (MS03-007)

Beagle

MyDoom

Netdevil

OptixPor

Uvm.

2.1.9 RBot

RBot trat 2003 das erste Mal in Erscheinung. Microsoft berichtete im Juni 2006, dass die RBot Familie mit 1.9 Millionen infizierten PC’s, der am meist verbreitete Bot ist. Er ist ein Backdoor Trojaner mit einer IRC C&C Struktur. Rbot hat die Idee eingeführt ein oder mehrere Verschlüsselungstools (zum Beispiel Morphine, UPX, ASPack, PESpin, EZIP, PEShield, PECompact, FSG, EXEStealth, PEX, MoleBox, Petite) einzusetzen. Dieser Bot scannt nach Systemen auf denen die Ports 139 und 445 offen sind, also nach Systemen mit offenen Microsoft Shares. Wurden die Sicherheitseinrichtungen auf einem System umgangen, versucht er schwache Passwörter zu erraten. Es wird eine Default Liste oder eine Liste, die von dem Botherder bereitgestellt wird, verwendet. RBot versucht eine Liste von User, die auf dem Zielsystem existieren, zu generieren. Funktioniert dies nicht wird eine Default Liste mit User und Passwörter oder eine Liste von User - und Passwortkombinationen, die auf anderen Systemen gefunden wurden, verwendet.

2.1.10 PolyBot

PolyBot wurde im März 2004 entdeckt und ist eine Ableitung von Agobot. Er ist nach seiner polymorphen Eigenschaft bzw. nach der Möglichkeit in vielen verschieden Formen aufzutreten, benannt. Wird ein System infiziert, so ändert er seinen Code, indem er den Kompilierten Code in eine „Hülle “ einkapselt.

2.1.11 MYTOB

Mytob ist im Februar 2005 in Erscheinung getreten. Der Bot ist als „hybrider Bot“ charakterisiert, da er den Source Code für E - Mail Spamming von MyDoom hat und IRC

- Funktionalitäten besitzt. Der zweite Teil von Mytob „tob“ ist „bot “ rückwärts geschrieben. Mytob benutzt Social Engineering und gefälscht E - Mail Adressen, hat seinen eigenen SMTP Client und besitzt ähnliche C&C Funktionen wie Spybot.

2.1.12 MetaFisher

MetaFisher ist einer der wichtigsten Codes gewesen die 2006 aufgetaucht sind. Dieser Bot wendet eine „Pull “ Technik als Web - Based C&C Server an. Er attackierte mehrere Banken in drei verschiedenen Ländern und führte Man - in - the - middle Angriffe aus um sensible Informationen für finanzielle Zwecke zu stehlen.

2.1.13 Storm Worm

Der Storm Worm war ohne Zweifel die bekannteste Internetgefahr 2007. Das erste Mal trat er als Trojaner, der zu einer Unmenge an Usern im Januar 2007 gemailt wurde, auf. Innerhalb weniger Tage wurden die restlichen verschiedenen Codes aktiviert, heruntergeladen und installiert. Dies ließ die wahre Absicht der Attacke ans Tageslicht kommen: Privates P2P Netzwerk als C&C, DDoS Attacken, Rootkit Schutz und Informationsdiebstahl von infizierten Systemen.

2.2 Täter im Hintergrund

2.2.1 Thr34t_Krew

Im Februar 2003 wurden Andrew Harvey und Jordan Bradley, zwei Autoren von dem TK Wurm (eine GT Bot Variante), in Durham (Großbritannien) verhaftet. Diese zwei Männer waren Mitglieder von der internationalen Hacking Gruppe „Thr34t_Krew “. Sie wurden wegen unerlaubter und absichtlicher Modifikation von mehreren Systemen im Zeitraum von 31.Dezember 2001 bis 7.Februar 2003 angeklagt. Der Schaden, der von dem Wurm angerichtet wurde, ist auf 5.5 Millionen Pfund ($11 Millionen) geschätzt worden. TK Wurm hat eine übliche Unicode Sicherheitslücke im Internet Explorer ausgenutzt und hat über 18.000 PCs infiziert.

2.2.2 Axel Gembe

Axel Gembe, ein 21 - Jähriger Hacker, ist der Autor von Agobot. Er wurde am 7.Mai 2004 in Deutschland, Baden - Württemberg verhaftet. Der Hacker wurde wegen dem Erstellen von Schadcode angeklagt. Gembe gab zu, dass er bei der Entwicklung des Bots im Oktober 2002 mitverantwortlich war. Fünf weitere Hacker wurden angeklagt.

2.2.3 Jay Echouafni, Jeanson James Ancheta

Der erste U.S. Kriminalfall im Zusammenhang mit Botnetzen wurde im November 2005 vor Gericht prozessiert. Der 21 - jährige Jeason James Ancheta (auch bekannt als Re- sili3nt) von Downey, Kalifornien, wurde zu 5 Jahren Haft und zu einer Geldstrafe von $57.000 verurteilt. Anklagepunkte waren unter anderem Spammingaktivitäten und das unerlaubte Eindringen in fremde Computersysteme. Ancheta verkaufte auch mehrere Tausende von seinen Zombies. Als Zombies werden die infizierten Clients bezeichnet. Er benutzte auch seine 400.000 Zombies um Klicks zu erzeugen („Clicks for Hire“). Weiters erhielt er $100.000 von Unternehmen, indem er Adware auf anderen Systemen installierte.

2.2.4 Anthony Scott Clark

In Dezember 2005 wurde Anthony Scott Clark, von Oregon, für schuldig gesprochen. Angeklagt wurde er, da er mehrere tausende Computer infizierte und diese für eine DDoS Attacke benutzt hat. Ein Auszug aus der DOJ Presse: „From July through August 2003, Mr. Clark participated with several others in DDoS attacks on the Internet against eBay, Inc. and other entities.“

Clark und seine Komplizen infizierten ca. 20.000 Hosts mit einem Wurm, der die Windows Sicherheitslücke „Remote Procedure Call for Distributed Component Object Model (RPC - DCOM) “ ausnutzte. Die kompromittierten Systeme wurden zu einem passwortgeschützten IRC Server geleitet, von dem sie Anweisungen bekamen. Herr Clark persönlich gab seiner Botarmee den Befehl eine DDoS Attacke gegen EBay auszuführen.

2.2.5 Christopher Maxwell

Botnetze können unbeabsichtigten Schaden anrichten. Genau dies war der Fall bei dem 20 - jährigen Christopfer Maxwell, auch bekannt als „donttrip“, von Kalifornien. Er wurde im Jänner 2005 schuldig gesprochen. Sein Botnetz hat bei der Suche nach weiteren Systemen, um diese zu infizieren, das Netzwerk vom Krankenhaus in Seattle befallen. Der plötzlich ansteigende Datenverkehr, der durch das Scannen auftrat, unterbrach die normale Kommunikation. Dies hatte zur Folge, dass Türen zu Operationsräumen nicht mehr aufgingen, Pagers nicht funktionierten und Computer in der Intensivstation zusammenbrachen. Sein Botnetz umfasste über eine Millionen Bots. Auch mit Adware verdiente er Geld. Maxwells’s Bots zerstörten 400 Computer von der Deutschen Department of Defense (DoD). Er und seine Freunde mussten eine Entschädigung in der Höhe von $252.000 zahlen und wurden zu 37 Monate Haft verurteilt.

Kapitel 3 Einführung in Botnetze

Bots, Kurzform für „robots“, waren anfangs nützliche Tools ohne bösartigen Hintergrund. Sie wurden ursprünglich als virtuelle Arbeitskraft erfunden, die Dinge in einem IRC Channel erledigten, wenn der Operator anderweitig beschäftigt war. Der Ausdruck Botnetz setzt sich aus „robot networks“ zusammen. Bots können, abhängig von deren Verwendung, in „Gute“ und „Schlechte“ Bots klassifiziert werden. Die „guten Bots“ wurden dazu entwickelt, um legale Aufgaben mit legalen Funktionen zu erledigen. Im Laufe der Zeit wurden sie jedoch von den „bösen Bots“ überschattet. Trojanische Pferde, welche bösartige, nicht selbstreplizierende Computerprogramme sind, haben den Beginn von kriminellen Aktivitäten im Zusammenhang mit Schadcode markiert.

Viele Trojaner gaben dem Autor die komplette Kontrolle über einen Computer. Sie inkludierten ein File Management und eine Keylogging Funktion zum Stehlen von Kreditkartennummern, Online Account Informationen, Software Lizenzschlüssel und mehr. Trojaner liefern dem Angreifer eine Menge von Informationen, die für den finanziellen Nutzen brauchbar sind. Der nächste große Schritt wurde von den bösartigen Bots gesetzt. Sie sind eine Mischung aus einem RAT (Remote Access Trojans) und einem Wurm, stellen dem Angreifer also Remote Access und die Möglichkeit sich wie ein Wurm zu verbreiten bereit.

Die frühen Botentwicklungen fingen in kleinen, simplen Projekten an. Einige wurden nicht veröffentlicht, andere hingegen waren Open Source, wie zum Beispiel SDBot und RBot. Diese Sources wurden über die Zeit hinweg verbessert und erweitert.

Unterschiede zwischen Bots und Trojaner:

Bots sind automatisierter und haben eine bessere Skalierbarkeit

Bots haben eine größe Community

Die meisten Botherder sind technischer kompetenter

Botherder sind progressiver in der Entwicklung von neuen Exploitcodes (vgl. [Dun09])

Die Angriffsautomatisierung ist der Hauptunterschied zwischen Bots und Trojaner. Eine Schwierigkeit für den Botherder ist das Verwalten von der großen Menge von Informationen und Daten, die er von den Clients erhält. Aus diesem Grund wurden die Keylogging Funktionen und die Back-End Datenbanken verbessert.

Die Community veränderte sich vom Stehlen von Webcambilder zum Stehlen von sensiblen Daten, wie zum Beispiel Kreditkartendaten.

3.1 Was ist ein Botnetz?

Um von einem Botnetz sprechen zu können müssen folgende zwei Kriterien erfüllt sein:

1. Der Hacker muss in der Lage sein dem Client Befehle ausführen zu lassen, ohne dass sich der Angreifer in das Betriebssystem (Windows, Unix, Mac etc.) einloggen muss.

2. Mehrere Clients müssen in der Lage sein, in einer koordinierten Art und Weise Befehle entgegenzunehmen und auszuführen, um ein gemeinsames Ziel zu erreichen. Dieser Vorgang darf nur wenig oder gar keine Intervention von dem Hacker verlangen. (vgl. [Sch07])

Erfüllt eine Sammlung/Menge von miteinander vernetzten Computern diese Kriterien, dann handelt es sich um ein Botnetz.

Ein Botnetz ist die Zusammenführung von mehreren Bedrohungen. Das typische Botnetz besteht aus einem Bot Server (meistens ein IRC - Server) und ein oder mehreren Botclients (siehe Abbildung 3.1). Botnetze mit einer Größe von mehreren Hunderten oder ein paar Tausenden Botclients (auch Zombies oder Drones genannt) sind kleine Botnetze. Bei solch einem Umfang kommuniziert der Botherder mit den Clients meistens über einen IRC Channel[3] auf einem Remote Command and Control (C&C) Server.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.1: Ablauf eines DDoS - Angriffes (vgl. [Sch07])

1. Im Schritt 1 tritt der Client einen vordefinierten IRC Channel auf einem IRC Server bei und wartet auf Befehle.
2. Schritt 2 besteht darin, dass der Botherder eine Nachricht/Befehl an den IRC Server schickt, die jeder Client empfangen soll.
3. Im Schritt 3 empfängt der Client den Befehl über einen IRC Channel.
4. Im Schritt 4 führen die Zombies den Befehl aus, in diesem Fall ein DDoS (Distributed Denial of Service) Angriff gegen ein bestimmtes Ziel.
5. Im nächsten Schritt berichten die Clients dem Botherder die Ergebnisse der Attacke.

Diese Anordnung ist für Hacker „angenehm“, da weder deren Computer die Aktionen ausführen noch der IRC Channel sich auf ihrem PC befindet. Um ein Botnetz zu stoppen, ist es erforderlich den Hacker vom IRC Server und diesen vom Client zurückzuverfolgen. Um dies zu verhindern, haben Hacker einen weiteren Layer an Komplexität hinzugefügt. Die Befehle werden durch einen Proxy und mehreren Hops geschickt bevor sie zum IRC Channel gelangen. Befindet sich einer dieser Komponenten noch dazu in einem anderen Land, dann ist es schwierig den Botherder zurückzuverfolgen. Noch dazu gibt es Botcodes die Kommandos inkludieren, um Beweise zu vernichten und den Traffic zu verschlüsseln. Moderne Botnetze sind wie echte Armeen organisiert. Es gibt Divisionen von Zombies die von verschiedenen Botservern kontrolliert werden. Der Botherder kontrolliert mehrere Botserver, mit denen er wiederum mehrere Divisionen von Zombies kontrolliert. Wenn also ein Channel zerstört wird, verliert er nur eine Division von Zombies, die anderen können weiterhin benutzt werden.

3.1.1 Finanzielle Aspekte von Botnetzen

Botherder sehen das Internet als Spielplatz für illegale Aktivitäten und als Markplatz mit unbegrenzten Möglichkeiten, um auf kriminelle Weise Geld zu verdienen. Jeder Zombie repräsentiert eine Vielzahl an finanziellen Gewinnmöglichkeiten.

Einige davon sind:

DDoS Angriffe

Informationsdiebstahl, wie zum Beispiel Kreditkartendaten etc.

Diebstahl von Onlineaccountinformationen, wie zum Beispiel E-Mail Accounts für Spam, Gaming Accounts zum Verkaufen oder manipulieren von virtuellen Güter.

Diebstahl von Lizenzschlüssel zum illegalen Verkaufen von Software auf dem Schwarzmarkt Gezielte Attacken auf Netzwerke, Personen Botnetze sind derzeit eines der schwerwiegendsten Gefahren im Internet.

3.1.2 Modulares Design

Modular designte Bots sind vielfältige Tools, die für ein Maximum an Profit sorgen. Attacken bestehen nicht länger aus einem individuellen Virus oder Wurm, sondern aus mehreren Codemodulen, jeder für eine spezielle Funktion. Zum Beispiel die Installationen von Windows Rootkits um Malware im System zu verstecken, Keylogger um Account -, Kreditkarteninformationen etc. aufzuzeichnen, ein Browser Helper Object (BHO) um dem Angreifer Informationen über das Surfverhalten zu schicken. Bots werden über mehrere Infektionsvektoren installiert. Dazu gehören Userinteraktionen, Social Engineering, geheime Codeausführung durch eine Webbasierte Schwachstelle, Bruteforce Attacken gegen schwache Passwörter etc.

3.1.3 Botnetz - Management

Die Gefahr eines Botnetzes ist nicht äquivalent mit der Anzahl der infizierten Clients, viel mehr kommt es darauf an, wie der Botherder seine Armee von Zombies verwaltet. Ein sehr großes Botnetz, welches schlecht verwaltet wird, stellt nicht annähernd so eine große Gefahr da, wie eines, das sehr gut verwaltet wird. Wichtig ist, wie der Angreifer seine Ressourcen handhabt.

In folgender Liste werden eine paar Techniken erläutert, mit denen ein besseres Management des Botnetzes möglich ist:

1. Mehrere Varianten des Bots erstellen. Jeder soll so designed sein, dass er über einen unterschiedlichen Server kontrolliert werden kann. Dies vermeidet zum Einen, dass eine große Distribution des Bots erkannt wird, zum Anderen werden viele kleine Varianten des Bots nicht durch ein einziges Signaturen - Update von den Anti - Viren Programme erkannt.
2. Den Server so konfigurieren, dass nach einer Attacke neuer Code auf den Zombies installiert wird. Wenn der Originalbot erkannt und gelöscht wird, bleibt der neue unbekannte Code auf dem Client vorhanden. Dadurch hat der Botherder noch die Kontrolle über diesen.
3. Web-based Command and Control Server erstellen und benutzen. Dies verbessert die Skalierbarkeit von Botnetze.

Die Botherder haben ihre Ressourcen in mehrere kleine Botnetze aufgeteilt. Das bedeutet auch, dass mehrere kleinere Botnetze ein Ziel angreifen. Diese Strategie erhöht die Überlebensfähigkeit eines Angriffes, da dieser von mehreren Botnetzen, die sich auf mehreren Servern befinden, ausgeführt wird. Zusätzlich hilft dies, dass Botnetzoperationen verborgen bleiben. Bots werden so konzipiert, dass sie schnell neue Exploits integrieren können (Plug - and - Play Aspekt von Botnetzen).

3.2 Botnetzeigenschaften

Von Anfang an haben Bots Malware Autoren mit mehr Automation, Kontrolle und Angriffsstärke versorgt, als ein normaler Trojaner und andere Attacken. Die Veröffentlichung von diversen Bot Source Codes hat die Internetkriminalität stark verändert. Die Anzahl der Kriminellen steigt an und diese sind bewaffnet mit gefährlichen Source Codes. Binnen kurzer Zeit entwickeln sie mehrere Modifikationen eines Bots.

3.2.1 Modularer Programmaufbau

Die wichtigste Eigenschaft von Botnetzen ist ihre Flexibilität aufgrund ihrer modularen Struktur. Neue Exploits für neue Schwachstellen können innerhalb kürzester Zeit zu bestehenden Modulen eingefügt werden. Wenn solche Module für das Einfügen neuer Exploits oder Ressourcen nicht existieren würden, dann wäre diese Gefahr weitgehend eliminiert, da viele Angreifer nicht das technische Wissen aufbringen um neue Module und Funktionen zu entwickeln.

3.2.2 (Gezielte) Verbreitungsmöglichkeiten

Modular basierende Bots bieten dem Botherder eine detailgenaue Kontrolle, wie die Malware sich in der „Wildnis“ verbreitet. Botmaster können bestimmte IP Ranges oder geographische Gebiete auswählen, in denen sich ihr Bot verbreiten soll.

3.2.3 „Botnet degradation“

Botnetze brechen fortwährend zusammen und erfordern laufende Wartung von dem Botherder. „Botnet degradation“(Deutsch: Botnetz Abbau) ist ein wichtiger Faktor, den Cyber - Kriminelle zu beachten haben, wenn sie ihre illegalen Aktivitäten planen und ausführen. Dies ist zu einem andauernden Wettkampf geworden.

3.3 Botnetz - Statistiken

Infizierte Rechner

Der niedrigste Preis für einen Bot betrug 2008 $0.04 (vgl. [Fos09]). Dies ist eine starke Verminderung im Vergleich zum Jahre 2007, in dem der günstigste Bot noch $1 kostete.

Im Jahr 2008 wurden von Symantec 75.158 aktive Bots pro Tag verzeichnet. Im Vergleich zu 2007 bedeutet das eine Steigerung von 31 Prozent. Die Zahl der Bot - infizierten Rechner ist 9.437.536, eine 1 Prozentige Steigerung zum Jahr 2007.

Folgende Abbildung gibt eine Übersicht über die aktiven Bots pro Tag im Zeitraum von 3. Jänner 2007 bis 31. Dezember 2008.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.2: Statistik der aktiven Bots von 3.1.2007 bis 31.12.2008 (vgl. [Fos09])

Command and Control Server 2008 wurden 15.197 neue C&C Server von Symantec identifiziert. Die vorhin erwähnte Zahl der aktiven Bots pro Tag von 75.158 ist um ein Vielfaches höher als die identifizierten C&C Server, da sich auf einem Server mehrere Bots verbinden. Von diesen 15.197 waren 43 Prozent traditionelle IRC Server und 57 Prozent HTTP Server (siehe Abbildung 3.3).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.3: Statistik über die verwendeten C&C Server (vgl. [Fos09])

Botherders verwenden immer weniger IRC basierte Botnetze da diese leichter zu entdecken, zu filtern, aufzuspüren und zu blocken sind als HTTP basierte Botnetze. Der Grund dafür ist, dass der nicht legitime HTTP Datenverkehr von dem Botnetz als legitimer HTTP Datenverkehr getarnt werden kann.

Weiters wurden 2008 im Durchschnitt 42 neue aktive C&C Server entdeckt, von denen 18 IRC Server waren und 24 HTTP Server.

Folgende Grafik zeigt die aktiven C&C Server pro Tag.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.4: Statistik über die aktiven C&C Server (vgl. [Fos09])

3.4 Lebenszyklus eines Botclients

Botnetze durchlaufen gleichartige Schritte bei ihrer Entstehung. Diese Schritte können als ein Lebenszyklus charakterisiert werden. Ein typischer Lebenszyklus eines Botclients ist in Abbildung 3.5 zu sehen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.5: Lebenszyklus eines Botclients (vgl. [Sch07])

3.4.1 Exploitation

Wird ein Rechner infiziert, so wird er zu einem Mitglied eines Botnetzes. Ein potenzieller Client kann via Schadcode, den der Hacker in das laufende System eingeschleust hat, Attacken gegen ungepatchte Sicherheitslücken, Backdoors, die von anderen Trojanern hinterlassen wurden und Bruteforce Attacken infiziert werden.

Schadcode

Beispiele für diesen Typ von Exploit sind:

Phishing: Der User wird auf eine gefälschte Webseite navigiert, um sensible Daten, wie zum Beispiel die Bankdaten oder andere Accountinformationen zu erfragen. Diese Strategie ist sehr effektiv, da man Botclients nach bestimmten Auswahlkriterien filtern kann. Zum Beispiel: Es werden nur Clients infiziert, die Kunden einer bestimmten Bank sind.

Websites: Besucht ein User diese Website, so wird auf dem System ein Trojaner oder sonstige Malware installiert

E - Mail Anhänge, die Schadcode beinhalten

Spam in Instant Messaging (SPIM). Zum Beispiel erhält man eine Nachricht von einem bekannten Absender die einen Link auf eine Website enthält. Besucht man diese Website wird Schadcode heruntergeladen und ausgeführt.

Angriffe auf Sicherheitslücken

Um die Verbreitung (engl.: spreading) über einer Attacke gegen nicht geschlossene Sicherheitslücken zu unterstützen, beinhalten viele Zombies eine Scanningfunktion. Mit diesem Scanning Tool wird zuerst nach offenen Ports gescannt. Wissen sie über die offenen Ports der einzelnen Systeme Bescheid, nehmen sie diese Liste und benutzen Sicherheitslückenspezifische Tools um die Clients nach den Sicherheitslücken, die durch die Ports assoziiert werden, zu scannen. Auch Google wird benutzt um nach Systemen mit offenen Sicherheitslücken zu suchen. Dieses gezielte Suchen nach solchen Systemen wird als „Google Hacking“ bezeichnet. Zum Beispiel findet man mit dem Suchstring „intitle:phpMyAdmin „Welcome to phpMyAdmin ***rrunning on * as root@*““ phpMyAdmin Installationen, die so konfiguriert sind, dass eine MySQL Datenbank mit Root Rechten läuft. Die Modularität der Botnetze ermöglicht den Botherdern das Integrieren eines neuen Exploits in das Scanning Tool innerhalb kürzester Zeit. Regelmäßiges Patchen des Systems ist der beste Schutz gegen diese Art von Angriffen. Weiters bieten eine Firewall und ein Intrusion Detection System zusätzlichen Schutz. Ist das System infiziert, kann das Antivirenprogramm den Code entdecken, oder der Code versteckt sich oder deaktiviert das A/V - Programm bevor er entdeckt wird.

Beispiele für Sicherheitslücken, die von Bots benutzt werden, sind:

Remote Procedure Call (RPC)

Distributed Component Object Model (DCOM)

File shares on Port 445

NetBios (Port 139)

MSSQL (Port 1433)

DCOM (Port 135, 1025)

uvm.

Mit den oben genannten Sicherheitslücken ist es dem Angreifer möglich, Schadcode auf dem Zielsystem auszuführen.

Backdoors von Trojaner

Einige Botnetze suchen nach Backdoors, die von Remote Access Trojans hinterlassen wurden. Mit RAT’s kann man einen Computer, ohne Wissen des Eigentümers, kontrollieren. Da sie leicht zu bedienen sind, haben User mit wenig technischem Wissen, diese Trojaner in ihren Defaulteinstellungen übernommen. Das heißt, jeder der das default Passwort kennt, kann den infizierten PC übernehmen.

Beispielbackdoors nach denen Bots suchen:

Optix Backdoor (Port 3140)

Bagle Backdoor (Port 2745)

Kuang Backdoor (Port 17300)

Mydoom Backdoor (Port 3127)

NetDevil Backdoor (Port 903)

SubSeven Backdoor (Port 27347)

Zufallspasswörter generieren und Bruteforce Attacken

Bots erhalten den Zugriff auf die Workstation durch Passwort raten und Bruteforce Attacken. Dazu wird eine Liste mit den User Accounts auf dem Computer benötigt. Wenn diese nicht erstellt werden kann, wird eine Default Liste benutzt, die zum Beispiel folgende Usernamen beinhaltet:

Administrator

Administrador

Admins

Admin

Staff

Root

Teacher

Student

Owner

Oracle

Uvm.

Sobald das Passwort für einen Account erraten wurde, kann sich der Bot als legitimer

User einloggen.

3.4.2 Rallying und Botnetzclient sichern

Das erste Einloggen des Botclients in den C&C Server wird als Rallying bezeichnet. Der Login kann verschlüsselt werden oder eine Authentifizierung erfordern. Dies verringert die Möglichkeit für andere die Kommunikation abzuhören. Ist der Botclient in den Server eingeloggt, kann er Updates empfangen. Solche Updates können Exploit Software, Liste von C&C Servernamen, IP Adressen und/oder Channelnamen sein. Dies stellt sicher, dass der Client managebar ist und wiederhergestellt werden kann, wenn der C&C Server vom Netz genommen wird. Nach dem Rallying muss der neue Client vor ungewollter Entfernung und Entdeckung geschützt werden. Um dies sicherzustellen ist es dem Zombie möglich, Software von dem C&C Server herunterzuladen, die das Antivirenprogramm löscht, den Schadcode davor versteckt oder es ineffektiv macht.

Rbot verwendet ein Batch - File um Antivirensoftware zu deaktivieren:

Listing 3.1: Deaktivierung von AV - Software

Natürlich wird es einem aufmerksamen User auffallen, wenn das AV - Programm deaktiviert wird. Deshalb starten einige Botclients ein .dll File, welches das AV - Programm wirkungslos in Bezug auf den Client macht. Es arbeitet nach außen hin normal, aber weder erkennt es noch berichtet es Dateien, die sich auf den Bot beziehen. Auch die Hosts Datei wird oft so manipuliert, dass ein Verbindungsversuch zu einem AV

- Hersteller für ein Update nicht funktioniert. Weiters wird ein Rootkit installiert, um den Schadcode vor dem Betriebssystem und/oder Tools zu verstecken, die Botclients aufspüren.

Eine weitere übliche Maßnahme besteht darin, das System auf weiteren Schadcode bzw. ehemalige Eindringlinge zu prüfen. Weiters werden dem Botherder Informationen über das System geschickt. Es kann nützlich sein die Clients nach Festplattenspeicher, Prozessorgeschwindigkeit, Netzwerkgeschwindigkeit etc. zu kategorisieren. Um diese oben genannten Schritte durchzuführen verwendet Rbot eine Batchdatei namens find.bat. Dieses .bat File ist im Anhang A3 zu finden.

3.4.3 Anweisungsentgegennahme und Updateinstallation

Ist der Botclient abgesichert, hört er auf den IRC Channel am C&C Server. Jede Botnetzfamilie hat einen Satz von Befehlen, auf die der Zombie reagiert. Die primäre Funktion des Botclients kann durch Updateinstallationen geändert werden.

Beispielbefehle:

Downloading and Updating

(Updatelup) [url] [botid]

(downloadldl) [url] [runfile] [crccheck] [length]

Execute programs locally

(executele) [path]

(findfilelff) filename (renamlmv) [from] [to]

Findefilestop

Kapitel 4 Botnetzaktivitäten

Ein Botnetz ist eine Menge von vernetzten Rechnern, also eine Gruppe von Software Bots, die miteinander verbunden sind. Botnetze können alles machen, was man sich mit einer Menge von vernetzten Rechnern vorstellen kann.

4.1 Infizierung von Clients

Eine fundamentale Aufgabe eines jeden Zombies besteht darin, weitere Clients zu infizieren, damit das Botnetz möglichst schnell expandiert. Eine Möglichkeit dies zu bewerkstelligen besteht darin, nach potentiellen Opfern zu scannen. Der Client kann mit einem Tool ausgestattet sein um den Netzwerkverkehr nach Passwörtern zu sniffern. Die Zombies benutzen spezielle „Passwortgrabber“, die gerade genug Traffic aufnehmen um den Usernamen und das Passwort herauszufinden. Mit Programmen wie zum Beispiel „Lopht Crack“ können sie die Passwörter aus der SAM - Datenbank ausfindig machen. Verschlüsselte Passwörter werden auch zu schnelleren Botclients geschickt, damit diese eine Bruteforce Attacke ausführen oder die Verschlüsselung aufheben. Entdeckt der Botherder einen Client der den Datenverkehr zum Server verschlüsselt, dann hat er die Möglichkeit eine Man - In - The - Middle (MITM) Attacke durchzuführen (siehe Abbildung 4.1 und 4.2).Ein sehr gutes Tool für die Realisation dieses Vorhabens ist „Cain & Abel “.

Mithilfe von ARP (Adress Resolution Protocol) ist die Zuordnung von IP - Adresse und MAC - Adresse möglich. Diese Zuordnung wird in der sogenannten ARP Tabelle hinterlegt.

Abbildung 4.1 weist folgende Struktur auf:

Abbildung in dieser Leseprobe nicht enthalten

IP-Adressen: 192.168.1.2, 192.168.1.3, 192.168.1.4

In den ARP Tabellen der Clients ist die Zuordnung „00:0F:1F:4E:0F:0F 192.168.1.1“ korrekt eingetragen. Dieser Eintrag bedeutet, dass der Rechner mit der MAC - Adresse 00:0F:1F:4E:0F:0F die IP - Adresse 192.168.1.1 besitzt und umgekehrt. Diese Zuordnung bedeutet, dass die Clients ihre Daten an den Gateway senden.

Ziel des Angreifers ist es nun, mit gefälschten ARP Paketen, diesen Eintrag in den ARP Tabellen der Clients so zu manipulieren, dass der Datenverkehr über seinen Rechner fließt. Dies bewerkstelligt er, in dem er die MAC - Adresse der Zuordnung „00:0F:1F:4E:0F:0F 192.168.1.1“ auf seine MAC - Adresse ändert, die IP - Adresse jedoch unverändert bleibt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4.2: ARP Poisoning Nachher (vgl. [Sch07])

Wie in Abbildung 4.2 zu sehen ist, wurde die MAC - Adresse in den ARP Tabellen der Clients auf die MAC - Adresse des Angreifers geändert („00:14:22:5B:B7:38 192.168.1.1“).

Nun senden die SSH Clients ihre Daten an den Angreifer weiter, der sie wiederum an den Router weiterleitet (siehe Abbildung 4.2).

4.2 DDoS

Die erste schädliche Nutzung von Botnetzen war die Ausführung einer Distributed Denial of Service Attacke (siehe Abbildung 3.1). Ziel einer solchen Attacke ist es, dass das Opfer keine Dienste oder diese nur noch sehr langsam anbieten kann. Die Dauer eines solchen Angriffes hängt von der Fachkompetenz und der Erfahrung des Hackers und des Administrators ab. Mögliche Zeitintervalle liegen zwischen ein paar Sekunden bis hin zu mehreren Tagen oder Wochen. Im Zusammenhang einer solchen Attacke verlangt der Hacker meistens ein Erpressungsgeld zur Beendigung des Angriffes.

[...]