Open Source im professionellen Einsatz
Linux-Magazin 05/2017
© Michael Gellner, 123RF

© Michael Gellner, 123RF

Ein Kriegstagebuch auf der 24. DFN-CERT-Sicherheitskonferenz

Wettrüsten im Olymp

Wo Millionen Dollar locken, da stecken Kriminelle nach einem Rückschlag nicht gleich auf. Gegen findige Forscher im Verbund mit dem FBI zogen sie am Ende schließlich aber doch den Kürzeren.

748

Nimmt man es genau, begann die Geschichte dieser Jagd bereits 2007. In diesem Jahr tauchte nämlich zum ersten Mal der vertrauliche Daten stehlende Trojaner Zeus auf. Er bildete Botnetze, die zentrale Command- und Controlserver steuerten (Abbildung 1). Bald kamen ihm allerdings Sicherheitsexperten auf die Schliche, untersuchten den Trojaner gründlich und blockierten seine zentralen Server. Da schien das Botnetz Zeus zum ersten Mal besiegt. Aber es gab nicht auf.

Abbildung 1: Das ursprüngliche Botnetz wurde von zentralen Command- und Control-Servern gesteuert. Damit gab es sich eine Blöße, denn wenn es gelang, den zentralen Knoten zu blockieren, war das Netz lahmgelegt. Jeder Kreis ist ein Bot, im Zentrum der C&C-Server.

Das Botnetz mutiert

Stattdessen entwickelte es sich unter dem Evolutionsdruck weiter – zu Zeus Game-over, einem Peer-to-Peer-Botnetz ohne zentrale Instanz (Abbildung 2). An deren Stelle führte nun, ab 2011, jeder Knoten eine Liste seiner Nachbarn und gab Anweisungen an diese Nachbarn weiter. Die kontaktierten in derselben Weise ihre Nachbarn und so weiter, bis das Kommando schließlich alle Knoten des Netzes erreicht hatte. Eine Zentrale, die leicht aus dem Verkehr zu ziehen wäre, gibt es seither nicht mehr, der Kommandant versteckt sich unter den Soldaten.

Abbildung 2: In einem stark vermaschten Netz, bei dem viele Knoten mit vielen Nachbarn kommunizieren, legt der Ausfall eines Knotens nicht mehr das gesamte Netz lahm. Jeder Kreis im Bild steht für einen Knoten oder Bot.

An diesem Punkt stieg Professor Christian Rossow in die Geschichte ein, die er im Rahmen einer Keynote auf der 24. Konferenz des DFN-CERT Mitte Februar in Hamburg zum Besten gab. Zusammen mit einem Forscherteam machte er sich Gedanken, wie das mutierte und nun dezentrale Zeus-Botnetz zu stoppen wäre. Dabei entdeckten sie die Nachbarschaftslisten als Achillesferse der Bots und entwickelten den Plan, diese Listen mit Einträgen zu überschwemmen, die alle auf Rechner der Forscher verweisen sollten.

Das gelang nach Reverse Engineering des Schädlings mit einem dabei entdeckten Update-Kommando, das die Zeus-Knoten dazu brachte, nach und nach die Adressen in ihrer Nachbarschaftsliste durch solche zu ersetzen, die ihnen die Forscher unterschoben. Nach einiger Zeit gaben die allermeisten Botnetzknoten unfreiwillig die Kommandos an die Rechner ihrer Gegner weiter. Es bildete sich ein Sinkhole (Senkloch). So liefen die Anweisungen an die Bots ins Leere und ihr Netz war zum zweiten Mal besiegt.

Das Reverse Engineering hatte übrigens ans Licht gebracht, dass es auch ein Uninstall-Kommando gab, das den Knoten gewissermaßen zum Harakiri gedrängt hätte. Zwar musste das Kommando mit einem privaten Key des Botmasters signiert sein, aber eine Replay-Attacke hätte funktioniert. Da es aber geschehen könnte, dass der Zielrechner sich dabei aufhängt oder abstürzt, war den Forschern das Risiko zu groß: Was passiert, wenn ein wichtiger Rechner in einem Krankenhaus oder Atomkraftwerk plötzlich abstürzt, nur weil die Sicherheitsexperten dem darauf liegenden Trojaner die Selbstvernichtung befohlen hatten?

Zweiter Anlauf

Der Erfolg dank der manipulierten Nachbarschaftslisten war nicht hundertprozentig vollständig. Es blieben unerreichte Knoten übrig, und die Kriminellen, an ihrer Spitze vermuten Sicherheitsexperten den russischen Hacker Jewgeni Michailowitsch Bogatschow, steckten nicht auf. Stattdessen ging das Wettrüsten in die nächste Runde.

Zeus implementierte als Gegenmaßnahme schwarze Listen für unerwünschte Nachbarn und einen Mechanismus, der nur noch wenige Nachbarn aus ein und demselben Subnetz erlaubte. Die Rechner, auf die die Sicherheitsexperten die Kommandos umgeleitet hatten, stammten freilich aus nur wenigen Netzen. Nun waren sie aus dem Spiel.

Auch die Anti-Zeus-Fraktion war noch nicht am Ende ihres Lateins. Sie schmuggelten zunächst weniger falsche Knoten in die Nachbarschaftslisten, brachten dafür aber die verbliebenen echten Knoten dazu, statt ihrer IP-Adresse den ebenfalls hinterlegten Port zu ändern. Wieder gelang das durch ein untergeschobenes Update, diesmal mit der IP-Adresse eines echten Knotens als Absender. Mit der neuen Portangabe waren diese Knoten danach nicht mehr erreichbar und Zeus deaktivierte sie deshalb selbst.

Wieder brach das Botnetz zusammen, doch wieder hatten Bogatschow und seine Malware-Programmierer nach einiger Zeit darauf eine Antwort: Unter anderem führten sie diesmal automatische Blacklists ein, die selbstständig solche Knoten aussperrten, die viel Traffic erzeugten. Das traf die von den Sicherheitsexperten kontrollierten Knoten, wenn sie durch Crawling das Botnetz erkundeten. Und damit, so schien es zunächst, sollten die Angreifer das letzte Wort behalten.

Die Forscher unternahmen vorerst keinen neuen Anlauf mehr, veröffentlichten aber ihre gesammelten Erkenntnisse in einem Fachjournal, Rossow sprach auch im Mai 2013 in San Francisco auf der IEEE Security and Privacy, einer der wichtigsten Computersicherheits-Konferenzen der Welt, über den Fall.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.