URL dieser Newsmeldung:

Wie angekündigt geht es diese Woche um die bereits in About Security #63 erwähnten Botnets. 'Bot' ist eine Abkürzung für 'Robot'. Dabei handelt es sich in der IT um weitgehend autonom handelnde Programme. Sie werden für Aufgaben eingesetzt, für die ein interaktiv gesteuertes Programm aus Zeit- und/oder Aufwandsgründen ungeeignet ist. Das bekannteste Beispiel für Bots sind die Webcrawler der Suchmaschinen, die selbstständig den auf besuchten Webseiten vorhandenen Links folgen und den Inhalt der gefundenen Seiten auswerten. Andere Bots übernehmen z.B. im Mehrspieler-Modus von Computerspielen die Rollen fehlender menschlicher Spieler.

Ein Botnet ist ein fernsteuerbares Netzwerk miteinander kommunizierender Bots. Dies ist für sich gesehen noch nichts Negatives. So könnte man ein Botnet z.B. verwenden, um wie bei einem Intrusion-Detection-System Informationen zu sammeln. Allerdings werden Botnets meist für schädliche Zwecke, z.B. Distributed-Denial-of-Service-Angriffe, den Versand von Spam, Klickbetrug bei Online-Werbung oder auch das Ausspionieren der befallenen Rechner eingesetzt. Die dabei verwendeten Bots werden unbemerkt auf möglichst vielen Computern installiert. Infizierte Rechner werden auch als Zombie bezeichnet, die Botnets entsprechend als Zombie-Netzwerke.

Wurden Bots in der Anfangszeit meist über IRC verbreitet, werden inzwischen oft Trojaner oder Würmer verwendet. Die Kommunikation erfolgt meist weiterhin über IRC (Internet Relay Chat, zuerst definiert in RFC 1459). IRC ist für Echtzeit-Kommunikation konzipiert und verwendet eine Client-Server-Architektur.

IRC hat den Vorteil, dass eine große Anzahl öffentlich verfügbarer IRC-Server existiert. Dadurch entfällt für den Angreifer der aufwändige Aufbau spezieller Kommunikationsstrukturen. Außerdem kann er sich z.B. durch IP-Spoofing (siehe About Security #57) tarnen, was seine Erkennung nahezu unmöglich macht. Ein Angriff kann dann höchstens bis zum verwendeten IRC-Server zurückverfolgt werden, danach kann der Angreifer auf einen anderen IRC-Server ausweichen.

Der Aufbau eines Botnets geschieht in 4 Schritten:

1. Vorbereitung des Bots
Der Angreifer schreibt einen eigenen Bot oder modifiziert einen vorhandenen.

2. Konfiguration des Bots
Ein IRC-Server und -Channel müssen ausgewählt und die nötigen Zugangsdaten festgelegt werden. Dann wird der Bot entsprechend konfiguriert.
Ein Channel ist ein gemeinsamer Kanal, auf dem sich die Teilnehmer unterhalten können. Für die Steuerung von Bots werden i.d.R. durch Passwort geschützte Channels verwendet, um Unbefugte von der Beobachtung und Kontrolle der Bots auszuschließen. Nach der Installation auf einem kompromittierten System baut der Bot eine Verbindung zum vorgegebenen IRC-Server und -Channel auf.

3. Verbreitung der Bots
Der fertig konfigurierte Bot muss nun auf die Opfer verteilt werden. Dies kann durch die direkte Ausnutzung von Schwachstellen wie z.B. Pufferüberläufen (siehe About Security #5 ff.) durch z.B. einen Wurm oder indirekt über einen Trojaner geschehen. Jedes infizierte System verbreitet den Bot weiter, sodass dieser sich lawinenartig ausbreitet. Dazu enthalten übliche Bots verschiedene Routinen zu ihrer Verbreitung, die auf bekannten Schwachstellen aufbauen und nach ungeschützten Systemen suchen.
Weitere Verbreitungsmöglichkeiten sind Websites oder IRC-Kanäle, wobei wieder Schwachstellen in der verwendeten Software zur Installation auf dem zukünftigen Zombie-Rechner ausgenutzt werden.

4. Kontrolle des Botnets
Nachdem sich die Bots verteilt haben, nimmt jeder Verbindung zum konfigurierten IRC-Server auf und wartet auf Anweisungen. Die Steuerung der Botnets erfolgt durch speziell dafür entwickelte Programme.

Statt eines einzelnen IRC-Servers können auch mehrere verwendet werden. Auch der Einsatz eines Dynamic-DNS-Dienstes für den Zugriff auf den IRC-Server ist möglich. Der Bot greift dann nur über den Dynamic-DNS-Dienst auf den IRC-Server zu, dadurch können erkannte und damit für den Angreifer unbrauchbare IRC-Server problemlos durch unverdächtige ersetzt werden.

Nachdem das Botnet aufgebaut wurde, kann der Angreifer es über den IRC-Server nach seinen Wünschen steuern. Oft werden Botnets auch vermietet.

Botnets sind aufgrund ihres Aufbaus eine große Gefahr, insbesondere wenn sie für DDoS-Angriffe verwendet werden. Ihre Größe führt zu einer aufsummierten Bandbreite, die deutlich größer als die Anbindung der meisten der angegriffenen Server ist. Und ihre Zusammenstellung aus Rechnern aus verschiedenen Regionen führt zu einer breiten Streuung der IP-Adressen, sodass ein Ausfiltern des Botnet-Netzverkehrs auf Basis der IP-Adressbereiche kaum möglich ist, ohne gleichzeitig große Teile legitimen Netzverkehrs ebenfalls zu unterbinden.

Ab der nächsten Woche werden einige Grundlagen der Kryptographie behandelt, die danach an praktischen Beispielen zum Schutz von Kommunikation vertieft werden.

Carsten Eilers

 About Security: Alle bisher erschienenen Folgen (http://entwickler.de/zonen/portale/psecom,id,234,nodeid,.html)