Botnetze: Aufbau, Funktion & Anwendung

Matthis C. Laass
Fachhochschule Aachen, Fachbereich Elektrotechnik und Informationstechnik , Eupener Str. 70, 52066 Aachen, Germany {matthis.laass}@alumni.fh-aachen.de http://www.fh-aachen.de/etechnik.html

Zusammenfassung Die vorliegende Arbeit beschftigt sich mit dem a Aufbau, der Funktion und der Anwendung von Botnetzen. Botnetze sind verteilte Computernetze, die vornehmlich zu kriminellen Zwecken genutzt werden. Es werden die im Rahmen der Arbeit betrachteten Netzwerkarchitekturen vorgestellt, dabei wird zwischen zentralisierten und dezentralisierten Botnetzen unterschieden. Ferner befasst sich die Ausarbeitung mit den Anwendungsfeldern von Botnetzen und betrachtet mgliche Geschftsfelder, die sich fr Botnetzbetreiber ergeben. Auch o a u Mglichkeiten der Abwehr und der Prvention werden behandelt. o a Keywords: Betrug, Botnetze, Cyberkriminalitt, DDoS, Spam, Verteila te Computernetze

Einleitung

Im Rahmen dieser Seminararbeit soll der Aufbau und die Funktion von Botnetzen und deren Steuerung werden betrachtet. Auch die hierfr notwendige u Kommunikation des Botnetzbetreibers mit den Bots, sowie die Kommunikation der Rechner untereinander werden untersucht. Die Arbeit entstand im Rahmen des Seminars Information System Engineering an der Fachhochschule Aachen und wurde von Herrn Prof. Dr. Marko Schuba betreut, dem ich an dieser Stelle fr seine Untersttzung danken mchte. u u o Unter Botnetzen wird der Zusammenschluss von verteilten Rechnern verstanden, die mit dem Ziel der Erfllung der ihnen ubertragenen Aufgaben agieren. Die u einzelnen - ferngesteuerten - Rechner eines Botnetzes werden Bot oder Zombie genannt. [1] Die Botnetzbetreiber werden als bot herder oder Botmaster bezeichnet. [2] Der Begri Botnetz ist negativ geprgt, auch wenn die einem Botnetz a anvertrauten Aufgaben nicht zwangsweise bsartig sein mssen. So betreibt beio u spielsweise der Suchmaschinenbetreiber Google ein ausgedehntes Botnetz zur Internetindizierung - die sog. Googlebots. Auch andere Internetdienstleister lassen regelrechte Rechnerarmeen fr sich arbeiten. Die gutartigen Bots zeigen sich jeu doch ausgesprochen kooperativ und befolgen den Robote Exclusion Standard [3]. Aufgrund deren zunehmender Bedeutung liegt der Schwerpunkt der vorliegenden Ausarbeitung auf den bsartigen Netzen. Bei den im Folgenden erwhnten Boto a netzen, kann der Leser davon ausgehen, dass von solchen mit kriminellem oder

Botnetze: Aufbau, Funktion & Anwendung

zumindest fragwrdigem Zweck die Rede ist. Der Informationsdienst Shadowu server [4] zhlte am 11. September 2011 5759 aktive Botnetze, was die Relevanz a des Themas verdeutlicht. Kriminelle Botnetze werden zum Spamversand, fr sog. DDoS-Attacken und Beu trug verwendet. Eine genaue Betrachtung dieser Anwendungsfelder fr Botnetze u erfolgt im Abschnitt 2.3.2. Anschlieend werden im Abschnitt 3.4 mgliche Abo wehrstrategien errtert. Im folgenden Abschnitt werden zunchst die verschieo a denen Architekturen von Botnetzen erklrt. a

Aufbau von Botnetzen

Um ein generelles Verstndnis fr das Thema zu erlangen wird im folgenden a u Abschnitt der Aufbau und die Architektur von Botnetzen errtert. Botnetze o sind verteilte Softwaresysteme, die auf verschiedenen, physikalisch unabhngigen a Rechnern ausgefhrt werden. Die Rechner kommunizieren uber Netzwerke mitu einander. [5] Ein Bot verfgt uber eine Steuerschnittstelle und wird in der Regel u von einem sogenannten Mothership gesteuert, welches in der Literatur auch als command and control-Center (C&C bzw. CnC) bezeichnet wird. [6] Die Software fr den Betrieb als Zombie wird in der Regel ohne die Genehmigung des u Rechnerbetreibers installiert. Botnetze kommen in verschiedenen Gren und Ausprgungen vor. Die ersten o a Netze wurden bereits 1993 entwickelt und waren zentralisiert aufgebaut. [7] Ihre Architektur soll im folgenden erlutert werden. a 2.1 Architektur von zentralisierten Botnetzen

2.1.1 Stern-Netze Die Stern-Topologie eines Botnetzes sieht die direkte Kommunikation eines zentralisierten C&C-Rechners mit allen Bot-Rechnern vor und ist in Abbildung 1 dargestellt. Jeder Bot bekommt seine Arbeitsanweisungen direkt vom C&C-Center zugewiesen. Die direkte Kommunikation bedeutet die Umsetzung von Arbeitsauftrgen ohne Latenz. Durch diesen Aufbau wird vera mieden sensible (gestohlene) Daten unntig uber dritte Rechner zu leiten. Nacho dem ein Rechner mit einer Botsoftware inziert wurde, registriert er sich bei einem vorkongurierten C&C-Rechner als Bot und wartet auf neue Anweisungen. [8] Was einen Geschwindigkeitsvorteil auf der einen Seite bedeutet, birgt auf der anderen Seite groe Gefahren fr die Verwundbarkeit des Netzes. Da in u jedem Bot der C&C-Host hinterlegt ist, ist der C&C-Rechner leicht zu entde cken und eine Ubernahme dieses C&C-Hosts - z.B. durch den Angegrienen bedeutet einen Kontrollverlust uber das gesamte Netz. Dabei ist es unerheblich, welche direkten Kommunikationswege fr ein Netz verwendet werden, es handelt u sich in jedem Fall um einen Single point of failure. Die einzelnen Kommunikationswege werden im Abschnitt 2.1.3 Kommunikation in zentralisierten Botnetzen detailliert beschrieben.

Botnetze: Aufbau, Funktion & Anwendung

Abbildung 1. Zentralisiertes Botnetz mit Stern-Architektur [9].

2.1.2 Multi-Server-Netze Multi-Server-Netze sind die logische Erweiterung der Stern-Topologie von Botnetzen und in Abbildung 2 dargestellt. Hierbei ubernehmen mehrere C&C-Server die Verteilung der Anweisungen an die einzel nen Bots. Die einzelnen Bots verfgen uber eine Liste mit verschiedenen C&Cu Servern und knnen somit auch bei Unerreichbarkeit einzelner C&C-Server noch o Arbeitsauftrge des Botmasters bekommen. Dieser Netzaufbau bringt folglich a mehr Planungsaufwand mit sich, ist aber durch die Vermeidung eines Single point of failure sicherer gegen Ubernahme- und Abwehrbestrebungen und zeigt sich auch nach der Abschaltung einzelner C&C-Server handlungsfhig. [10] Eia ne intelligente geographische Verteilung der C&C-Infrastruktur erweist sich gegenber rechtlichen Schritten besser geschtzt, da zu einer Vollabschaltung eines u u Botnetzes Behrden verschiedener Lnder kooperieren mssten. o a u

Abbildung 2. Zentralisiertes Botnetz mit Multi-Server-Architektur [9].

2.1.3 Hierarchische Netze Ein weiterer Typ der zentralisierten Topologie nutzt eine hierarchische Infrastruktur. Fr eine Realisierung von hierarchischen u Netzen werden Multi-Server-Netze um eine Ebene mit Proxy-Servern erweitert. Diese Netzkonguration bedeutet Stabilitt und Langlebigkeit des Netzes a da die Proxyserver die wahre Herkunft der C&C-Server verschleiern und eine

Botnetze: Aufbau, Funktion & Anwendung

Ubernahme der C&C-Server erschweren. Nachteile dieser Konguration sind die erhhte Komplexitt der Netzwerkstruktur sowie eine ungnstigere Latenz aufo a u grund der zustzlichen Proxy-Server. [9] a Der hierarchische Netzaufbau ist in Abbildung 3 zu sehen.

Abbildung 3. Zentralisiertes Botnetz mit hierarchischer Architektur [9].

Um den Bots den Kontakt zum C&C-Server - auch phone homegenannt - zu ermglichen, werden hug hart-codierte IP-Adressen fr die C&C-Hosts o a u bzw. fr die Proxy-Hosts verwendet. Nach einer Abschaltung dieser Hosts knnen u o diese von den Bots nicht mehr via IP-Adresse erreicht werden. Die Bots knnen o somit nicht mehr kontrolliert werden. Die Ubermittlung einer IP-Adresse von alternativen C&C-Servern ist nicht mglich. Um diese Schwachstelle zu umgeo hen werden mittlerweile primr Kontroll-Domains und Domain Name Systems a (DNS) verwendet. Die einzelnen Bots sind durch Nameserverabfragen in der Lage die IP-Adresse der C&C-Infrastruktur ausndig zu machen. Der Ausfall einzelner C&C-Server kann durch Alternativrechner abgefangen und die neue Adresse im DNS-Record eingetragen werden. [10] Die Achillesferse wird dadurch von den C&C-Servern auf die Domainverwaltung verlagert. Aus diesem Grund werden fr den Botnetzbetrieb vermehrt Domains von Staaten mit rechtlich nachlssigen u a Organisationen registriert und somit die Betriebsstrung erschwert. [11] o

2.2

Kommunikation in zentralisierten Botnetzen

Der zentrale Punkt fr den Betrieb von Botnetzen ist die Verteilung der Aru beitsanweisungen an alle Bots eines Netzwerks. Im Folgenden werden mgliche o Kommunikationswege von zentralisierten Botnetzen mit ihren Vor- und Nachteilen beschrieben. In der Regel baut der Bot die Verbindung zum Kontrollcenter auf. Die Bots haben hug wechselnde IP-Adressen, die dem C&C-Center nicht a bekannt sind. Auerdem knnen die fr den Kommunikationsaufbau notweno u digen oene Ports von den Administratoren der Bot-Rechner leicht entdeckt werden. Auch kann ein Verbindungsaufbau zu einzelnen Ports durch Firewalls verhindert werden. [10]

Botnetze: Aufbau, Funktion & Anwendung

2.2.1 Kommunikation uber IRC-Channel Bereits 1993 wurden die ers ten Botnetze entwickelt, die zur Kommunikation Internet Relay Channal (IRC) verwendeten.[7] In IRC-basierten Botnetzen verbinden sich die Bots mit einem o u entlichen oder mit einem vom Betreiber fr diesen Zweck aufgesetzten IRCServer bzw. mit einem zuvor festgelegten Channel und warten auf Anweisungen. Der Botnetzbetreiber verbindet sich ebenfalls mit diesem Channel und sendet Kommandos an die einzelnen Bots. Diese werden von den Bots empfangen und ausgefhrt. Der Vorteil liegt in der einfachen Realisation und den hug fertig u a vorliegenden Bibliotheken. Nachteile dieser IRC-basierten Netze sind der Single point of failure und die Verletzbarkeit durch Abschaltung eben dieses einen IRC-Servers. [12] 2.2.2 Kommunikation uber Instant Messaging Dienste Botnetzdesi gnern bietet sich die Mglichkeit fr die Kommunikation zwischen Botmaster o u und Bots Instant Messaging Dienste wie ICQ, MSN oder Skype zu verwenden. Dieser Aufbau unterscheidet sich in der Grundstruktur kaum von IRC-basierten Netzen. Jeder Bot meldet sich mit einem eigenen Account bei dem jeweiligen Dienstleister an und gibt an den Account des Botmasters seine Dienstbereitschaft bekannt. Diese Mglichkeit erweist sich in der Praxis jedoch als wenig o populr, weil fr jeden Bot ein eigener Account erstellt werden muss, da die a u Messaging-Dienstleister ein Mehrfach-Login mit einem Account meist unterbieten. Auch die automatische Accounterstellung wird von den Anbietern zu unterbinden versucht. Der Mehraufwand den diese Struktur mit sich bringt uberwiegt die Flexibilittsvorteile und macht diesen Kommunikationsweg fr Botnetzbea u treiber unattraktiv. [12] 2.2.3 Kommunikation uber HTTP und FTP Eine relativ neue und sich schnell verbreitende Form des Botnetz-Designs ist die Kontrolle von ZombieNetzwerken uber das World Wide Web. Die Bots verbinden sich mit einem vor her denierten Webserver von dem sie Arbeitsanweisungen erhalten. Dieses Design der Botnetze erfreut sich zunehmender Beliebtheit, da die Inbetriebnahme relativ einfach zu bewerkstelligen ist. Webserver sind leicht zugnglich und das a passende Webinterface fr das Botnetz-Management kann vom Webserver gleich u mitgehostet werden. Auch hier liegt eine hohe Verletzbarkeit des Netzes vor, da durch Abschalten des Webservers das ganze Botnetz zum Erliegen kommt. 2.2.4 Kommunikation uber soziale Netze Die Branchendienste Arbor Networks und CyberInsecure.com berichten, dass auch soziale Netzwerke wie Facebook [13] oder Twitter [14] als Kommandozentrale fr Botnetze verwendet u werden. Auch hier ist der Aufbau hnlich den bisher beschriebenen Verfahren. a Der Bot folgtdem Gezwitscher des Accounts seines Botmasters und erfhrt a von diesem Links zu Webservern auf denen der Botmaster Arbeitsanweisungen hinterlegt hat. Da Twitter uber eine Webschnittstelle verfgt kann jeder Bot u ohne eigenen Account die Nachrichten des Botmasters verfolgen. Der Vorteil gegenber der Kommunikation via Instant Messaging Diensten liegt darin, dass u

Botnetze: Aufbau, Funktion & Anwendung

die einzelnen Bots ohne eigene Twitter-Accounts auskommen. Aber auch hier kann durch Eingreifen des Betreibers das Netz bzw. der Teil des Netzes, der uber einen Account agiert, stillgelegt werden. 2.2.5 Kommunikation uber cloudbasierte Dienste Ein zunehmender Trend in der Informationstechnologie ist das sog. Cloud-Computing. Dienstleister wie Google und Amazon bieten den Kunden mit Produkten wie Amazon Elastic Compute Cloud (Amazon EC2) oder Google App Engine ihre Infrastruktur als Platform-as-a-Service (PaaS) an. [15] Der Internetdienst Arbor Network berichtet, dass Botnetbetreiber die Google App Engine als C&C-Server verwenden. Die einzelnen Bots fragen die von Google gehostete Applikation ab um Arbeitsaufrge zu erhalten. Nach Bekanntwerden reagiert Google und schaltet a den Account ab. [14] 2.3 Architektur von dezentralisierten Botnetzen

Der vorangehende Text beschreibt den Aufbau von zentralisierten Botnetzen. Neben den Vorteilen der einfachen Realisierung und der geringen Latenz hat der zentralisierte Aufbau einen groen Nachteil. Durch einen Single point of failure ist ein solches Botnetz sehr leicht verwundbar. Als konsequenter Schritt folgt also die Weiterentwicklung zu dezentralisierten Botnetzen. Diese zweite Kategorie von Botnetzen unterscheidet sich mageblich von den bereits vorgestellten Netzen und soll im Folgenden beschrieben werden. Das Design ist wesentlich komplexer als das Design der zentralisierten Botnetze. [10] Das Augenmerk richtet sich dabei auf die sog. Fast-Flux-Netzwerke und Peer-to-Peer-Botnetze. 2.3.1 Fast-Flux Botnetze Das Fast-Flux-Botnetz-Design basiert auf der Round Robin Lastverteilung per DNS, das ursprnglich zur Lastenverteilung u von stark frequentierten Websites wie www.facebook.com oder www.amazon.com auf verschiedene Server entwickelt wurde. [16] Der Aufbau als Single-Flux-Botnetz sieht vor, dass im Nameserver fr eine u Kontroll-Domain die IP-Adressen verschiedener Bots eingetragen sind, die lediglich als Proxy arbeiten. Genau wie bei zentralisierten Botnetzen bentigen die o Zombies einen Host, bei dem sie ihre Arbeitsauftrge erfragen. Im Gegensatz zu a den bereits beschriebenen Anstzen handelt es sich beim Fast-Flux-Aufbau nicht a um eine statische IP-Adress oder Domain, sondern um einen exiblen KontrollDomainnamen. Um sich mit Arbeitsauftrgen zu versorgen, stellt ein Zombie a zunchst eine DNS-Anfrage fr eine hinterlegte Kontroll-Domain und bekommt a u als Resultat eine der konstant rotierenden IP-Adressen eines Proxy-Bots zurck. u An diesen Host stellt er seine Arbeitsanfrage. Der Proxy-Rechner leitet die Anfrage an den Mothership-Rechner weiter und erhlt eine Arbeitsanweisung fr den a u Zombie als Resultat. Der Mothership-Rechner entspricht dem C&C-Rechner der bereits vorgestellten Strukturen und wird hug durch mehrere Server mit statia schen IP-Adressen realisiert. Die angefragte Arbeitsanweisung wird vom ProxyRechner an den Zombie weitergeben und von diesem ausgefhrt. Eine erneute u

Botnetze: Aufbau, Funktion & Anwendung

DNS-Anfrage liefert eine andere IP-Adresse als Ergebnis, da verschiedene Proxy hinterlegt sind, auf die die Anfragen aufgeteilt werden. Der Datenaustausch basiert ublicherweise auf dem HTTP-Protokoll. [17] Um die wahre Identitt des Mothership-Rechners weiter zu verschleiern ndert a a der Mothership-Rechner in kurzen Abstnden die Liste der Proxy-Bots durch a Update der A-Records des Domain Name Server. Ist ein Proxy-Bot lngere Zeit a nicht mehr zu erreichen, muss dessen IP-Adresse vom Mothership-Rechner beim nchsten Update aus dem DNS entfernt werden. [10] a Um noch mehr Sicherheit zu erreichen, beziehen Botnetz-Architekten auch die Top-Level-DNS-Server mit ein. Die Architektur als Double-Flux-Botnetz sieht neben den Updates den A-Records auch die Anderung der zustndigen Domain a Name Server fr eine Kontroll-Domain vor. Mithilfe eines uberdurchschnittlich u kooperativen Domain-Registrars ndern die Botnetzbetreiber die DNS-Eintrge a a der Domain in Zyklen von wenigen Stunden. Die Anderungen werden an die Root-DNS-Server weitergeben und von dort an smtliche Domain Name Server a weltweit verteilt. Um die hugen Nameserver-Aktualisierungen durchzufhren, a u ist ein DNS-Provider notwendig, der eine kurze Time to live (TTL) im Minutenbereich zulsst. Das ist bei vielen DNS-Providern nicht selbstverstndlich, aber a a mglich. Fr den Botnetz-Aufbau bieten sich sog. Bullet-Proof -Domainnamen o u an. Diese kugelsicheren Domains lassen sich in Lndern wie China, Sdkorea a u und Brasilien fr gerade einmal 100 US$ registrieren und bieten die Gewissheit, u dass Beschwerden sofort im Mlleimer landen. [18] u

Abbildung 4. Ablauf einer Bitux-Anfrage

2.3.2 Peer-to-Peer Botnetze Eine weitere dezentrale Botnetz-Architektur stellen Peer-to-Peer-Botnetze dar. Im Gegensatz zu einer klassischen ServerClient-Architektur, bei der ein privilegierter Knoten - ein Server - die ubrigen Teilnehmer - die Clients - kontrolliert, sind beim P2P-Aufbau die einzelnen Netzwerkrechner (Knoten) gleichberechtigt. Der Aufbau ist in Abbildung 5 skizziert. Verweigert ein Server einem Client den Dienst oder fllt aus, ist der Client a in den herkmmlichen Client-Server-Strukturen machtlos. Diese Tatsache fllt o a besonders bei der Verteidigung von zentralisierten Botnetzen ins Gewicht und

Botnetze: Aufbau, Funktion & Anwendung

macht sie angreifbar, in dem die C&C-Server ubernommen oder abgeschaltet werden. Die klare Aufteilung von Server und Client ist bei der P2P-Architektur nicht vorgesehen. Alle Knoten ubernehmen sowohl Server- als auch Clientaufga ben. [19] Auch die Betrachtung der Wort-Herkunft ist interessant: Das englische Wort peer kann mit Ebenbrtiger oder Gleichgestellter ubersetzt werden. [20] u Das Fehlen einer zentralen Kontrollstruktur erschwert die Uberwachung eines P2P-Netzwerkes erheblich. Die Deaktivierung ist gar unmglich. Fallen einzelne o Knoten aus, werden sie problemlos durch andere Knoten ersetzt. Der Botnetzbetreiber klinkt sich als gleichberechtigter Knoten in das P2P-Netz ein und verteilt seine Kommandos uber das Netz. Da diese Struktur jedem Peer die gleichen Rechte einrumt, ist die Verschlsselung der Arbeitsanweisungen unerlsslich. a u a Wie das Internetmagazin Golem berichtet, ist es Hackern gelungen, ausfhrbare u Dateien in das 100.000 Bots umfassende Storm-Netz einzuschleusen. Es bte o sich die Mglichkeit, Bots unter die eigene Kontrolle zu bringen, da auch der o Ursprung der Befehle nicht uberprft wird. [21] u

Abbildung 5. Architektur eines dezentralisierten Peer-to-Peer-Netzwerks [11].

Das Storm-Botnetz ist eines der verbreitetsten P2P-Botnetze. Es existiert seit ca. 2006, und seitdem sind viele Varianten der Botsoftware erschienen. Im Folgenden soll die mehrstuge, hybride Architektur des Storm-Botnetzes dargestellt werden. Es basiert auf dem von Jed McCaleb entwickelten Overnet-Netzwerk. Das Overnet-Netzwerk ist ein echtes Peer-to-Peer-Netzwerk und erhielt durch seine Integration in die beliebte eDonkey-Client-Software im Jahre 2003 einen Verbreitungsschub. Als Routing-Algorithmus setzt Overnet das von Pater Maymounkov und David Mazires als P2P entwickelte Kademlia-Netzwerk ein. Peers erhalten durch Anwendung einer Hash-Funktion auf die eigene IP-Adresse eine unikale Peer-ID sowie einen 24 Stunden gltigen Zeitstempel. Jeder Peer unu terhlt Verbindungen zu den 160 nchsten Peers bezglich einer XOR-Metrik a a u auf eben diese Peer-ID. Die XOR-Metrik deniert sich wie folgt: XOR Distanz(X, Y ) = X Y In einer Routing-Tabelle werden die 160-Bit-Peer-Bezeichner und die IP der Nachbarn gespeichert. Die grundlegende Idee von Peer-to-Peer-Netzwerken ist

Botnetze: Aufbau, Funktion & Anwendung

die dezentrale Verteilung von Daten. Im Fall von Botnetzen liegt das Interesse der Betreiber darin, Datenstze mit Steuerbefehlen oder IP-Adressen (bzw. a Kontroll-Domainnamen) von aktuellen C&C-Hosts bzw. aktiven Proxy-Rechner an die einzelnen Bots zu verteilen. Der Bot-Herder eines Storm-Netzwerkes erstellt tglich eine Liste von Gateways, die von den Bots uneingeschrnkt erreicht a a werden knnen. o Fr den Datensatz dieser Liste wird mithilfe einer weiteren Hash-Funktion ein u ebenfalls 160 Bit umfassender Bezeichner (Datensatz-ID) erstellt. Die Datei wird durch einen Bot des Betreibers zum Download angeboten und der Speicherort an die Knoten in der Routine-Tabelle mit den geringsten Distanzen zwischen dem Datensatz-Bezeichner und den Peer-Bezeichnern der Bots ubermittelt. Die Distanz wird mit der o.g. XOR-Funktion ermittelt. Diese Bots versuchen die Information an eine Menge von Bots in ihrer Routing-Tabelle weiterzugeben, deren Distanz zwischen ihrer Peer-ID und der Datensatz-ID geringer ist als die Distanz zwischen den eigenen Peer-IDs und der Datensatz-ID. Diese Prozedur wird solange wiederholt bis die Information in dem Knoten gespeichert wird, der dem Bezeichner des Datensatzes am nchsten ist. Der den Datensatz speia chernde Peer stellt die Information zyklisch zur Verfgung. Fr den Fall, dass u u der Peer ausfllt, dessen Peer-ID die geringste Distanz zur Datensatz-ID hat a und somit den Speicherort des Datensatzes publiziert, wird der Speicherort im nchsten Zyklus an den Peer ubermittelt, dessen Peer-ID nun die geringste Dia stanz zur ID des Datensatzes hat. Ein Datensatz kann auch von mehreren Peers gespeichert werden. Sie informieren eigenstndig den entsprechenden Peer uber a ihr Downloadangebot des entsprechenden Datensatzes. Das Suchverfahren nach einem Datensatz ist quivalent aufgebaut. Auf der Suche a nach einem Datensatz, dessen Datensatz-ID dem suchenden Peer bekannt sein muss, fragt er sich solange zu einem Peer durch, dessen Peer-ID der Datensatz-ID am nchsten ist. Dieser teilt dem Suchenden einen oder mehrere Peers mit, die a den Datensatz gespeichert haben. Da die einzelnen Peers sptestens bei Unera reichbarkeit durch neue Nachbarschaftsknoten in den Routingtabellen der Peers ersetzt werden, ist sichergestellt, dass sich das Netz eigenstndig aktualisiert. Das a beschriebene Vorgehen sichert auch dann den reibungslosen Betrieb des Netzes, wenn einzelne Peers abgeschaltet werden oder nicht erreichbar sind. Die zweite Ebene des Botnetzes bilden die o.g. Gateways. Sie werden als ProxyRechner eines Fast-Flux-Botnetzes verwendet, das dem Leser aus dem vorigen Abschnitt bekannt ist. Die dritte Ebene stellen die Kontrollknoten dar. Sie sind durch den Bot-Herder betriebene Peers uber die eben genannte Liste der Gateways in das Netz ein gespielt werden. Auch eine Verbreitung der Arbeitsanweisung direkt uber das P2P-Netzwerk ist mglich, bringt aber eine hhere Latenzzeit mit sich. [19], [22] o o Eine Schwachstelle stellt das sog. Bootstrapping dar. Um dem Botnetz initial beizutreten wird die Botsoftware mit einer Liste von Peers ausgeliefert, die beim ersten Verbindungsaufbau kontaktiert werden. Gelingt es diese Hosts zu ubernehmen oder abzuschalten, ist es neuen Bots nicht mehr mglich dem Netz o

10

Botnetze: Aufbau, Funktion & Anwendung

beizutreten. [23] Von den vorgestellten Botnetz-Architekturen stellt die zuletzt Beschriebene den robustesten Lsungsansatz dar. o

Anwendungsmoglichkeiten von Botnetze und Geschftsfelder fur deren Betreiber a

Das vorige Kapitel beschreibt den Aufbau und die Funktionsweise von Botnetzen. Der nun folgenden Abschnitt betrachtet mgliche Einsatzgebiete fr diese o u Netze. Es wird die Motivation des Botnetzbetriebes und die Monetarisierung dieses errtert. Nach Kamluk sind die wichtigsten an Botnetzen interessierte o Kunden Kreditkartenbetrger, Erpresser sowie Spammer. [24] Jakobsson und u Kollegen sprechen uber Botnetze gar von einem Swiss Army Knife der Internet kriminalitt und ergnzen die mglichen Anwendungsfelder durch Identittsklau, a a o a Warezhosting (Piratensoftware), Phishing und Klickbetrug. [9] Die Gruppe der Kreditkartenbetrger soll an dieser Stelle nicht nher betrachtet werden, da der u a Kreditkartenbetrug aus heutiger Sicht eher in den Bereich Malware einzuordnen ist. Auch wird an dieser Stelle nicht nher auf Identittsklau, Warezhosting und a a Phishing eingegangen. 3.1 Spam

Nach Einschtzungen von Experten werden 80% des Spamaufkommens welta weit von gekaperten Zombie-Rechnern versandt. [12] Diese Zahl macht deutlich, dass hierin ein wesentliches Aufgabenfeld fr Botnetze zu nden ist. Nach u der Abschaltung des fragwrdigen US-amerikanischen Webhosters McColo im u Jahre 2008, der Botnetzbetreibern bis dahin als sicherer Hafen fr die C&Cu Architektur ihrer virtuellen Armeen diente, brach das Spamaufkommen auf 20% seines ursprnglichen Wertes ein. [25] Die Zombies erhalten von ihren C&Cu Servern eine Liste von Emailadressen und ein dazugehriges Spamtemplate, das o den Mailinhalt enthlt. Damit ausgestattet versenden sie eigenstndig Emails in a a der Regel uber das SMTP-Protokoll. [9] Ein nicht zu unterschtzender Vorteil des a Spamversandes uber gekaperte Rechner ist die Erweiterung der Empfngerliste a durch das Adressbuch des inzierten Rechners. Bei entsprechendem Design erweitert ein Botnetz mit der Zeit den Adressdatenbestand selbststndig. [12] a Um die Ware Botnetz ist ein regelrechter Handel entstanden. Mathew Schwarz berichtet im Fachmagazin Dark Reading wie Hacker ihre Botnetze in Foren und uber Bannerwerbung anbieten. Dabei bestimmen - wie so oft - Angebot und Nachfrage den Preis. Im Jahre 2010 kostete ein mittleres Botnetz fr eine Stunde u 9 US$, fr einen ganzen Tag 30 US$. [26] Der Preis variiert nach Nutzungsdauer u und Zombieanzahl. Auch das Geschft mit dem Versand von Spammails oriert. a Die Botnetzbetreiber bieten zum einen die von ihnen kontrollierten Rechner zum Spamversand an und berechnen fr 1 Millionen versandte Mails 150 bis 200 US$ u [27], zu anderen versenden sie Spammails in Eigenregie und werden am Gewinn der beworbenen Produkte beteiligt. Untersuchungen des Sicherheitsanbieters Symantec haben ergeben, dass unter den Top 10 der Spam-Themen regelmig a

Botnetze: Aufbau, Funktion & Anwendung

11

Angebote zu Viagra und geflschten Uhren zu nden sind. [28] Bei Gewinnspana nen von beinah 1000% fr geflschte Viagra-Pillen, fallen die Kosten und die u a Streuverluste beim Spamversand nicht ins Gewicht und so bedeutet dieser ein lukratives Geschft. [29] a 3.2 Distributed Denial of Service

Einige Unternehmen wickeln Ihre Aktivitten mittlerweile fast ausschlielich a uber das Internet ab. Fr Handelsunternehmen kann die Nichterreichbarkeit u ihrer Onlineshops sehr teuer sein. Aber auch Unternehmen die keine direkten Umsatzeinbue durch einen Ausfall ihrer Onlineprsenz erleiden, knnen mina o destens durch einen mglichen Imageschaden empndlich getroen werden. Diese o Verletzbarkeit ernet Botnetzbetreibern die Mglichkeit fr Racheakte und Ero o u pressung. Sie machen von einer Wae Gebrauch, die sich ihnen durch eine groe Anzahl von Bots erschliet: Der sog. Dedicated Dential of Service (DDoS). [24] Die Idee des DDoS ist ebenso einfach wie wirkungsvoll. Seine einzige Aufgabe besteht darin, Webressourcen auer Gefecht zu setzen. Der Botnetzbetreiber gibt an seine Zombiearmee den Befehl eine DDoS-Attacke auf die Website eines Unternehmens zu starten, worauf die einzelnen Rechner zyklisch mit HTTPAnfragen auf die gewnschte URL beginnen. Die Bots bentigen keine groe u o Bandbreite, ihre Anfragen sind im einzelnen so gering, dass die Benutzer der gekaperten Rechner die Angrie in der Regel gar nicht mitbekommt. Die schiere Masse an sinnlosen Anfragen kann auch ressourcenstarke Server in die Knie zwingen. Das Vorgehen ist in Abbildung 6 skizziert. [1] Da sich die Finanzun-

Abbildung 6. Distributed Denial of Service Angri [30].

ternehmen Mastercard und Visa dazu entschieden hatten keine Zahlungen mehr an Wikileaks zu leisten, wurden sie Ziel mehrerer DDoS-Attacken und bekamen die Strke ihrer Widersacher zu spren, die sich fr diese Firmenpolitik rchen a u u a wollten. Ihre Firmenwebsites waren tagelang nur eingeschrnkt, zwischenzeita lich uberhaupt nicht erreichbar. [31] Auch Erpresser nutzen DDoS-Attacken um erst Unternehmensressourcen lahmzulegen oder die Lahmlegung anzudrohen, um dann von den Betroenen fr ihren Rckzug Geld zu fordern. [24] u u

12

Botnetze: Aufbau, Funktion & Anwendung

3.3

Klickbetrug & Softwareinstallation

Eine weitere Mglichkeit ein betriebsbereites Botnetz zu monetarisieren wird o Klickbetrug genannt. Hierzu nutzt der Betrger einen Account bei einem Onu linedienstleister, der seine Werbepartner fr Klicks auf Werbebanner (Pay per u Click) oder die Vermittlung von Besuchern (Pay per Visit) vergtet. Der Beu trger nutzt die Bots dazu, die Banner anzuklicken oder die vergtete Website u u zu besuchen. Dies geschieht mit den rechnerspezischen Informationen wie Betriebssystem, Browser und IP-Adresse der gekaperten Rechner und ist somit fr u den Werbeportalbetreiber nicht als Betrug zu erkennen. Auch zur Steigerung von besucherzahlenbasierten Websiterankings und zur Manipulation von Onlineumfragen werden Botnetze herangezogen. [25] Die auf den befallenen Rechnern installierte Steuerungssoftware verfgt hug uber administrative Rechte, u a die dem Botbetreiber eine weitere Geschftsmglichkeit ernen. Wenn es das a o o Softwaredesign zulsst, ist es mglich weitere Software auf den Rechnern der a o ahnungslosen Benutzern zu installieren. Populre Programme sind Spyware um a Benutzer auszuspionieren oder Keylogger um Passwrter der Benutzer abzugreio fen. Diese Installationsdienstleistung bietet weitere kriminelle Mglichkeiten und o wird ebenso gehandelt. [25] 3.4 Anonymer Internetzugri

Methoden, die die Verwundbarkeit des Botnetzes reduziert und den reibungslosen Betrieb sichern sollen, knnen auch als eigenstndige Dienste verwendet o a werden. Cyberkriminelle nutzen die Zombie-Rechner zur Verschlsselung ihrer u Herkunft etwa beim Onlinebanking und hinterlassen in den Logles der Bankinstitute lediglich die IP-Adresse des gekaperten Rechners. Die Identitt des a Kriminellen wird auf diese Weise anonymisiert. [9], [12]

Abwehrstrategien

Bei der Entwicklung von Abwehrstrategien sind zwei grundstzliche Unterscheia dungen mglich. Zum einen sind die Computer der Benutzer vor den Befall o von Schadsoftware, wie der Einschleusung und Installation von Botsoftware zu schtzen. Zum anderen ist von Unternehmen eine Internetressourcen-Strategie u umzusetzen, die mglichen Angrien standhlt und den Unternehmensbetrieb o a aufrecht erhlt. a 4.1 Absicherung der Computer gegen den Befall durch Botsoftware

Die wichtigste Wae gegen die Inzierung von Privat- und Brorechnern ist die u Verwendung von Antiviren-Software inklusive der kurzzyklischen Aktualisierung der Virensignaturen. Auch die Sensibilisierung und Schulung der Endanwender sind wichtige Punkte im Kampf gegen die Cyberkriminalitt. Das Scannen a von Datentrgern, Dokumenten und Internetdownloads auf Viren gehrt ebenso a o

Botnetze: Aufbau, Funktion & Anwendung

13

zu den Aufgaben der Benutzer, wie das uberlegte Onen von Mailanhngen a unbekannter Absender. Mailanhnge sollten zuvor schon serverseitig geprft a u worden sein. Das fllt in den Aufgabenbereich der Unternehmens-IT oder des a Internet-Providers. [32] Eine aktivierte Firewall sollte auf jedem internetfhigen a Rechner installiert sein; diese wird in den neuen Betriebsystemgenerationen in der Regel schon mitgeliefert. Hacker nutzen hug Schwachstellen in Standarda Softwareprodukten wie Internetbrowsern, um sich Zugri zu den Rechnern der Benutzer zu verschaen. Mit sog. Browser-Exploits nutzen Hacker die Browsersoftware um Besucher von Websites mit Schadsoftware zu inzieren, wenn diese mit veralteten Softwareversionen arbeiten. [24] Auch hier ist es notwendig den Updatezyklen der Hersteller zu folgen. 4.2 Abwehrstrategie gegen den Angri eines Botnetzes

Sehr viel aufwendiger verhlt sich die Sache bei der Abwehr von Angrien gegen a die Internetressourcen. Das Hauptaugenmerk liegt hier in der Abwehr von DDoSAttacken. Da Ressourcen wie Internetshops oder die Unternehmensprsenzen fr a u jedermann zugnglich sein sollen, ist eine intelligente Lsung gefragt. Es wird a o zwischen prventiven und reaktiven Manahmen unterschieden. Filtermechanisa men, die Absender-IP-Adressen auf ihre Gltigkeit uberprfen, knnen ebenso u u o als prventiv angesehen werden wie die Schaung mglicher Redundanzen. Hiera o zu soll nicht unerwhnt bleiben, dass solche Manahmen hug ins Leere laua a fen, da DDoS-Attacken regelmig durch die schiere Masse der beteiligten Bots a nicht abgefangen werden knnen. Auch selbstlernende Firewall-Regeln werden o zu den prventiven Manahmen gezhlt. Die Erweiterung dieser Regeln durch a a die (temporre) regionale Begrenzung von IP-Adressen, zhlt zu den reaktiven a a Manahmen. Hierbei bleibt allerdings zu bedenken, dass damit auch mgliche o Kunden ausgeschlossen werden. [33]

Zusammenfassung

Die vorliegende Arbeit hat sich mit dem Aufbau, der Funktion und der Anwendung von Botnetzen beschftigt. Es wurden verschiedene Architekturen von a Netzen untersucht, wobei zwischen zentral und dezentral aufgebauten Botnetzen unterschieden wurde. Im Rahmen der Betrachtung von zentralisierten Botnetzen wurden neben den Stern- und den Multi-Server-Netzen auch die hierarchischen Netze beschrieben. Es wurden verschiedene Kommunikationstechniken vorgestellt, die sich fr den Aufbau von zentralisierten Botnetzen eignen. u Bei der Betrachtung von dezentralisierten Botnetzen wurde der Aufbau als FastFlux-Botnetz und als Peer-to-Peer-Netz genau beschrieben. Hierbei waren der Verbindungsaufbau zu den Kontrollrechnern und die Verteilung der Steuerungskommandos errterte Fragestellungen. o Im dritten Kapitel wurden verschiedene Anwendungsmglichkeiten von Botneto zen und Geschftsfelder fr deren Betreiber beschrieben. Dabei wurden neben a u den bekannten Formen der Computerkriminalitt Spam und Erpressung auch a

14

Botnetze: Aufbau, Funktion & Anwendung

weniger bekannte wie Klickbetrug und Anonymisierung untersucht. Im letzten Abschnitt wurden mgliche Abwehr- und Prventionsmanahmen o a errtert. Dabei wurde zwischen zwei Gebieten unterschieden. Zum einen wurden o die Manahmen zum Schutz der Computer der Endanwender dargestellt, zum anderen mgliche Manahmen zum Schutz von Internetressourcen. o Botnetze waren in der Vergangenheit ein Bedrohung fr Politik und Wirtschaft, u die in den letzten Jahren stark zugenommen hat. Sie werden auch in Zukunft ein bedeutendes Thema fr die IT-Sicherheit bleiben. u

Literatur
1. Laudon, Kenneth C., Jane P. Laudon Detlef Schoder: Wirtschaftsinformatik: Eine Einfhrung. Addison-Wesley, Mnchen, 2. aktual , 2009. u u 2. Vacca, John R.: Network and system security. Syngress/Elsevier, Burlington, MA, 2010. 3. Peacock, Ian: Showing robots the door. http://www.ariadne.ac.uk/issue15/robots/. 07.09.2011. 4. Shadowserver. http://www.shadowserver.org. 11.09.2011. 5. Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Protokolle. Oldenbourg, Mnchen, 6., uberarb. und erweiterte Auage , 2009. u 6. Oram, Andrew John Viega: Beautiful security. OReilly, Sebastopol, Calif, 1st , 2009. 7. Holz, Thorsten: A short visit to the bot zoo. IEEE (): Security & Privacy, 7679. 2005. 8. Ollmann, Gunter: Botnet Communication Topologies. Botnet Communications http://www.damballa.com/downloads/r pubs/WP Primer (2009-06-04).pdf. 26.08.2011. 9. Jakobsson, Markus Zulfikar Ramzan: Crimeware - Understanding new attacks and defenses. Addison-Wesley, Upper Saddle River, N.J, 2008. 10. Graham, James, Richard Howard Ryan Olson: Cyber security essentials. Auerbach Publications, Boca Raton, FL, 2011. 11. Carle, Georg Schmitt Corinna: Proceedings of the Seminar Future Internet (FI). http://www.net.in.tum.de/leadmin/TUM/NET/NET-2009-04-1.pdf. 11.09.2011. 12. Kamluk, Vitaly: The botnet business. http://www.securelist.com/en/analysis/ 204792003/. 05.09.2011. 13. CyberInsecure.com: Facebook Is Used As Command And Control Channel For Crimeware Distributors. http://cyberinsecure.com/facebook-is-used-as-commandand-control-channel-for-crimeware-distributors/. 11.09.2011. 14. Arbor Networks: Malicious Google AppEngine Used as a CnC. http://asert.arbornetworks.com/2009/11/malicious-google-appengine-used-asa-cnc/. 11.09.2011. 15. Baun, Christian, Marcel Kunze, Jens Nimis Stefan Tai: Cloud Computing: Web-based Dynamic It Services. Springer Verlag, 2011. 16. Albitz, Paul Cricket Liu: DNS und BIND. OReilly, Beijing and , Cambridge and , Farnham and , Kln and , Paris and , Sebastopol and , Taipei and , Tokyo, o 3 , 2002. 17. Schwenk, Joerg: Sicherheit und kryptographie im Internet. Vieweg+Teubner, Wiesbaden, 2009.

Botnetze: Aufbau, Funktion & Anwendung

15

18. Schmidt, Juergen: Hydra der Moderne. 08.09.2011. 19. Mahlmann, Peter Christian Schindelhauer: Peer-to-Peer-Netzwerke: Algorithmen und Methoden. Springer, Berlin, 2007. 20. LEO Onlinew rterbuch: Peer. o http://dict.leo.org/ende?search=peer. 09.09.2011. 21. Internetdienst Golem: 25C3: Storm-Botnet gekapert. http://www.golem.de/print.php?a=64333. 09.09.2011. 22. Dahl, Frederic: Diplomarbeit: Der Storm-Worm. Universitt Mannheim, Manna heim, 2008. 23. Wang, Ping, Sparks Sherri Zou Cliff C.: An Advanced Hybrid Peer-to-Peer Botnet. http://www.usenix.org/events/hotbots07/tech/full papers/wang/wang.pdf. 11.09.2011. 24. Kamluk, Vitaly: Okosystem Botnetze. http://www.viruslist.com/de/analysis ?pubid=200883678. 11.09.2011. 25. Plohmann, Daniel, Elmar Gerhards-Padilla Felix Leder: Botnets: Detection, Measurement, Disinfection & Defence. http://www.fkie.fraunhofer.de/de/forschungsbereiche/cyber-defense/projektbotnetz-bekaempfung/fkie-studie-enisa-botnet.html. 11.09.2011. 26. Schwartz, Mathew J.: Pssst...Want To Rent A Botnet? http://www.darkreading.com/security/vulnerabilities/showArticle. jhtml?articleID=225200525. 11.09.2011. 27. Price, Brian: Botnet for Sale Business Going Strong, Security Researchers Say. http://www.eweek.com/c/a/Security/BotnetBotnet-for-Sale-BusinessGoing-Strong-Security-Researchers-Say848696/. 11.09.2011. 28. Symantec: Symantec Spam Report March 2010. http://www.symantec.com/content/de/de/about/downloads/PressCenter/Spam PhishingReport April2010.pdf. 11.09.2011. 29. Weber, Stefan: Sicher wie Banknoten. http://www.sueddeutsche.de/wirtschaft/kampfgegen-pseudo-pillen-sicher-wie-banknoten-1.961280. 11.09.2011. 30. Australian Goverment: Denial of service. Attorney-Generals Dept., Barton, A.C.T, 2006. 31. Vijayan, Jaikumar: MasterCard, Visa others hit by DDoS attacks over WikiLeaks. http://www.computerworld.com/s/article/9200521/Update MasterCard Visa others hit by DDoS attacks over WikiLeaks. 11.09.2011. 32. Janowicz, Krzysztof: Sicherheit im Internet: [Gefahren einschtzen, Risiken a minimieren: fundiertes Hintergrundwissen rund ums Internet ; eektiver Schutz fr u den PC: Wissenswertes uber Schdlinge und Angrisszenarien ; mit zahlreichen a Sicherheitstools auf CD-ROM]. OReilly, Beijing [u.a.], 2. Au., 1., korrigierter Nachdr. , 2006. 33. Gamer, Thomas: Dezentrale, anomalie-basierte Erkennung verteilter Angrie im Internet. KIT Scientic Publ, Karlsruhe, 2010.