Thema: PC-Schwachstellen: Angriff der Bots

[SiLæncer]

Das Surfen im Internet ist eine feine Sache, keine Frage. Die Bedrohungen durch Hacker, Viren und andere Schädlinge bringen aber leider auch zahlreiche Gefahren mit sich. Symantec, Weltmarktführer in der Informationssicherheit, hat nun seinen Sicherheitsreport für das erste Halbjahr 2004 vorgestellt.
 
Auffällig ist in erster Linie, dass verstärkt Betreiber von E-Commerce-Angeboten angegriffen wurden. Insgesamt 16 Prozent aller Angriffe erfolgten auf die E-Commerce-Branche. Dies entspricht einer Zunahme von 400 Prozent gegenüber dem zweiten Halbjahr 2003 als nur vier Prozent der E-Commerce-Angebote angegriffen wurden. Diese Entwicklung deutet darauf hin, dass Angreifer vermehrt wirtschaftlichen Gewinn erzielen wollen. Diese Tendenz wird durch einen Zuwachs an Phishing-Attacken bestätigt. Auch Spyware, die vertrauliche Informationen stiehlt und an Angreifer weiterleitet, kommt immer häufiger zum Einsatz.

Es bleibt nur noch wenige Zeit

Alarmierend ist auch eine weitere Tendenz: Die Zeit, die zwischen der Verkündung einer Schwachstelle und der Veröffentlichung eines entsprechenden Exploit liegt, wird immer geringer. Unter einem Exploit versteht man einen Code, die die Ausnutzung der Schwachstelle ermöglicht. Die von Symantec erhobenen Daten zeigen, dass das Zeitfenster bei durchschnittlich knapp sechs Tagen liegt. Angreifer suchen bei Bekantgabe eines Exploit Code in großem Maßstab nach Systemen mit der entsprechenden Schwachstelle und versuchen, diese auszunutzen. Wenig Zeit also für Unternehmen, bedrohte Systeme zu schützen.

Bots greifen an
 
Verschärft wird die Schwachstellenproblematik durch die Zunahme an Bots. Bots sind Programme, die heimlich auf Zielsystemen installiert werden und die nicht autorisierten Nutzern die Fernkontrolle des Computers erlauben. Angreifer koordinieren oft große Gruppen von solchen ferngesteuerten Systemen (Botnets), um nach Systemen mit Schwachstellen zu suchen. Mit Botnets lassen sich auch Geschwindigkeit und Breite von Angriffen erhöhen.

Während der letzten sechs Monate verzeichnete Symantec einen starken Anstieg an ferngesteuerten Bots. Die durchschnittliche Zahl von fernüberwachten Systemen stieg von unter 2.000 auf mehr als 30.000 - pro Tag. In Spitzenzeiten wurden 75.000 neue Bots pro Tag verzeichnet. Botnets stellen besonders für Unternehmen ein Problem dar, weil sie schnell ferngesteuert mit aktuellem Exploit Code versehen werden können und so Unternehmen am rechtzeitigen Patchen der Systeme gehindert werden könnten.

Immer mehr Schwachstellen

Symantec verzeichnete 1.237 Schwachstellen zwischen dem 1. Januar und 30. Juni 2004, das entspricht 48 neuen Schwachstellen pro Woche. 70 Prozent dieser Schwachstellen wurden als leicht ausnutzbar eingestuft. 96 Prozent stellten mäßige bis gravierende Bedrohungen dar. Das bedeutet, dass Unternehmen Tag für Tag mit durchschnittlich sieben neuen Schwachstellen konfrontiert werden, die - sofern sie ausgenutzt werden - fast alle zu einer teilweisen oder vollständigen Schädigung des Systems führen können.

Quelle : www.onlinekosten.de

[SiLæncer]

Eine Gruppe von Freiwilligen aus der Antivirus- und Sicherheitsbranche fokussiert ihre Kräfte bei der Bekämfung von Botnets verstärkt auf die Kontrollrechner. Die in den letzen Monaten zu beobachtende starke Zunahme der Verbreitung von Würmern, die Trojanische Pferde einschleusen, steht nach Einschätzung vieler Sicherheitsfachleute in direktem Zusammenhang zum Aufbau von Botnets. Über die eingeschleusten Trojanischen Pferde werden tausende von meist privaten Rechnern ferngesteuert und für den Versand von Spam- und Phishing-Mails oder konzertierte Angriffe auf Web-Server genutzt.

Die Steuerung der auch als "Zombies" bezeichneten PCs erfolgt über Kontrollrechner, die oft in den Netzen von Unternehmen oder Bildungseinrichtungen beheimatet sind. Dort wird heimlich ein IRC-Server (Internet Relay Chat) als Steuerungssoftware installiert, über den neue Befehle an die Zombies verteilt werden.

Roger Thompson von Computer Associates hält es für effizienter, einem Botnet praktisch den Kopf abzuschlagen als die einzelnen Zombies still legen zu wollen. Für einen gesäuberten Zombie-PC stünden in kurzer Zeit zwanzig oder hundert neue bereit. Ohne den Kontrollrechner sei ein Botnet hingegen erstmal nahezu nutzlos.

Die Gruppe setzt sich aus über hundert internationalen Sicherheitsfachleuten zusammen, die sich auf persönliche Empfehlung und Einladung in geschlossenen Mailing-Listen zusammen finden und ihre Erkenntnisse austauschen. Sie arbeiten unter anderem bei Antivirus-Herstellern, Internet-Providern oder in Universitäten.

Bekommen sie ein neues Trojanisches Pferd in die Hände, wird es sorgfältig seziert. So erfahren die Forscher, woher die Befehle kommen und wie die Kommunikation zwischen dem Kontrollrechner und den Zombies aufgebaut ist. Dann wird in Zusammenarbeit mit den jeweiligen Netzbetreibern der betreffene Kontrollrechner ausfindig gemacht und aus dem Verkehr gezogen.

Quelle : www.pcwelt.de

[SiLæncer]

Sicherheitsfachleute befürchten, dass die Kommunikation in Botnets in Zukunft verschlüsselt werden könnte, was Ermittlungen erschweren würde.

In Zukunft könnten sich Trojanische Pferde, die Botnets steuern, mit verschlüsselter Datenübertragung vor der Entdeckung schützen. Diese Befürchtung äußert Adam Meyers, Sicherheitsberater bei SRA International , auf der IT-Sicherheitskonferenz " CSI 32nd Annual Computer Security Conference & Exhibition " in Washington, D.C.

Die Kommunikation in Botnets könnte, so Meyers, bald über verschlüsselte Sessions laufen, wodurch die Entdeckung und Analyse für die Ermittler stark erschwert würde. Heute nutzen die Bots meist IRC (Internet Relay Chat), um sich neue Anweisungen zu holen. Dieser IRC-Datenverkehr kann von Intrusion Detection Systemen (IDS) genutzt werden, um die Anwesenheit von Bots in einem Netzwerk zu entdecken.

Meyers prognostiziert, dass die Programmierer der Bots auch zukünftig alles tun werden, um die Präsenz ihrer Trojanischen Pferde vor Schutzsystemen zu verbergen. In diesem Wechselspiel benötigen behördliche und private Ermittler immer wieder eine gewisse Zeit, bis sie sich und ihre Analysewerkzeuge den neuen technischen Fähigkeiten der Bots angepasst haben.

Die Programmierer hätten eine ganze Reihe von Verschlüsselungsmethoden zur Auswahl, darunter heute im Internet übliche Techniken wie SSL (Secure Socket Layer) oder SSH (Secure Shell) sowie eigene, proprietäre Verfahren. Die Programmierung eines solchen Bots wäre deutlich schwieriger, aber nach Meyers Worten "der Mühe wert". Je länger sich der Bot verbergen könne, umso mehr Geld könnten Botnet-Betreiber mit der Vermietung ihrer Netze, zum Beispiel an Spammer, verdienen.

Quelle : www.pcwelt.de

[SiLæncer]

Nicht nur Windows-Rechner werden fremdgesteuert für kriminelle Zwecke missbraucht.

Eine der bestimmenden Malware-Tendenzen des Jahres 2005 ist der Aufbau von Botnets, Netzwerken von einigen zehntausend Rechnern, die über Trojanische Pferde (Bots) fremdgesteuert werden. Es wird oft davon ausgegangen, dass dies, wie Viren und Würmer, ein reines Windows-Problem sei. Jedoch werden Bots auch für Linux geschrieben und in der Praxis eingesetzt. Daran erinnert Johannes Ullrich vom Internet Storm Center kurz vor Ende des Jahres.

Den Anlass für dieses Ausrufezeichen liefern vermehrte Angriffe auf Sicherheitslücken in PHP und PHP-basierten Anwendungen im Web. Die Schwachstellen werden genutzt, um schädlichen Code einzuschleusen, darunter auch Bots. Solchermaßen gekaperte Web-Server dienen zum Beispiel als Heimstatt für Phishing-Sites, nachgeahmte Web-seiten von Banken. Auch die anderen Komponenten eines Phishing-Rings, wie etwa IRC-Server (Internet Relay Chat), Mail-Verteiler oder Zwischenspeicher für ausspionierte Daten sind auf gekaperten Linux- und Unix-Systemen ebenso zu Hause wie auf Windows-PCs.

Bots für Linux zu schreiben ist zudem relativ einfach, da Linux- und Unix-Systeme meist alles an Bord haben, was für einen Bot benötigt wird. Server-Software für Web, Mail oder FTP ist installiert, ebenso Script-Sprachen wie Perl, Phython oder PHP sowie Kompiler für höhere Programmiersprachen. Die Bots können also einfach gehalten, als Quelltext eingeschleust und auf dem Zielsystem kompiliert werden oder sie werden in einer der verfügbaren Script-Sprachen geschrieben.

Der zurzeit über die verschiedenen PHP-Schwachstellen eingeschleuste Linux-Bot "Kaiten" ist nach Angaben von Johannes Ullrich älter als die meisten Windows-Bots. Wie diese nimmt er Kontakt zu einem IRC-Server auf und empfängt auf diesem Weg Anweisungen von seinem Herrn und Meister.

Soweit möglich, sollten Sie auf einer Linux-Maschine alle Script-Sprachen und Kompiler entfernen, die Sie nicht unbedingt benötigen. Vor allem jedoch sollten Sie zeitnah Sicherheits-Updates für PHP und darauf basierende Anwendungen installieren.


Quelle : www.pcwelt.de

[SiLæncer]

Vorgebliche Microsoft-Mails locken Opfer mit einem angeblichen Sicherheits-Update in die Botnet-Falle.

Botnets sind die Basis für viele Betätigungsfelder von Online-Kriminellen. Der Bedarf an gekaperten und fremdgesteuerten PCs wächst ständig und so nutzen die Täter viele Wege, um neue Opfer zu rekrutieren. Axel Eckelberry, Chef von Sunbelt , berichtet in seinem Weblog über Mails, die vorgeblich von Microsoft stammen und einen Link zu einem angeblichen Sicherheits-Update enthalten.

Der Betreff der Mails lautet "New Microsoft Windows Update Security" und enthält einen Link namens "Microsoft Windows Security Update". Er führt auf eine gefälschte Windows-Update-Seite, die eine präparierte WMF-Datei lädt. Durch diese soll eine Sicherheitslücke in Windows ausgenutzt werden, um ein Trojanisches Pferd einzuschleusen.

Auch wer das Sicherheits-Update gegen diesen WMF-Exploit bereits installiert hat, jedoch auf den "Start"-Link auf der Seite klickt, erhält eine Datei "wusetup.exe" zum Download. Dabei handelt es sich um ein Installationsprogramm, das den Rechner zu einem Teil eines Botnets macht. Der PC kann nun ferngesteuert werden und versendet ohne Wissen des Besitzers zum Beispiel massenhaft Spam-Mails.

Quelle : www.pcwelt.de

[SiLæncer]

Die Gruppe hinter dem so genannten Sturm-Wurm, der zum Aufbau eines Botnets dient, greift mit Hilfe der von ihr kontrollierten Rechner die Server einer anderen Malware-Gruppe sowie Anti-Spam-Websites an.

Mit der Verbreitung immer neuer Malware mittels zum Teil als Grusskarten getarnter Mails hat die Gruppe hinter dem so genannten Sturm-Wurm ein P2P-basiertes Botnet nicht näher bekannter Größe aufgebaut. Diese fremdgesteuerten Zombie-Rechner kommunizieren untereinander über ein modifiziertes eDonkey-Protokoll und können so auch den Ausfall des zentralen Kontroll-Servers überbrücken. Die Rechner werden auch dazu genutzt, Angriffe gegen verschiedene Web-Server durchzuführen.

Wie Joe Stewart von Secure Works berichtet , greift die Sturm-Wurm-Gruppe unter anderem einige Server an, die der Stration-/Warezov-Gruppe als Download-Server zum Nachladen von Malware dienen. Weitere Websites, die bereits mit DDoS-Attacken (Distributed Denial of Service) angegriffen wurden, sind Anti-Spam-Websites wie Spamhaus .

Ob die kürzlich erfolgten Angriffe auf die Root-DNS-Server auch auf das Konto dieser Gruppe gehen, ist nicht schlüssig zu beantworten und bleibt daher einstweilen Spekulation. Jedenfalls sind einige Botnet-Betreiber offenbar bereit jeden anzugreifen, der ihren Profit schmälern oder gefährden könnte - auch Konkurrenten. Dieser Profit resultiert aus der Vermietung der Zombie-Netze (Botnets) an Spammer, die sie zur Verbreitung ihrer Werbe-Mails nutzen.

Quelle : www.pcwelt.de

[SiLæncer]

Nutzer von MySpace laufen einmal mehr Gefahr ihren PC mit Malware zu verseuchen. Infizierte Rechner werden Teil eines Botnets und als Proxy für Phishing-Seiten sowie zur Verbreitung von Malware ausgenutzt.

Die Möglichkeiten des so genannten "Web 2.0" haben dazu geführt, dass Websites mit Nutzer-generierten Inhalten zunehmend der Verbreitung von Malware dienen. Jüngstes Beispiel ist, wie das Internet Storm Center berichtet, einmal mehr die Community-Site MySpace. Mehrere infizierte Nutzerprofile schleusen über Sicherheitslücken im Internet Explorer ein Trojanisches Pferd aus der "FluxBot"-Familie ein.

Die mutmaßlich nur zu diesem Zweck angelegten Nutzerprofile enthalten einen mehrstufig getarnten Exploit, der über anfällige Versionen des Internet Explorers zunächst einen Downloader einzuschleusen versucht. Dieser lädt dann den eigentlichen FluxBot aus dem Internet nach und installiert ihn. Der verseuchte PC wird Teil eines Netzwerks von FluxBots, die als Proxy-Server zu Tarnung von Phishing-Seiten und Malware-Downloads dienen.

Quelle : www.pcwelt.de

[SiLæncer]

Kriminelle versuchen offenbar mit Hilfe eines wachsenden Botnets an gültige Zugangsdaten für möglichst viele Ebay-Konten zu gelangen. Zunächst werden Rechner mit Malware verseucht, die dann jeweils einige Login-Versuche bei Ebay ausführen.

Mit Botnets lässt sich offenkundig mehr anfangen als nur Spam-Mails zu versenden oder DoS-Angriffe zu starten. Zu den Einfällen derjenigen, die ein Botnet kontrollieren, gehört nach einer Meldung des israelischen Sicherheitsunternehmens Aladdin Knowledge Systems ein verteilter Angriff auf Nutzerkonten bei Ebay. Dieser Angriff ist mehrstufig und der genaue Zweck bleibt einstweilen unklar.

Die Täter dringen zunächst über Sicherheitslücken in Datenbank-gestützten Management-Systemen (SQL-Injection) in populäre Web-Server ein. Die Web-Seiten werden dann durch Einfügen eines Iframes so manipuliert, dass sie schädlichen Code von einem anderen Server nachladen. Die Rechner der Besucher von derart präparierten Websites werden dann mit Hilfe von Exploit-Code für bekannte Browser-Schwachstellen unbemerkt mit einem Trojanischen Pferd infiziert.

Dieser Schädling verwandelt den PC mittels weiterer Malware, die er über das Internet nachlädt, in einen so genannten Zombie, also in ein fremdgesteuertes Mitglied eines Botnets. Die Zombie-Rechner probieren dann bei Ebay verschiedene Kombinationen aus Benutzername und Passwort durch. Sie greifen dazu direkt auf eine Programmierschnittstelle von Ebay zu. Jeder Rechner versucht nur ein paar Kombinationen, um nicht aufzufallen.

Mit diesem als "Brute Force" (rohe Gewalt) bezeichneten Ansatz kann es den Botnet-Betreibern durch die große Zahl der von ihnen kontrollierten Computer gelingen, an gültige Zugangsdaten für eine gewisse Zahl von Ebay-Konten zu gelangen. Welche Zwecke sie damit verfolgen, ist noch unklar. Denkbar sind etwa Einkäufe zu Lasten der rechtmäßigen Ebay-Nutzer oder betrügerische Verkäufe nicht existierender Artikel. Auch das Plündern von Paypal-Konten kann Ziel dieser Angriffe sein.

Wie Aladdin mitteilt, laufen diese Angriffe vermutlich bereits seit August. Aladdin habe seine Erkenntnisse an Ebay gemeldet, jedoch noch keine Antwort erhalten. Zu den kompromittierten Websites, die zum Einschleusen von Malware missbraucht werden, sollen populäre Preissuchmaschinen, Maklerportale und Nutzerforen zählen - unter anderem in Israel, Italien und den USA.

Quelle : www.pcwelt.de

[SiLæncer]

Datenraten von über 20 Gigabit pro Sekunde sind zwar vorerst noch die Ausnahme, in Einzelfällen sahen sich Netzwerkbetreiber im vergangenen Jahr aber Angriffen ausgesetzt, die bis zu 24 Gbit/s erreichten. Dies berichtet Arbor Networks im Worldwide Infrastructure Security Report, der auf Informationen von rund 70 weltweit tätigen Tier1- und Tier2-Netzbetreibern zu Attacken zwischen Juli 2006 und Juni 2007 beruht. Im Jahr 2001 war als höchste Angriffsrate noch 0,4 Gbit/s angegeben worden. Da die Bandbreite der Mehrzahl der Internet Backbone Links heute nicht größer als 10 Gbit/s sei, "bewirken die meisten größeren Angriffe zusätzlichen Schaden am Infrastruktur-Upstream der Ziele selbst", heißt es im Bericht.

Weitere Ergebnisse des Berichts sind leicht veränderte Einschätzungen der Provider zum Gefahrenpotenzial verschiedener Arten von Manipulationen, die Zunahme von sogenannten Managed Security Services und die Gefährdung von VoIP. Nur 20 Prozent der Provider würden spezielle Tools zur Erkennung und Abwehr von Gefahren für internetgestützte Telefonie nutzen, heißt es, weshalb Arbor hier besonderen Nachholbedarf sieht. Erstmals erklärten die Provider Botnets zur größten Gefahr für das Netz, während "Distributed Denial of Service Angriffe" (DDoS) erst an zweiter Stelle genannt wurden. Allerdings, so präzisiert der Bericht, würden Bot-Netze gerade auch für DDoS-Attacken eingesetzt und auch die an dritter Stelle genannten Attacken auf Rootserver würden oft nach DDoS-Muster ablaufen.

Die Liste der Angriffe, für die Bot-Netze genutzt würden, werde dabei bedrohlicher: Außer Spammern bedienten sich zunehmend Phisher und Click-Fraud-Betrüger der Zombies. Die missbräuchliche Nutzung der persönlichen Daten eines Nutzers nannten die Provider mit Blick auf die allgemeine Gefahrenlage interessanterweise noch vor Wurm-Attacken. Die Verteilung verschiedener Angriffstechniken legt laut Arbor den Schluss nah, dass nach wie vor in erster Linie auf Masse (Brute Force) gesetzt wird. Allerdings gaben viele Provider mit Blick auf die Größe der Bot-Netze an, dass offenbar kleinere, flexiblere Botnetze inzwischen bevorzugt würden. Rund 13 Prozent der beobachteten Bot-Netze umfassten weniger als 1.000 Rechner, zwischen vier und fünf Prozent nutzten mehr als 150.000 Rechner.

Ziele seien vor allem kommerzielle Seiten. Allerdings investieren Unternehmen laut Arbor am wenigsten in eigene Manpower zur Sicherung ihrer Netze: Im Durchschnitt würde sich maximal eine Person dezidiert um die Netzwerksicherheit kümmern. Meldungen an die Behörden zu Attacken auf ihre Kunden machen die Provider im Übrigen in den seltensten Fällen. Als Hauptgrund dafür wird angegeben, dass man dies den Kunden selbst überlassen wolle.

Reagiert wird auf die wachsenden Bedrohungen vor allem durch ein wachsendes Angebot von Managed Security Services. "Mehr als ein Drittel der befragten Provider bieten bereits DDoS Managed Security Services an, ein weiteres Drittel plant die Einführung solcher Services in den nächsten 24 Monaten, um die Netzwerke von Unternehmenskunden besser zu schützen." Verstärkt werde auch Open-Source-Software bei der Erkennung von Attacken eingesetzt. Hatten im Jahr 2005 noch 16 Prozent der Provider angegeben, Open-Source-Produkte zur Erkennung zu nutzen, waren es im Jahr 2006 bereits 26 Prozent.

http://www.arbornetworks.com/report

Quelle : www.heise.de

[SiLæncer]

Mit der Verfügbarkeit schneller Internet-Zugänge für private Anwender ist auch der Aufstieg der Botnets verbunden. Nach einem aktuellen Sicherheitsreport von Symantec sind 23 Prozent der Bots in Europa auf Rechnern in Deutschland zu Hause.

Das Antivirus- und Sicherheitsunternehmen Symantec hat seinen Halbjahresbericht zur Sicherheitslage im Internet veröffentlicht. Der Sicherheitsreport bietet auch eine Auswertung für die Region Europa, Mittlerer Osten und Afrika (EMEA). Demnach stehen die meisten Zombie-PCs dieser Region in Deutschland, immerhin jeder vierte. Auch die Kommando-Server der Botnets sind häufig in Deutschland beheimatet.

Insgesamt gehen 19 Prozent aller Sicherheitsgefahren im Internet von Deutschland aus - das ist wiederum Platz 1 in Europa. Die Zahl der Phishing-Seiten in Deutschland geht zurück, Deutschland ist jedoch immer noch die Hochburg des Phishings in Europa. Die überwiegende Zahl der Angriffe (99,4 Prozent) in der Region EMEA zielen auf Endanwender.
Die meisten Angriffe auf Rechner in der EMEA-Region gehen von den USA aus. Dort sind immerhin 20 Prozent aller Breitbandzugänge und 18 Prozent aller Internetzugänge weltweit zu finden. Das erhöht schlicht die Wahrscheinlichkeit, dass Computer in diesem Land infiziert werden. China holt allerdings schnell und liegt bei der Zahl der Internetzugänge bereits auf dem zweiten Platz. Folgerichtig sind auch schon 29 Prozent aller Botnet-Rechner in China zu finden.

In Deutschland hat Symantec von Januar bis Juni im Schnitt über aktive 18.000 Zombie-PCs pro Tag registriert. Auch die chinesischen Zombies werden zum Teil von Deutschland aus gesteuert, denn hier befindet sich jeder vierte Kommando-Server der EMEA-Region. Ursache ist auch hier die recht gute Verfügbarkeit breitbandiger Internetzugänge wie DSL. Bots dienen der Verbreitung von Spam- und Phishing-Mails sowie von Trojanischen Pferden, die vertrauliche Daten ausspionieren.

Die Schädlinge werden häufig über präparierte Web-Seiten verbreitet, die Sicherheitslücken in Browsern und deren Plug-ins ausnutzen, um Malware einzuschleusen.

Quelle : www.pcwelt.de

[SiLæncer]

Ein Wurm, der sich über den Live Messenger von Microsoft verbreitet, hat bereits wenige Stunden nach seiner Freisetzung ein mehrere tausend Zombie-PCs umfassendes Botnet aufgebaut, das weiterhin wächst.

Anwender des Windows Live Messengers von Microsoft (ehemals MSN-Messenger) erhalten in diesen Tagen unter Umständen eine Mitteilung von bekannten Kontakten, die eine selbst entpackende ZIP-Datei enthält. Deren Name soll mit einem Bestandteil wie "pics" oder "images" auf vermeintlich enthaltene Bilder hinweisen. Es handelt sich jedoch um eine Datei mit doppelter Endung wie etwa "<name>.jpg.exe" oder eine PIF-Datei mit einem Namen wie "IMG01234.PIF".

Wird die Datei aufgerufen, installiert sie einen so genannten Bot (von: Roboter). Wie das Sicherheitsunternehmen Aladdin Knowledge System berichtet, handelt es sich dabei um einen so genannten IRC-Bot. Es ist also ein Schädling, der infizierte PCs in ein Botnet einreiht und per IRC (Internet Relay Chat) mit seinem Herrn und Meister kommuniziert.

Kurz nach der Entdeckung am Montag Morgen konnte die Malware-Forscher von Aladdin ein Kontroll-Server und etwa 500 Zombies (infizierte PCs) beobachten. Bereits weniger als drei Stunden später waren es bereits mehrere tausend Zombies und die Zahl stieg weiter um mehrere hundert pro Stunde. Der Schädling verbreitet sich Wurm-artig an die gespeicherten Kontakte von Anwendern des Live Messengers.

Während die Verbreitung über Instant Messenger ein üblicher Infektionsweg ist, haben die Aladdin-Forscher eine Eigenart dieses noch unbenannten Schädlings entdeckt, die ungewöhnlich ist. Er sucht nach aktiven VNC-Servern (Virtual Network Computing), die zur Fernwartung von Rechnern verwendet werden. Damit soll offenbar die Reichweite des Botnets vergrößert und auch durch Firewalls hindurch in Firmennetze ausgedehnt werden.
Was die Täter mit dem neu aufgebauten Botnet vorhaben, ist noch nicht bekannt. Aladdin will jedoch den IRC-Channel, der zur Steuerung der Zombies dient, weiter beobachten. Darin tummeln sich neben dem Botmaster nur infizierte Rechner.

Quelle : www.pcwelt.de

[SiLæncer]

Die Universität Mannheim hat zusammen mit der Peking University einen Bericht über IRC-basierte Bot-Netze und einen Bericht zu bösartigen Webseiten im chinesischen Internet veröffentlicht. Der Botnet-Bericht fasst die Ergebnisse einer einjährigen Beobachtung von Malware und Bots mit Hilfe von 17 verteilten Honeypot-Sensoren in China zusammen. Mit mehreren selbst geschriebenen Tools sei es gelungen, die Aktivität von knapp 3300 Botnetzen zu untersuchen, die über IRC-Server ihre Befehle entgegennehmen.

Die meisten Bots beruhten mit rund 26 Prozent auf Abkömmlingen der Rbot-Familie, 16 Prozent auf der Virut-Familie und immerhin noch 8 Prozent auf SdBot. Zwar nutzen diese Bots IRC zur Kommunikation mit ihrem Command&Control-Server (C&C), den Beobachtungen zufolge würden aber nur noch 36 Prozent auf dem IRC-Standard-Port 6667 arbeiten. Vermutlich wollen die Bot-Hirten mit der Wahl anderer Ports die Erkennung ihrer Bot-Herde erschweren. Als IRC-C&C-Server zählten die Autoren der Studie den Unreal-Server am häufigsten mit fast 60 Prozent.

Zwar registrierte das Honeynet-Team mehr als 1,5 Millionen Bots, das größte Bot-Netz zählte allerdings nur etwas mehr als 50.000 Mitglieder. Zwar sei aufgrund von verschleiernden Funktionen wie NAT nur eine grobe Schätzung, verglichen mit den fast 1,3 Millionen Bots eines neuseeländischen Hackers wirkt dies allerdings dennoch eher wie eine Straßenbande.

Die Analyse setzt sich zudem mit den Aktivitäten der Botnetze auseinander: Am häufigsten werden sie aktiv, um sich zu vermehren – ähnlich ihren biologischen Äquivalenten. In ihre Wirte dringe sie dabei größtenteils über Windows-Uralt-Lücken im ASN.1-Parser, DCOM und LSASS ein. Zweitliebste Beschäftigung der Bots sind laut Statistik DDoS-Attacken in diversen Variationen von SYN-, TCP- und UDP-Flooding. Erst an fünfter Stelle steht der Diebstahl von Informationen. Das Versenden von Spam taucht in der Liste gar nicht auf.

Der zweite Bericht setzt sich mit der chinesischen Internet-Wirtschaft im Untergrund und dem Handel mit Exploits, Schädlingen und gestohlenen Daten auseinander. Dabei hat man sich unter anderem auf die Suche nach bösartigen Webseiten gemacht und kam zu dem Ergebnis, dass fast jede siebzigste Seite Schädlinge enthält und verbreitet. Der Bericht ist auch insbesondere unter dem Aspekt der Großen Chinesischen Firewall interessant, die den Verkehr ins ausländische Internet filtert. Beide Berichte stehen als PDF-Dokument zum Download bereit und rühren aus den gemeinsamen Aktivitäten im Rahmen des Honeynet-Projektes her.

Siehe dazu auch:

    * Characterizing the IRC-based Botnet Phenomenon, Studie der Universität Mannheim und der Peking University
    * Studying Malicious Websites and the Underground Economy on the Chinese Web, Studie der Universität Mannheim und der Peking University

Quelle und Links : http://www.heise.de/newsticker/meldung/100048

[SiLæncer]

Immer mehr PCs werden von Hackern gekidnappt, zum Versand von Spam-Mails oder für Hackangriffe missbraucht. Die Computerbenutzer bekommen davon meist nichts mit. Doch die Netze gekaperter Computer stellen eine große Gefahr dar, besonders für Deutschland.

China und die Vereinigten Staaten führen die Top Ten an. Doch gleich an dritter Stelle der Länder mit den meisten Bot-verseuchten Rechnern steht Deutschland - das auch etliche der Server beherbergt, von denen aus die Botmeister die gekaperten Rechner fernsteuern.

Dass Deutschland einig Botland ist, bekam die breite Öffentlichkeit zuletzt 2004 mit. Damals ging schwäbischen Fahndern ein 21-jähriger Botnet-Betreiber in die Falle. Doch seither hat sich die Botgefahr nur noch weiter vergrößert, mahnt das European Network Information and Security Agency (ENISA) in einem neuen Positionspapier (PDF -  http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.pdf ).

Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mithilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Webseiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PCs, können sie via Web steuern.

13 Millionen Euro Schaden durch ein einziges Botnet

Solche Botnets zu vermieten kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Websites in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen.

Erst vor wenigen Tagen kamen Kriminalbeamte einem 18-jährigen Neuseeländer auf die Spur, der als Botmeister wahrscheinlich mehrere Zehntausend Rechner kontrollierte. Der angerichtete Schaden wird auf 13 Millionen Euro geschätzt.

Derzeit, schätzen Experten im ENISA-Papier, sind weltweit 1000 bis 2000 Botnets aktiv. Durchschnittlich besteht jedes dieser Netze aus rund 20.000 infizierten Computern. Die kleinsten Netzwerke sind aus ungefähr zehn, die größten aus bis zu 300.000 Rechnern aufgebaut. Laut Symantec kommen pro Tag rund 50.000 neue Bot-PCs hinzu. Täglich sind fünf bis sechs Millionen der ferngelenkten PCs aktiv.

Dumpingpreise chinesischer Hacker

Viele davon stehen in Deutschland. Experten schätzen, dass zwischen Flensburg und Konstanz 100.000 Rechnern infiziert sind. Jeden Tag könnte so ein Bot circa 260.000 Spam-Nachrichten versenden - oder einen Server mit durchschnittlich 40 Kilobyte pro Sekunde bombardieren. Greifen 10.000 Bots an, schalten die meisten Internetseiten überlastet ab, sind für Stunden nicht mehr erreichbar.

Diese so genannten Distributed Denial of Service-Angriffe (DDoS) benutzen Kriminelle für Erpressungen oder zur Sabotage - gegen Bezahlung. Je stärker, größer und besser getarnt das Botnet, desto wertvoller: Pro gekidnapptem Rechner und Tag verlangen Botmeister ein bis vier Euro, für besonders leistungsfähige Rechner sogar 50 bis 70 Euro. Chinesische Hacker unterbieten ihre Konkurrenten bereits mit Dumping-Preisen, vermieten Bots für weniger als einen Euro pro Tag. Gemietet wird tage-, manchmal auch nur stundenweise..

Um noch mehr Geld zu machen, warnt das ENISA-Papier, reicht den Hackern das Web aber längst nicht mehr. Neue Bots verbreiten sich auch über Instant Messenger (ICQ, MSN, AIM u.a.). Bald sollen auch Mediacenter, Handys und andere mobile Geräte attackiert werden. Um immer mehr User mit einer Bot-Software zu infizieren, stellen Hacker-Teams ausgefuchste Webseiten ins Netz, die aufwändig gestaltet sind. Bereits zwei Drittel aller Neuinfektionen geschieht über solche clever gestaltete Webseiten, die gezielt Sicherheitslücken in Browsern und Betriebssystemen ausnutzen.

Der nächste Schritt: spezialisierte Botnets

Der deutsche Botnet-Experte Thorsten Holz, Doktorand am Laboratory for Dependable Distributed Systems der Uni Mannheim, zeigt sich über das technische und organisatorische Geschick der Botnet-Hacker erstaunt: "Das sind professionelle Teams mit Qualitätssicherung und Vertriebsstrukturen." In seinem Honeyblog greift er aktuelle Botforschung auf und zeigt Webseiten, auf die User gelockt werden, um Bots auf ihre PCs übertragen zu können. Holz zufolge setzen viele dieser Teams noch auf möglichst große Bot-Armeen. Doch das könnte bald ein Ende haben: Je größer so ein Netzwerk, desto leichter ist es auch zu erkennen.

Neue Kaper-Methoden - und was man dagegen unternehmen kann

Die beste Tarnung, gibt Holz zu bedenken, haben kleine, hochspezialisierte Botnets. Sie greifen mithilfe sogenannter Social-Engineering-Techniken gezielt eine Firma, eine Behörde oder einen Sprachraum an - mit hoher Erfolgsquote. Solche Botnets machen sich zunutze, dass E-Mails oder Webseiten-Links scheinbar von Freunden oder Kollegen geschickt wurden. Die so gewonnenen Informationen lassen sich zielgerichtet zum Beispiel zum Passwort-Klau oder zur Betriebsspionage ausnutzen.

Auch wird es immer schwieriger, einzelne Bots überhaupt aufzuspüren. Vertrauten Botmeister früher noch auf einen zentralen Server, über den sie ihre Bots kontrollierten, tauschen sich moderne Bots über ein P2P-Netz aus - es gibt also keinen zentralen Server mehr, den man einfach abschalten könnte, um so das ganze Botnet lahmzulegen.

Besonders trickreich: Die Bots verändern sich mittels Zufallsroutinen ständig selbst: Sie mutieren, können aus der Entfernung um neue Funktionen erweitert werden. Sie verändern ständig die Spuren, die sie im Netz und auf ihren Wirtsrechnern hinterlassen und sind damit immer schwieriger aufzuspüren.

Internationale Zusammenarbeit ist gefragt

Um der wachsenden Gefahr Herr zu werden, ruft das ENISA-Papier die EU-Staaten dazu auf, gemeinsam eine EU-weite Organisation zur Bekämpfung von Cyberkriminalität einzurichten. Botnets stellten zunehmend ein Problem für Wirtschaft, Handel, Staat, Industrie und Individuum dar. Die Maßnahmen gegen Botnets müssten "höchste Priorität" haben, die weltweiten Netzwerk-Strukturen seien mit "desaströsen Konsequenzen" konfrontiert.

Ein Zusammenschluss der Staaten sei wichtig. Auch wenn einzelne Länder in den Statistiken hervorstechen: Botnets sind ein globales Problem, das erst gelöst ist, wenn Bots überall bekämpft und verhindert werden.

Aber nicht nur die Staaten sind gefordert, zum Beispiel mit Awareness-Programmen auf Bots aufmerksam zu machen. Holz wirft insbesondere den deutschen Internetprovidern vor, dass sie zu wenig tun, um ihre Netze gegen die Schädlinge zu schützen. Wie in Amerika sollten sie sich über neue Bot-Funde austauschen und Provider-übergreifende Ausschlusslisten erstellen. Sie sollten ihre Kunden vor der Gefahr warnen und ihnen Anlaufstelle für Infektionsprobleme sein. Manche Internetanbieter zeigen sich indes vorbildlich, weisen ihre Kunden sogar auf eine mögliche Bot-Infektion hin - mitunter einfach dadurch, dass sie die DSL-Verbindung kappen, wenn sie einen Massenversand von Spams von einem befallenen Rechner aus feststellen.

Einfache Maßnahmen könnten helfen

Weiter liegt es aber auch an Software-Herstellern und Betriebssystem-Entwicklern, ihre Produkte sicherer zu gestalten - zur Not mit privaten oder staatlichen Zuschüssen oder durch Prämien für besonders sichere Programme. Die Bot-Forscher arbeiten währenddessen an immer besseren Bot-Fallen - den so genannten Honeypots. Das Honeynet-Projekt von Thorsten Holz infiltriert gar selber Botnets.

Mit all diesen Maßnahmen kann zwar eine Eindämmung und eine Kartographie der Botgefahr gelingen. Letztlich, darauf weisen Holz und das ENISA-Papier ausdrücklich hin, führen aber die Anwender selbst die stärkste Waffen im Kampf gegen die Bots: Wer im Internet unterwegs ist, sollte sein Betriebssystem mit den neusten Updates versorgen, Sicherheitslücken schließen, eine Firewall und ein Antiviren-Programm installieren, auf einen sichereren Browser setzen (z.B. Mozilla Firefox statt Internet Explorer), Links nicht ohne weiteres anklicken und E-Mail-Anhänge von unbekannten Absendern einfach nicht öffnen. Wenn Staat, Industrie und Bürger an einem Strang ziehen, könnte die Botgefahr in wenigen Jahren auf ein Minimum eingedampft sein.

Quelle : www.spiegel.de

[SiLæncer]

Nachdem einige der bekannten großen Botnets im Laufe des letzten Jahres an Bedeutung verloren haben, füllen neue Botnets die entstandene Lücke. Darunter ist auch eines, das als Nachfolger des Sturm-Botnet angesehen wird.

Bereits seit September 2008 hat man nichts mehr vom so genannten Sturm-Wurm gehört, das Abklemmen des Spammer-Providers McColo hat das Ende weiterer großer Botnetze eingeläutet, das Spam-Aufkommen sank vorübergehend um mehr als die Hälfte. Inzwischen füllen andere Botnets wie "Xarvester", "Donbot" oder "Waledec" die Lücke, das Spam-Volumen hat fast schon wieder das Niveau von Oktober 2008 erreicht.

Joe Stewart, Leiter der Malware-Forschung bei SecureWorks, hat die Profiteure des McColo-Endes untersucht. Länger bekannt Botnets wie "Cutwail" (auch als "Pushdo" bekannt) und "Rustock" haben sich, im Gegensatz zu anderen, von diesem Schlag wieder halbwegs erholt und sich neu aufgestellt. Cutwail soll laut Stewart jetzt etwa 175.000 Zombie-PCs kontrollieren, Rustock noch etwa 130.000.

Mit "Donbot" ist ein bislang noch nicht so bekannter Name auf dem Weg nach oben. Dessen Botmaster haben bereits mehr als 125.000 Rechner unter seiner Kontrolle. Donbot wird vor allem durch Spammer genutzt, die Diätpillen, dubiose Geldanlagetipps und unseriöse Angebote zum Schuldenabbau propagieren.

Auch "Xarvester" nutzt die Gelegenheit sich nach vorne zu arbeiten und hat laut Stewart bereits 60.000 Windows-Computer in seinem Botnet. Neben dem üblichen Medikamenten-Spam wird darüber Werbung für wertlose, da nicht anerkannte Universitätsabschlüsse gemacht und Spam in russischer Sprache verbreitet.

Als Nachfolger des so genannten Sturm-Wurms (Nuwar, Peacomm, Zhelatin) gilt "Waledec", dessen Botnet bereits mehrere zehntausend Zombies umfassen soll. Waledec soll eine komplette Neuimplementierung ("rewrite from scratch") des Sturm-Bot sein - eine Auffassung, die auch auf der großen Ähnlichkeit der Verbreitungsmethoden basiert. Auch Whaledec setzt stark auf Mails mit vorgeblichen Grußkarten. Auch die dezentrale Organisation des Botnet mit P2P-Techniken erinnert an das Sturm-Botnet.

Zur Verschlüsselung der Kommunikation im Whaledec-Botnet kommen AES sowie 1024-Bit RSA-Schlüssel zum Einsatz. Bei sorgfältiger Implementierung dürfte das kaum zu knacken sein. Ginge man für dem Moment davon, so Stewart, dass Whaledec der neue Bot der Sturm-Programmierer sei, hätten sie aus den Fehlern der Vergangenheit gelernt.

Jose Nazario von Arbor Networks unterstützt diese These. Er habe festgestellt, dass Whaledec teilweise dieselben IP-Adressen benutzt wie der Sturm-Bot. Die Programmierer hätten die Kommunikation jedoch vom eDonkey- auf das gängigere HTTP-Verfahren umgestellt, das schwerer auszufiltern sei. Er sei inzwischen überzeugt, das Whaledec der neue Sturm-Wurm sei, meint Nazario.

In jedem Fall sind die genannten Botnets Beispiele für die Entwicklungen, die uns im neuen Jahr erwarten. Wir müssen davon ausgehen, dass die Online-Kriminalität weiter florieren wird, solange satte Gewinne winken.

Quelle : www.pcwelt.de

[SiLæncer]

Online-Kriminelle erwirtschaften auch mit Hilfe von Botnets Rekordgewinne durch Klickbetrug. Bereit ein knappes Drittel aller Klickbetrügereien werden mit Botnets ausgeführt und die Tendenz zeigt weiter nach oben.

In und mit dem Internet legal Geld zu verdienen ist gar nicht so einfach. Eine Reihe von Geschäftsmodellen basieren auf Werbung, etwa durch Werbebanner, um wenigstens die Kosten einzuspielen. Abhängig davon, wie oft ein Werbebanner angeklickt wird, erhalten Websitebetreiber Provisionen ("pay per click"). Diese Geschäftsmodelle werden durch so genannten Klickbetrug gefährdet. Hier klicken nicht echte Internet-Nutzer sondern automatische Scripte und sorgen zunehmend für finanzielle Schäden.

Das Unternehmen ClickForensics erstellt bereits seit Jahren Analysen des Datenverkehrs in Werbenetzwerken, um den Klickbetrug zu erfassen. Mit seinem Click Fraud Index gibt ClickForensics Unternehmen konkrete Zahlen an die Hand. Diese Zahlen zeigen eine anhaltende Tendenz nach oben, der Klickbetrug nimmt also weiter zu.

Im Laufe des Jahres 2008 gab es zwar zunächst einen leichten Abwärtstrend, im letzten Quartal ging es jedoch wieder steil nach oben. Jeder sechste Mausklick (etwa 16 Prozent) auf ein Werbebanner ging zwischen Januar und September 2008 auf betrügerische Aktivitäten zurück, im vierten Quartal stieg der Wert auf über 17 Prozent. Die Inhaltsnetzwerke der Suchmaschinen, wie etwa Google Adsense oder das Yahoo Publisher Network, sind mit einer Betrugsrate von etwa 28 Prozent besonders stark betroffen.

Hinter diesen Zahlen stecken Online-Kriminelle, die mit Werbebannern auf ihren speziell präparierten Websites Geld verdienen. Sie generieren mit Programmen mehr Klicks auf die Werbebanner als sie überhaupt echte Besucher haben. Dazu bedienen sie sich zunehmend angemieteter Botnets. Auf den fremdgesteuerten Zombie-Rechnern laufen Programme ab, die Websites aufrufen und betrügerische Klicks generieren. Nach Angaben von ClickForensics waren es Ende 2007 noch 22 Prozent aller betrügerischen Mausklicks, die aus Botnets stammten. Inzwischen sind es bereits mehr als 31 Prozent.

Letztlich bedeutet dies, dass bis zu einem Sechstel der Online-Werbeetats legitimer Unternehmen in den Taschen von Online-Kriminellen verschwinden. Nimmt man noch die Einnahmen hinzu, die durch Versenden von Spam erzielt werden, erhält man eine Idee, welche Gewinne die Online-Kriminalität macht.

Quelle : www.pcwelt.de