Botnetze arbeiten zunehmend intelligenter

synaix Newsletter Ausgabe 01/2010 vom 04.01.2010

Die Infrastruktur der illegalen Netzwerke entwickelt sich rasant. Zehn Schwergewichte unter den Botnetzen kontrollieren nach Angaben von Symantec derzeit mindestens fünf Millionen infizierte Computer. Bots (als Abkürzung für Robots) sind von Malware befallene Rechner, die von Spammern zur Verteilung der Rechenlast und zum unauffälligen Versand von Spam benutzt werden. Zu den größten Botnetzen gehören demnach Cutwail, Rustock und Mega-D. 

"Die Betreiber der Botnetze haben nach der Abschaltung von Internet Service Providern wie McColo Ende 2008 und Real Host im August 2009 die Backup-Strategie für ihre Kommando- und Kontrollsysteme überarbeitet und erweitert", so Paul Wood von Symantec Hosted Services. Damals hätten die Schließungen die Aktivitäten noch für einige Zeit ausgebremst. Doch nun erholten sich die Botnetze binnen Stunden von solchen Schlägen.

Das deute auf einen Trend hin: Botnetze entwickeln in diesem Jahr voraussichtlich autonome Intelligenz. Jeder Rechenknoten enthält dann autarken Programm-Code und sichert so sein eigenes Überleben. Die verkürzten Erholungsphasen der Netze deuten zudem auf eine Backup-Strategie ihrer Kontrolleure hin. Symantec vermutet, dass hier "Schläfer"-Bots zum Einsatz kommen, die nur bei Bedarf "geweckt" werden.

In den vergangenen zwölf Monaten hat sich diesen Angaben zufolge die Technologie der Malware verbessert, mit der Botnetze erzeugt werden. Kernel-Rootkits - also Tarnsoftware, die Teile des Betriebssystemkerns ersetzt, um sich und ihre Aktivitäten zu verbergen - werden zur Norm. "Kugelsichere" Botnetze setzten zudem auf Fast-Flux. Hierbei handelt es sich um eine Domain Name Service- Technologie (DNS), mit der sich schädliche Websites verbergen lassen, die das Botnetz bereitstellt. Die Websites sind hinter einer ständig wechselnden Liste von IP-Adressen gekaperter Rechner versteckt, die als Web-Server oder Verteiler dienen.

Im Lauf des vergangenen Jahres haben Botnetze außerdem verstärkt auf Peer-to-Peer-Technologie (P2P) als Kontrollmechanismus gesetzt. In P2P-Botnetzen lernen die einzelnen Rechner von anderen Computern im Netz und tauschen Informationen untereinander aus. Anweisungen müssen nur noch an einzelne Zombie-Rechner geschickt werden und verteilen sich anschließend über das gesamte Netzwerk. Die P2P-Kommunikation ist dabei häufig verschlüsselt oder als erwünschter Datenverkehr getarnt, etwa als DNS- oder HTTP-Anfragen.

Im Jahr 2010 werden Botnetze nach Einschätzung von Symantec noch autonomer und entwickeln künstliche Intelligenz. Die Experten erwarten, dass sie sogar Eigenschaften so genannter Schwarmintelligenz zeigen. Die Betreiber der Zombie-Netze müssen dadurch nicht mehr aufwändig die Lebensdauer ihrer Infrastruktur verlängern. Stattdessen haben sie Zeit, sich auf deren eigentlichen Zweck zu konzentrieren: Spamversand und andere kriminelle Machenschaften.

Kenntnisse über die Gefahren von Malware und Botnetzen werden damit in Zukunft immer wichtiger. Immerhin gehört Deutschland zu den Top Ten der Länder, von denen Cyberkriminalität ausgeht. Das zu ändern, ist sicher ein guter Vorsatz für das neue Jahr.

Mit synaix Managed Security- Lösungen sind Sie vor Malware geschützt. Halten Sie Ihre Computer sauber - wir unterstützen Sie dabei!