Dieter Kochheim, <strong>Cybercrime</strong> - 56 -Die Methoden, fremde Rechner steuern zu wollen,entstammen offenbar verschiedenen Quellen.ZDNet.de sieht ihren technischen Ursprung zuRecht im Internet Relay Chat – IRC 346 .Hier ging es aber um sehr harte Methoden, um Zugangsbeschränkungenzu umgehen. Die aktuelleBotnetz-Software ist feinsinniger 347 und dürfte wegenihrer Steuerungsfunktionen ihre Heimat eher inden gewerblichen Strategien zur Softwareverteilungund im zentralen IT-Management haben 348 .Mit der Botsteuerung "Zunker" lassen sich zumBeispiel alle infiltrierten Systeme wegen ihrer Erreichbarkeitund Leistungsmerkmale überwachen,steuern und für Aktionen koordinieren 349 . DieseFunktionsvielfalt ist sonst nur aus der Fernwartung350für zentral verwaltete Computernetzwerke bekannt.A.5 2. Übernahme. KonsoleDie ersten Schritte für die Infiltration unternimmtdie Bot-Software selbsttätig. Sie wirkt so, wie esauch von anderen Würmern und Trojanern bekanntist, nistet sich ein, manipuliert die Sicherheitseinstellungensowie die Firewall und tarnt sich vorder Entdeckung durch Viren- und anderen Malwarescannern351 .Anschließend prüft sie, ob der infiltrierte Rechnereine Verbindung zum Internet hat und meldet sichdann bei der Botnetz-Steuerung als bereit.Die zentrale Steuerung sollte keinen direkten Hinweisauf den Angreifer geben. Deshalb befindet sie346WP, Internet Relay Chat - IRC347Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006;Ihr PC als Komplize: Piraten-Software gezieltbekämpfen, Heise online 06.01.2007348WP, IT Infrastructure Library - ITIL349"Zunker", das Administrator-Tool für Bot-Netze, IT-Defender.com 15.05.2007Zunker Bot, PandaLabs Blog 08.05.2007;Screenshot, ebd.350WP, Fernwartung351CF, Datenveränderung, 2007; CF,Computersabotage, 2007; CF, Superwürmer, 2007;CF, Malware, 12.05.2008.sich in aller Regel auf einem gehackten IRC-Server.Der Angreifer kann das infiltrierte System missbrauchenwie ein erfolgreicher Hacker. Alle Systemfunktionen,Dokumente und ungesicherte Informationenstehen ihm offen 352 .Eine übliche Strategie besteht darin, das Systemals Konsole für die Botnetzverwaltung einzurichtenund hiermit die übrigen Zombies zu verwaltenund zu steuern. Bei einer Analyse des Botnetzeskann dann nur der infiltrierte Rechner festgestelltwerden, nicht aber die Herkunft des Angreifers.A.5 3. zentrale und dezentrale SteuerungFür die Steuerung des Botnetzes muss zumindestein zentraler Server eingerichtet werden. Seinewichtigste Eigenschaft ist die, dass er eine kontinuierlicheVerbindung zum Internet haben muss,also kein Gelegenheitsnutzer ist. Hierzu eignensich am besten Webserver, die als Hostserver Internetauftrittepräsentieren. Beliebte Standorte fürmissbrauchte Systeme sind in den USA und inAsien. Mit der zunehmenden Verbreitung dedizierterServer 353 bei Privatanwendern und ihrerhäufig unzureichenden Sicherung dürften besondersdiese Systeme zum Missbrauch reizen.Die zentrale Steuerung kann für verschiedeneZwecke eingesetzt werden. Die gebräuchlichstensind: Kontaktstelle für infiltrierte Botrechner Ablagestelle für ausspionierte Daten Depot für Programmupdates352Vergleichbar mit der Quellen-TKÜ: CF, Online-Zugriff an der Quelle, 08.11.2008.353WP, Dedizierter Server
Dieter Kochheim, <strong>Cybercrime</strong> - 57 - Hostplattform für "Pharmen"Aktuelle Botnetze haben keine zentrale Steuerung,sondern verfügen über eine Zwischenschicht ausProxyservern 354 .Bei ihnen wird zwischen dem zentralen IRC-Server, dem "Mutterschiff", und den infiziertenZombies ein "Fast-Flux-Netz" installiert, das ausProxyservern besteht, von denen jeder ein Teil derZombies steuert und verwaltet.Hierzu bekommen die Zombies bereits mehrere Internetadressen(IP) einprogrammiert, an die sieihre Bereitschaft melden. Wird der erste Kontaktherstellt, können sie mit neuen Instruktionen versehenwerden. Fällt ein Proxy aus, so können seineAufgaben von einem anderen wahrgenommenwerden.Das "Mutterschiff" versteckt sich hinter den Proxiesund kann vom Zombie aus nicht lokalisiert werden.Erst wenn die "Abwehr" einen der Proxies überwachenkann, kann sie dessen Steuerung und somitdas "Mutterschiff" erkennen.A.5 4. Einrichtung des BotnetzesDie infiltrierten Rechner melden ihre "Bereitschaft"an die einprogrammierte IP-Adresse des "Mutterschiffes"oder den zwischengeschalteten Proxyservern.Während die Dateien, die für die Infiltration erforderlichsind, so klein gehalten werden können, wiesie für den Angriff nötig sind, können jetzt neueVersionen (Updates), Erweiterungen und Einsatzzieleübermittelt und installiert werden.Über diese perfide Strategie verfügen erst neuereWürmer und Trojaner. Sie zeigt das erheblicheWissen, die konsequente Planung und die gewissenloseDurchführung, die mit den modernen Angriffenmit den Methoden der <strong>Cybercrime</strong> verbundensind. Die kriminelle Energie, mit der die Botnetz-Betreiberagieren, steht der der Phisher innichts nach 355 .354Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007, S. 76;CF, Angriffe und Botnetze, 01.10.2007.355CF, Phishing, organisierte Strukturen, 2007A.5 5. kriminelle EinsätzeIm Anschluss an die Übernahme durchforstet dieBot-Malware zunächst den Zombie nach den persönlichenDaten des Anwenders, die sich zu einemMissbrauch eignen. Sie werden an eineDrop Zone gesendet, wo sie in aller Regel von Interessiertendurchgesehen und erworben werdenkönnen.Ein „guter“ Zombie ist ein technisch gut ausgestattetesSystem mit einem ständigen Anschlussan das Internet. Mit möglichst vielen Zombies, diein das Botnetz eingebunden sind, lassen sichjede Menge krimineller Aktionen durchführen –und damit Geld verdienen.A.5 5.1 verteilter AngriffEin häufiger Einsatz ist die Durchführung von verteiltenAngriffen 356 - DDoS. Hierbei richten vielekoordinierte Rechner immer wieder dieselbenKontaktanfragen an einen ausgewählten Server,der diese Menge irgendwann nicht mehr bewältigenkann und seinen Betrieb einstellt. Viele namhafteInternetdienste sind bereits das Opfer solcherAngriffe geworden 357 .Allein mit der Drohung der Täter, sie könnten gegeneinen gewerblichen Internetdienst einenDDoS-Angriff durchführen, lässt sich Geld verdienen.Solche Ansinnen sind seit Jahren bekannt356WP, Denial of Service (Distributed Denial ofService – DdoS); siehe Grafik oben.357BSI, Denial-of-Service-Attacken, BSI 2007;Matthias Bernauer, Leonard Rau, Netzwerkangriffedurch DDoS-Attacken, Uni Freiburg 27.01.2006;Mailserver ächzen unter Spam-Last, Heise online25.05.2007;CF, täglich 250.000 neue Zombies, 26.09.2007
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6: Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10: Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12: Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14: Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55: Dieter Kochheim, Cybercrime - 55 -A
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108:
Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110:
Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112:
Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114:
Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116:
Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -
Change language