Cybercrime

Dieter Kochheim, Cybercrime - 57 - Hostplattform für "Pharmen"Aktuelle Botnetze haben keine zentrale Steuerung,sondern verfügen über eine Zwischenschicht ausProxyservern 354 .Bei ihnen wird zwischen dem zentralen IRC-Server, dem "Mutterschiff", und den infiziertenZombies ein "Fast-Flux-Netz" installiert, das ausProxyservern besteht, von denen jeder ein Teil derZombies steuert und verwaltet.Hierzu bekommen die Zombies bereits mehrere Internetadressen(IP) einprogrammiert, an die sieihre Bereitschaft melden. Wird der erste Kontaktherstellt, können sie mit neuen Instruktionen versehenwerden. Fällt ein Proxy aus, so können seineAufgaben von einem anderen wahrgenommenwerden.Das "Mutterschiff" versteckt sich hinter den Proxiesund kann vom Zombie aus nicht lokalisiert werden.Erst wenn die "Abwehr" einen der Proxies überwachenkann, kann sie dessen Steuerung und somitdas "Mutterschiff" erkennen.A.5 4. Einrichtung des BotnetzesDie infiltrierten Rechner melden ihre "Bereitschaft"an die einprogrammierte IP-Adresse des "Mutterschiffes"oder den zwischengeschalteten Proxyservern.Während die Dateien, die für die Infiltration erforderlichsind, so klein gehalten werden können, wiesie für den Angriff nötig sind, können jetzt neueVersionen (Updates), Erweiterungen und Einsatzzieleübermittelt und installiert werden.Über diese perfide Strategie verfügen erst neuereWürmer und Trojaner. Sie zeigt das erheblicheWissen, die konsequente Planung und die gewissenloseDurchführung, die mit den modernen Angriffenmit den Methoden der Cybercrime verbundensind. Die kriminelle Energie, mit der die Botnetz-Betreiberagieren, steht der der Phisher innichts nach 355 .354Jürgen Schmidt, Hydra der Moderne. Die neuenTricks der Spammer und Phisher, c't 18/2007, S. 76;CF, Angriffe und Botnetze, 01.10.2007.355CF, Phishing, organisierte Strukturen, 2007A.5 5. kriminelle EinsätzeIm Anschluss an die Übernahme durchforstet dieBot-Malware zunächst den Zombie nach den persönlichenDaten des Anwenders, die sich zu einemMissbrauch eignen. Sie werden an eineDrop Zone gesendet, wo sie in aller Regel von Interessiertendurchgesehen und erworben werdenkönnen.Ein „guter“ Zombie ist ein technisch gut ausgestattetesSystem mit einem ständigen Anschlussan das Internet. Mit möglichst vielen Zombies, diein das Botnetz eingebunden sind, lassen sichjede Menge krimineller Aktionen durchführen –und damit Geld verdienen.A.5 5.1 verteilter AngriffEin häufiger Einsatz ist die Durchführung von verteiltenAngriffen 356 - DDoS. Hierbei richten vielekoordinierte Rechner immer wieder dieselbenKontaktanfragen an einen ausgewählten Server,der diese Menge irgendwann nicht mehr bewältigenkann und seinen Betrieb einstellt. Viele namhafteInternetdienste sind bereits das Opfer solcherAngriffe geworden 357 .Allein mit der Drohung der Täter, sie könnten gegeneinen gewerblichen Internetdienst einenDDoS-Angriff durchführen, lässt sich Geld verdienen.Solche Ansinnen sind seit Jahren bekannt356WP, Denial of Service (Distributed Denial ofService – DdoS); siehe Grafik oben.357BSI, Denial-of-Service-Attacken, BSI 2007;Matthias Bernauer, Leonard Rau, Netzwerkangriffedurch DDoS-Attacken, Uni Freiburg 27.01.2006;Mailserver ächzen unter Spam-Last, Heise online25.05.2007;CF, täglich 250.000 neue Zombies, 26.09.2007