Bildquelle: Technology Review
Informatiker der Universität Berkeley haben eine Software entwickelt, die Botnetze nicht nur automatisch analysieren, sondern auch infiltrieren kann.
Botnetze sind das Schweizer Messer unter den Werkzeugen von Cyber-Kriminellen. Die zentral gesteuerten Netzwerke aus gekaperten PCs (Bots) eignen sich für unterschiedlichste Übeltaten: das Verbreiten von Schadprogrammen, den Versand von Spam oder gar massive Angriffe auf Unternehmensnetzwerke, um sie lahmzulegen.
Wird ein neues Botnetz entdeckt, wartet auf Sicherheitsexperten eine nervenaufreibende Arbeit. Mittels Reverse Engineering analysieren sie die Software, mit der Tausende von Rechnern übernommen werden, und versuchen, die Kommunikation zwischen den PCs und dem zentralen Server offenzulegen. Weil die oft verschlüsselt ist, kann das Wochen, ja Monate dauern.
Informatiker der Universität Berkeley wollen diesen Kampf gegen eine der größten Plagen des Internetzeitalters nun entscheidend beschleunigen. In einem Paper, das sie diese Woche auf der Conference for Computer and Communikation Security der Association for Computing Machinery präsentiert haben, zeigen sie, wie sich das Reverse Engineering des Botnetz-Codes automatisieren lässt.
„Der Kern eines Botnetzes ist das Kommunikationsprotokoll“, erklärt Juan Caballero, Doktorand in Berkeley und an der Carnegie Mellon University, der Hauptautor des Papers. „Denn damit gibt der Angreifer den Bots im Netz die Befehle, was sie tun sollen.“ Automatisierungsversuche gab es vorher zwar auch schon. Die beschränkten sich aber auf die Entschlüsselung der Steuerkommandos, die der gekaperte PC empfängt. Caballero hat nun mit drei Kollegen eine Technik entwickelt, die auch die Antworten der Rechner auf die Befehle unter die Lupe nimmt.
Um den Ansatz zu testen, ließen sie in einem virtuellen Netzwerk einen Botnet-Code laufen. Dabei untersuchten sie, welche Daten in die so genannten Register eines Rechner, die Speicher-Einheiten von Prozessoren, ein- und wiederherausliefen – und zwar bevor die ausgehenden Daten verschlüsselt wurden. Aus den Veränderungen in den Registern konnten sie dann auf die Struktur in der Kommunikation des Botnetzes schließen und daraus die Funktion ableiten, die die unterschiedlichen Teile eines Befehls haben. Diese Methode nennen die Forscher „Puffer-Dekonstruktion“.
„Diese Information ist wichtig für Schadprogramme, weil wir nicht die Programmdatei auf dem zentralen Botnetz-Server haben“, sagt Paolo Milani Comparetti vom Secure System Lab an der TU Wien. Auch er beschäftigt sich seit längerem mit einer automatischen Protokoll-Analyse. „Mit den bisherigen Verfahren hätten wir keine Möglichkeit, die Client-Seite des Protokolls zu dekonstruieren.“
Cabellero und seine Mitstreiter haben aus dem Konzept ein neues Analyse-Programm entwickelt, das sie Dispatcher nennen. Es untersucht nicht nur die Botnetz-Kommunikation, sondern kann auch Daten hineinschleusen. Die Probe aufs Exempel machten sie mit dem Riesen-Botnetz MegaD. In die Schlagzeilen war es Anfang 2008 gekommen, als IT-Sicherheitsfirmen herausfanden, dass es für ein Drittel des weltweiten Spam-Aufkommens verantwortlich war.
Bei der Überwachung eines Bots griffen sie 15 Protokollnachrichten aus dem MegaD-Datenverkehr heraus: sieben Befehle vom Steuerserver und acht Antworten von dem Bot. Dem Dispatcher-Programm gelang es anhand dieser Probe, automatisch die Lücke zu identifizieren, in der die Server-Befehle bereits entschlüsselt, die Antworten aber noch nicht verschlüsselt sind.
System-Administratoren können mit Hilfe des Dispatcher-Programms auch Botnetze infiltrieren. Mega-D-Bots verschicken zum Beispiel Test-Emails, bevor sie als Relaisstation einer Spam-Kampagne loslegen. Würden die Administratoren den ausgehenden Emailverkehr eines gekaperten Rechners einfach nur blockieren, würde der Bot dem Server übermitteln, dass der Test fehlgeschlagen sei, er also nicht spammen könne, sagt Cabellero.
Stattdessen verändert der Dispatcher diese Nachricht dahingehend, dass der Test erfolgreich war – obwohl er in Wirklichkeit blockiert wurde. „Wir können den Spam-Entwurf herausfischen und schauen, welche Art von Spam rausgehen sollte“, so Cabellero.
Mit dem neuen Tool ließe sich die Zahl derer, die Botnetze aufknacken können, vergrößern, freut sich Malware-Forschungsleiter Joe Stewart von der IT-Sicherheitsfirma SecureWorks. „Das würde ein großes Problem lösen: dass wir nämlich nicht genug Fachleute für die Analyse dieser Netze haben.“
Derzeit könnten erfahrene Software-Spezialisten mit den meisten Schadprogrammen auch ohne ein Werkzeug wie Dispatcher zurechtkommen, fügt Stewart allerdings hinzu. 90 Prozent aller Botnetze würden mit einer relativ schwachen Verschlüsselung arbeiten, die im Prinzip schnell zu knacken sei. „Nicht jeder Bot-Master braucht eine MegaD-Verschlüsselung.“ Der Aufwand lohne sich nicht, solange die Sicherheitsspezialisten kaum hinterherkämen, jedes Botnetz, das sein Unwesen treibt, zu analysieren.
„Die entwickeln sich aber ständig weiter und werden immer komplizierter“, warnt Dawn Song von der Universität Berkeley, die das Dispatcher-Konzept mit entwickelt hat. „Im Moment genügt eine händische Analyse vielleicht noch, aber für die Zukunft werden wir bessere Werkzeuge benötigen.“
Permalink: http://heise.de/-858196
