US-Forscher belauschen Botnetz-Kommunikation

Methode entwickelt, um Botnetze zu deaktiveren

Informatiker in den USA haben eine Methode entwickelt, um in Botnetze einzudringen. Sie belauschen die Kommunikation zwischen den Zentralrechnern und den Bots. Darüber ist es ihnen möglich, auch in die Kommunikation einzugreifen und diese so zu modifizieren, dass ein Bot deaktiviert werden kann.

Botnetze sind ein mächtiges Mittel für Straftäter - vom massenhaften Versenden von Spam bis hin zu koordinierten Angriffen über das Internet. Manche dieser Netze bestehen aus mehr als einer Million infizierter Rechner. Kein Wunder also, dass Forscher immer wieder nach Möglichkeiten suchen, um diese Netze auszuschalten. Eine Gruppe von Forschern aus den USA hat eine Methode entwickelt, um die Kommunikation zwischen den Zentralrechnern des Netzes, den sogenannten Command-and-Control-Servern (C&C), und infizierten Computern automatisch zu rekonstruieren.

Codeanalyse in virtueller Maschine

Der Informatiker Juan Caballero und seine Kollegen analysierten den Code des Botnets durch Debugging der Programme in einer virtuellen Maschine. Bei solchen Vorgängen spielt eine etwaige Verschlüsselung von Programmen keine Rolle, weil sich auch die Verschlüsselung selbst durch Einblick in die Register des Prozessors nachvollziehen lässt.

Dieses Verfahren haben die Forscher in eine Software mit den Namen Dispatcher eingebaut. Damit gelang es ihnen nicht nur, die Kommunikation abzuhören, sondern auch darin einzugreifen. Getestet haben sie das an dem Botnetz MegaD. Dabei modifizierten sie die Kommunikation zwischen Botrechner und C&C-Server so, dass der Botrechner keine Spammails verschickte, dem C&C-Server aber vorgaukelte, aktiv zu sein.

Analyse der Kommunikation entscheidend

Sobald ein neues Botnetz auftaucht, versuchen Informatiker herauszufinden, wie es funktioniert. Dabei kommt der Analyse der Kommunikation zwischen dem Botserver und dem mit der Malware infizierten Rechner eine große Bedeutung zu. "Das Command-and-Control-Protokoll eines Botnetzes zu verstehen, ist ausschlaggebend, um das Repertoire seiner ruchlosen Aktivitäten vorherzusehen und das Botnetz zu infiltrieren", schreiben Caballero und seine Kollegen in dem wissenschaftlichen Aufsatz, in dem sie ihre Methode vorstellen. Die Kommunikation zwischen dem C&C-Server und den infizierten Rechnern ist oft verschlüsselt. Meist dauert es deshalb eine Weile, die Funktionsweise des Botnetzes zu durchschauen. Mit Hilfe des neuen Verfahrens soll das schneller gehen.

Caballero und seine Kollegen wollen ihre Methode dieser Tage auf der Conference on Computer and Communications Security vorstellen, die von der Informatikvereinigung Association for Computing Machinery (ACM) veranstaltet wird.