Skynet: Botnetz wird via Tor-Netzwerk per IRC gesteuert

Der Betreiber des Botnetzes Skynet hat sich eine neue Methode zum Schutz vor Strafverfolgung ausgedacht: Der Kontrollserver ist nur per Tor-Netz erreichbar. Geklaut wird die Rechenzeit der Clients zum Errechnen von Bitcoins.

Artikel veröffentlicht am ,
So kommuniziert der C&C durch Tor mit den Clients.
So kommuniziert der C&C durch Tor mit den Clients. (Bild: GData)

Schon seit einigen Monaten ist das Skynet genannte Botnetz bekannt, nun gibt es von Security Street eine umfassende Analyse der Schadsoftware, ihres Verbreitungswegs und der angestrebten Ziele. Zuvor hatte schon GData auf den Schädling hingewiesen und seine Besonderheit im Umgang mit dem Tor-Netzwerk erklärt.

Inhalt:
  1. Skynet: Botnetz wird via Tor-Netzwerk per IRC gesteuert
  2. Verbreitungsweg Usenet

Denn in diesem Geflecht aus anonym miteinander kommunizierenden Rechnern versteckt sich auch der Kontrollserver des Botnetzes, der sogenannte C&C - genauer: Der C&C ist nur durch Tor hindurch erreichbar. Weder der Benutzer des Kontrollservers noch ein infizierter PC hat jemals eine direkte und unverschlüsselte Verbindung zum C&C. Das macht das Aufspüren und Bekämpfen des Kontrollservers schwierig. Sowohl kommerzielle Sicherheitsunternehmen als auch Ermittler von Behörden versuchen zur Analyse von Botnetzen oft, die C&Cs unter ihre Kontrolle zu bringen und so an die Hintermänner zu gelangen.

Der Betreiber von Skynet fühlt sich mit seiner Konstruktion offenbar recht sicher, denn schon seit Monaten gibt es von ihm einen Thread bei Reddit, in dem er seine Aktivitäten beschreibt. Viele der dortigen Angaben konnte Security Street nun bestätigen und auch noch einige Details beisteuern.

Zeus, Tor und Bitcoin-Miner werden installiert

So ist der zugrundeliegende Trojaner zwar eine Modifikation des bekannten Programms Zeus. In den mit 15 MByte großen Malware-Archiven stecken aber auch noch ein Tor-Client für Windows, das Programm CGMiner zum Errechnen der virtuellen Währung Bitcoin sowie die OpenCL.dll, die CGMiner braucht, um die Bitcoins auf CPUs und GPUs errechnen zu können.

Stellenmarkt
  1. IT System Administrator (m/w/d) Netzwerk
    Hirschvogel Holding GmbH, Denklingen
  2. Tech Recruiter (m/w/d)
    Finanz Informatik GmbH & Co. KG, Münster
Detailsuche

Denn das ist das Ziel des gesamten Botnets: fremde Computer dazu zu missbrauchen, die Bitcoins zu errechnen. Der mutmaßliche Betreiber von Skynet erklärt das auf Reddit auch offen und betont, dass er die Bitcoins nicht direkt in Geld verwandele, sondern nur weiterverkaufe. Das, so seine Meinung, sei in vielen Ländern gar nicht strafbar - wie das Kompromittieren und Benutzen fremder Rechner in Deutschland geahndet werden kann, spielt für den Skynet-Chef offenbar keine Rolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verbreitungsweg Usenet 
  1. 1
  2. 2
  3.  


Noisyboy 06. Jun 2013

Hi, wenn ich er wäre würde ich den Server hinter dem Tornetz als Rescue Server nehmen, so...

Ketzer2002 14. Dez 2012

...scheint vermutlich hier zu finden zu sein: http://back2hack.cc/showthread.php?tid=7082...

petameter 12. Dez 2012

Du bringst es gut auf den Punkt. Und das Bedauernswerte ist, dass so viele Menschen...

AdmiralAckbar 11. Dez 2012

nope, Minig bedeutet das welche generiert werden. mehr dazu hier http://de.wikipedia.org...



Aktuell auf der Startseite von Golem.de
I am Jesus Christ angespielt
Der Jesus-Simulator lässt uns vom Glauben abfallen

Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
Von Peter Steinlechner

I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
Artikel
  1. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

  2. Landgericht Bonn: Telekom verklagt Meta auf Zahlungen für IP-Datentransport
    Landgericht Bonn
    Telekom verklagt Meta auf Zahlungen für IP-Datentransport

    Die Telekom hat bereits Zahlungen von Meta für IP-Datentransport erhalten. Diese flossen über die Meta-Tochter Edge Network Services aus Irland, wurden aber eingestellt.

  3. Prozessor-Architektur: Das lange Erbe von Intels 8080
    Prozessor-Architektur
    Das lange Erbe von Intels 8080

    50 Jahre alte Entscheidungen beeinflussen heutige Prozessoren - selbst Apples ARM-Prozessoren können sich dem nicht entziehen.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /