Zombie-PCs im Fadenkreuz: Abwehrstrategien gegen Botnets

So betreibt der Dienstleister 1&1 Internet AG in seinem Rechenzentrum ein Abwehrsystem, das die illegalen Netzwerkmanager lokalisieren kann. „Das System, mit dem wir Botnetze erkennen, basiert auf einem Open-Source-Projekt“, erläutert Achim Weiss, Vorstand Technik und Entwicklung.

Details möchte das Unternehmen zwar nicht verraten. Der Abwehrmechanismus basiert jedoch auf einer so genannten passiven DNS-Replikation. „Wir hoffen, dass dieser Fall auch andere Provider animiert, solche Systeme zu installieren, und so für mehr Schutz der Internet-Nutzer zu sorgen“, sagt Weiss.

Ganz so simpel, wie die Provider dies suggerieren, ist das Ausschalten der Zombiearmeen im Gegensatz zum bloßen Erkennen jedoch keineswegs. Die mobilen Ziele stellen die Forscher immer wieder vor unlösbare Aufgaben. Bislang wurden die Zombienetzwerke meist über zentrale Command-and-Control-IRC-Server gesteuert. Die Zukunft aber gehört kleinen und dezentral organisierten Allianzen, die sich unauffällig über Peer-to-Peer-Mechanismen verbreiten.

Messagelabs macht mit „Rock Phishing“ (Bericht als PDF) bereits ein neues Phishing-Kit aus, das einem einzigen kompromittierten Computer innerhalb eines Botnets ermöglicht, gleich mehrere Phishing-Sites parallel zu hosten. Die mobilen Serverziele der Angreifer sind dadurch kaum mehr zu greifen.

Zudem benutzen nicht alle Botnets IRC-Plugins, die man aufspüren kann, um ihr Verhalten nachzubilden. Ohnehin fällt den Spezialisten schon das bloße Logging der Botnetze schwer genug.

Probate Gegenmaßnahmen sollten zum einen darauf abzielen, den zentralen DNS-Server der Zombies zu entern und die IP-Adresse zu verändern. Zum anderen gilt es nach Auffassung der Sicherheitsspezialisten von der Universität Mannheim, die Kommunikation frühzeitiger als bisher zu unterbinden, etwa indem der Datenfluss bereits an den Routern geblockt wird. Von diesem hochgesteckten Ziel ist die Branche derzeit aber noch ein gutes Stück entfernt. Zwar haben auch die Provider das Problem erkannt, doch hapert es an der organisatorischen Umsetzung.