Botnetz tarnt sich durch falsche SSL-Pings
Joe Stewart von SecureWorks auf der Konferenz Black Hat 2008 (Bild: Robert Vamosi, News.com)
Um seinen Kontrollserver besser zu tarnen, senden die Zombie-Systeme des Botnetzes Pushdo falsche SSL-Anfragen an große Websites. Dieses neuartige Vorgehen hat SecureWorks-Mitarbeiter Joe Stewart jetzt öffentlich gemacht.
Zu den Servern, die zur Tarnung kontaktiert werden, zählen laut Shadow Server Foundation die der CIA, des FBI, von Paypal, Yahoo und Twitter. Ziel ist es nicht, diese Server lahmzulegen. Als Betreiber sieht man nur "einige seltsamen Verbindungen, die völlig sinnlos erscheinen. Es sieht so aus, als sollte ein SSL Handshake eingeleitet werden. Die Anfrage ist aber fehlerhaft, und danach kommt nichts mehr", so Stewart.
Das Internet-Verschlüsselungsverfahren SSL wird gewöhnlich verwendet, um Daten wie Passwörter oder Kreditkartennummern für andere unsichtbar über das Internet zu versenden. Seine wichtigsten Einsatzgebiete sind Onlineshopping und Onlinebanking.
Pushdo lädt immer wieder neue Trojaner auf einmal infizierte Systeme. Es wurde laut Stewart unter anderem schon für Spamversand mit dem Spambot "Cutwail" genutzt.
Er schätzt die Zahl der angeschlossenen Systeme auf 300.000. Die Betreiber säßen vermutlich in Osteuropa und vermieteten die gesammelte Rechenkraft an Kriminelle. "Das ist ein typisches 'Pay-per-install'-System", so Stewart - also eines, für das der Betreiber eine Gebühr pro bereitgestelltem Fremdrechner verlangt. Es werde verwendet, um Onlinebanking-Trojaner, Tools für Passwortdiebstahl und das Anklicken von Anzeigen oder Suchbetrug zu verteilen.
Tags:
security 7 von 7 Lesern fanden diesen Artikel nützlich.
