Nicht alle Funktionweisen von normalen Distributed-Computing-Anwendungen und Botnet-Clients gleichen sich. Der Hauptunterschied besteht darin, dass ein Botnet-Client nicht so einfach mit einem Command-and-Control-Server unter einer festen Adresse kommunizieren kann. Eine Universität kann ein Distributed-Computing-Projekt aufsetzen und einen Client entwickeln, der immer mit dem Server project1.example.edu kommuniziert.
Ein Botnet-Client, der seinen Server unter evil-empire.example.com sucht, würde innerhalb kürzester Zeit für seine Entwickler nutzlos, da die zuständige Registry einfach den Domain-Namen sperrt. Die Clients könnten keinen Kontakt mit ihrem Command-and-Control-Server aufnehmen.
Der Conficker-Wurm wählt dazu beispielsweise immer wieder neue Domainnamen aus, beispielsweise gbmkghqcqy.net oder exxkvcz.cc. Diese scheinbar zufällig generierten Namen folgen jedoch einem festgelegten System. Die Botnet-Betreiber registrieren diese Domains unter falschem Namen. Wenn ein infizierter Rechner Kontakt aufnimmt, erhält er auf diese Weise neue Schadsoftware und neue Befehle.
Früher oder später finden Sicherheitsexperten durch Reverse Engineering immer den Algorithmus, nach dem die Domainnamen berechnet werden. Speziell beim Conficker-Wurm stellte sich heraus, dass so wenig Domainnamen generiert werden, dass die Domain-Registries so gut wie alle Domains unter Kontrolle bringen konnten. So richtet Conficker zwar Schaden an, beispielsweise durch das Auslösen der Passwort-Teergrube beim Durchprobieren von Kennwörtern, ist jedoch für seine Autoren nicht als Botnet zu benutzen und zu Geld zu machen.
Darüber hinaus gibt es weitere Methoden, wie ein Botnet mit seinen Urhebern Kontakt hält. Wenn ein befallener Rechner direkt im Internet steht oder über einen Router angebunden ist, der UPnP oder NAT-PMP beherrscht, kann der Botnet-Client einen Port forwarden, über den sich Befehle an den Client absetzen lassen. Problematisch dabei ist, dass die Mehrzahl der infizierten Rechner dynamische IP-Adressen besitzen. Zombie-PCs müssen also ständig in einem Peer-to-Peer-Verfahren ihre IP-Adresslisten updaten.
Ein Command-and Control-Server probiert einfach den Adressbereich eines DSL-Anbieters durch. Dabei wird in der Regel innerhalb weniger Minuten fündig. Auf diese Weise hat der Command-and-Control-Server zwar nur einen Zombie-Rechner gefunden. Der teilt ihm jedoch gleich hunderttausende von anderen Zombie-PCs mit.
Neueste Kommentare
Noch keine Kommentare zu Wenn der PC zum Zombie wird: So funktionieren Botnets
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.