Botnetz tarnt sich durch falsche SSL-Pings

Joe Stewart von SecureWorks auf der Konferenz Black Hat 2008 (Bild: Robert Vamosi, News.com)

Um seinen Kontrollserver besser zu tarnen, senden die Zombie-Systeme des Botnetzes Pushdo falsche SSL-Anfragen an große Websites. Dieses neuartige Vorgehen hat SecureWorks-Mitarbeiter Joe Stewart jetzt öffentlich gemacht.

Zu den Servern, die zur Tarnung kontaktiert werden, zählen laut Shadow Server Foundation die der CIA, des FBI, von Paypal, Yahoo und Twitter. Ziel ist es nicht, diese Server lahmzulegen. Als Betreiber sieht man nur „einige seltsamen Verbindungen, die völlig sinnlos erscheinen. Es sieht so aus, als sollte ein SSL Handshake eingeleitet werden. Die Anfrage ist aber fehlerhaft, und danach kommt nichts mehr“, so Stewart.

Stewarts Theorie ist, dass der fehlerhafte SSL-Verkehr verhindern soll, dass eine Analyse des von einem Zombie ausgehenden Traffics zum Kontrollserver des Botnetzes führt. Pushdo verwendet nämlich für solche Verbindungen ebenfalls einen gefälschten SSL-Header. „Bei einer oberflächlichen Untersuchung sieht das alles wie SSL-Traffic aus.“

Das Internet-Verschlüsselungsverfahren SSL wird gewöhnlich verwendet, um Daten wie Passwörter oder Kreditkartennummern für andere unsichtbar über das Internet zu versenden. Seine wichtigsten Einsatzgebiete sind Onlineshopping und Onlinebanking.

Pushdo lädt immer wieder neue Trojaner auf einmal infizierte Systeme. Es wurde laut Stewart unter anderem schon für Spamversand mit dem Spambot „Cutwail“ genutzt.

Er schätzt die Zahl der angeschlossenen Systeme auf 300.000. Die Betreiber säßen vermutlich in Osteuropa und vermieteten die gesammelte Rechenkraft an Kriminelle. „Das ist ein typisches ‚Pay-per-install‘-System“, so Stewart – also eines, für das der Betreiber eine Gebühr pro bereitgestelltem Fremdrechner verlangt. Es werde verwendet, um Onlinebanking-Trojaner, Tools für Passwortdiebstahl und das Anklicken von Anzeigen oder Suchbetrug zu verteilen.