Angreifer im Internet tappen in den Honeypot
Archivmeldung vom 01.12.2012
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 01.12.2012 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittUm Angreifern im Internet auf die Schliche zu kommen, wechseln die RUB-Forscher um Prof. Dr. Thorsten Holz zum Schein die Seiten: Schlecht geschützte Netzwerkressourcen dienen als Köder für die Schädlinge. Ist sie das System einmal kompromittiert, können die Forscher in aller Ruhe genau beobachten, was die Angreifer darauf treiben. Dieses Wissen fließt dann in Schutzmaßnahmen ein. Die Forscher berichten in RUBIN, dem Wissenschaftsmagazin der Ruhr-Universität.
Schlecht geschützte Rechner sind im Internet leichte Opfer für Angreifer. Sie machen sich das Gerät gefügig, so dass sie selbst steuern können, was es tut soll, zum Beispiel Spam-Mail versenden. Da die Verbindung zwischen Angreifer und so genanntem Bot nicht permanent besteht, ist sie schwierig zu entdecken. Hinzu kommt, dass sich die Bots auch untereinander vernetzen. Um mehr Informationen zu bekommen, infiltrieren die Forscher solche Botnetze, indem sie eine Falle stellen, den sogenannten Honeypot. Wird er durch einen Angreifer kompromittiert, können sie beobachten, was er damit macht.
Aktivitäten des Angreifers mitschneiden
Im Gegensatz zu einer herkömmlichen forensischen Untersuchung erlauben gezielte Veränderungen im Betriebssystem des Honeypots das direkte Mitschneiden aller Aktivitäten eines Angreifers. „Wir erhalten deshalb konkrete Informationen zum Ablauf eines Angriffs“, sagt Prof. Holz. Durch die Vielfalt der so gewonnenen Daten kann man schneller und genauer die Angriffswege, Motive und Methoden von Angreifern erforschen. Auch kann man die benutzten Angriffswerkzeuge, die normalerweise nach erfolgter Kompromittierung gelöscht werden, sofort sicherstellen.
87 Milliarden Spam-Mails in einem Monat
In ähnlichen Experimenten haben die Bochumer Forscher eins der größten Spam-Botnetze infiltriert und 16 Kontrollserver dieses Netzes im Detail untersucht. Diese Server wurden von den Spammern benutzt, um Anweisungen an Bots zu schicken, die dann die eigentlichen Spam-Nachrichten versendet haben. Die bei der Analyse erhaltenen Informationen liefern einen interessanten Einblick in Arbeitsweise von Spammern: Die Angreifer hatten pro Tag Kontrolle über etwa 120 000 Rechner und haben typischerweise etwa 10 000 dieser Rechner zum Spam-Versand benutzt. Innerhalb eines Monats haben die Angreifer mit diesem Botnetz etwa 87 Milliarden Spam-Nachrichten versendet. In Untergrund-Foren kann man Spam-Botnetze mieten, der Versand von einer Million Spam-Nachrichten kostet typischerweise zwischen 100 und 500 Dollar. Darüber hinaus kann man in solchen Foren auch Zugriff auf infizierte Rechner kaufen: Wenn man als Angreifer weitere Schadsoftware auf einem solchen Rechner installieren möchte, dann kostet dieser „Service“ etwa 300 bis 800 Dollar pro 10 000 Installationen von Schadsoftware.
Quelle: Ruhr-Universität Bochum (idw)