Eine Analyse der Bot-Netz-Bedrohung

Ordnungsmerkmale

erschienen in: <kes> 2006#2, Seite 35

Rubrik: BSI Forum

Schlagwort: Bot-Netze

Zusammenfassung: Bot-Netze sind in aller Munde – sie stellen eine aktuelle Bedrohung im Internet dar. Doch wie lässt sich die Gefahr in der Praxis einschätzen? Welche Abwehrmaßnahmen gibt es und wie lassen sie sich umsetzen? Mit diesen Fragen befasst sich die Bot-Netz-Arbeitsgruppe des BSI.

Autor: Von Tillmann Werner, BSI

Die Fußball-Weltmeisterschaft steht bevor und man baut auf eine funktionierende IT-Infrastruktur. Stadionkarten werden über das Internet bestellt, Spielstände müssen online abrufbar sein. Mit Angriffen auf beteiligte Systeme ist zu rechnen, denn erfolgreiche Attacken können weltweit Aufmerksamkeit finden. Deshalb gilt es bestmöglich gewappnet zu sein, um Opfer mit Gegenmaßnahmen schützen zu können und Angriffe schon im Vorfeld zu erschweren. Mit der Technik hinter Bot-Netzen sowie der Entwicklung von Präventivstrategien und Abwehrmechanismen befasst sich im BSI seit Sommer 2005 eine referatsübergreifende Arbeitsgruppe.

Technischer Hintergrund

Hinter dem Begriff Bot-Netz verbirgt sich ein oft komplexer Verbund von Systemen im Internet. Jedes dieser Systeme bietet einen potenziellen Ansatzpunkt für Gegenmaßnahmen auf technischer Ebene. Es lohnt sich daher, die Rolle jeder einzelnen Komponente genau zu untersuchen. Bei gängigen Bot-Netz-Größen von mehreren tausend Hosts erscheinen für den Ansatz technischer Maßnahmen die Komponenten zur Steuerung und Aufrechterhaltung am ehesten geeignet. Die Bot-Netz-Arbeitsgruppe des BSI befasst sich deshalb vor allem mit denjenigen Systemen, welche eine zentrale Funktion übernehmen, zum Beispiel zur Steuerung.

Bot-Netze beherrschen neben Angriffsfunktionen oft Techniken, die nicht unmittelbar für Attacken gegen ein Opfersystem eingesetzt werden, aber beispielsweise die Herkunft des Angreifers verschleiern. Obwohl diese Eigenschaften fast ausschließlich im Rahmen von Angriffen im weiteren Sinne missbraucht werden, ist eine Auseinandersetzung mit dieser mittelbaren Bedrohung eher sekundär erforderlich, solange keine effizienten Gegenmaßnahmen für gezielte Attacken existieren.

[Illustration]
Struktur eines Bot-Netzes

Bots
Infizierte Rechner sind die "Arbeiterinnen" in einem Bot-Netz. Sie werden zentral ferngesteuert, nehmen Kommandos entgegen und verbreiten Bot-Malware dann automatisch weiter oder starten verteilte Attacken auf vom Angreifer vorgegebene Zielsysteme. Diese Einzelsysteme können mit Schutzsoftware wie Viren-Scannern und Personal Firewalls sowie lokalen Sicherheitsrichtlinien geschützt werden. Die Infektion weiterer Rechner ist ein Spezialthema und in der BSI-Arbeitsgruppe nicht von vorrangigem Interesse.
C&C-Server
Zur Steuerung der Bots wird meist ein so genannter Command-and-Control-Server eingesetzt. Dabei handelt es sich in den meisten Fällen um IRC-Server. Experten rechnen hier aber mit einer Trendwende hin zu anderen Verfahren. Analysen haben ergeben, dass öffentliche, aber auch speziell für diesen Zweck installierte IRC-Server verwendet werden, um einen Channel für die Kommunikation zwischen Bots und Bot-Netz-Betreiber bereitzustellen.
Bot-Netz-Betreiber
Um sein Bot-Netz zu steuern, muss sich der Betreiber zumindest zeitweise in den Kontrollkanal einklinken und Kommandos absetzen. Lässt sich dabei der Einstiegspunkt ermitteln, können Abwehrmaßnahmen gegebenenfalls auch hier angesetzt werden.
Malware-Hosts
Bots besitzen oft eine Funktion, um auf Befehl ein Update auf eine aktualisierte Version durchzuführen. Diese wird auf einem öffentlich erreichbaren System im Internet bereitgestellt, einem sogenannten Malware-Host, und nach Absetzen des entsprechenden Kommandos von den Bots zum Beispiel per HTTP heruntergeladen.
DNS
Zentrale Komponenten werden von Bots in der Regel über einen Domain-Name-System-(DNS)-Namen angesprochen, zu dem dann eine IP-Adresse ermittelt werden muss. Das bedeutet, dass der Bot-Netz-Betreiber einen DNS Record pflegen muss, damit derartige Auflösungen möglich sind. Hier finden unterschiedliche Praktiken Anwendung: Häufig werden Einträge bei DynDNS-Providern angelegt, hin und wieder kann auch hier (analog zu C&C-Servern) der Einsatz dedizierter DNS-Server beobachtet werden. In den meisten Fällen werden die benötigten Records allerdings auf kompromittierten DNS-Servern eingetragen. Gängige Praxis ist der Missbrauch eines fremden DNS-Servers, indem Einträge unbefugt per DNS-Cache-Poisoning in das System eingeschleust werden.

----------Anfang Textkasten----------

Bot-Netze und DNS-Cache-Poisoning

Mit Bots infizierte Rechner sprechen zentrale Systeme in der Regel über Domain-Name-System-(DNS)-Namen an. Für den Bot-Netz-Betreiber hat dies den Vorteil, dass er Einträge schnell "umbiegen" kann, wenn ein System entdeckt und unschädlich gemacht wurde. Alle Bots kommunizieren dann stattdessen mit dem neuen System, und das Bot-Netz wird aufrechterhalten.

Der Betreiber muss allerdings sicherstellen, dass seine DNS-Einträge nicht von Dritten beeinflusst werden, zum Beispiel um dem Bot-Netz die Kontrollmöglichkeit zu entziehen und es so zu zerschlagen. Dies kann er erreichen, indem er DNS Cache Poisoning verwendet, um seine DNS-Einträge im Internet zu publizieren. Er vergiftet dabei den Cache eines speziell ausgewählten DNS-Servers, sodass dieser DNS-Anfragen für die Bot-Netz-Komponenten beantwortet. Dabei kann er beispielsweise so vorgehen: Oft reicht es aus, eine Anfrage an den DNS-Server zu stellen, die von diesem nicht selbst beantwortet werden kann und deshalb an ein anderes, zuständiges System weitergereicht wird. Der Angreifer muss nun lediglich schneller als der zuständige Server antworten – dann wird die später eintreffende Antwort verworfen und der Cache des attackierten Servers enthält Falschinformationen. Oft wird dieser Vorgang skriptgesteuert ständig wiederholt, sodass ein manipulierter DNS-Eintrag dauerhaft Bestand hat.

----------Ende Textkasten----------

Bedrohung

Vor der Entwicklung von Gegenmaßnahmen steht die Beantwortung der Frage, wie die abzuwehrende Bedrohung genau aussieht – mehr noch: Schon die Frage, ob überhaupt eine reale Bedrohung existiert, kann berechtigterweise gestellt werden. Die Arbeitsgruppe des BSI hat sich deshalb nach Gründung zunächst das Ziel gesetzt die tatsächliche Gefahr in Bezug auf Bot-Netze einzuschätzen. Im Ergebnis wird bestätigt, dass eine rasante Entwicklung auf diesem Gebiet stattfindet: Die Bot-Netz-Szene existiert, ist hochdynamisch und Angriffe gegen unterschiedlichste Opfer sind an der Tagesordnung. Eine proaktive Auseinandersetzung ist damit gerechtfertigt.

In der fortlaufenden Arbeit wird analysiert, wie die bestätigten Bot-Netz-Attacken typischerweise ablaufen und welches Ziel mit ihnen verfolgt wird. Die Beantwortung derartiger Fragen ist nicht trivial, denn sie kann lediglich aus der Erfahrung mit beobachteten Fällen erfolgen. Prognosen sind damit heikel, zumal Bots per Update schnell und einfach um neue Angriffsfunktionen erweitert werden können, die unter Umständen speziell auf geplante Attacken zugeschnitten sind. Neue Attacken können also gänzlich unbekannt sein.

Als wichtiges Ergebnis der Analysearbeit steht die Erkenntnis, dass grundsätzlich jedes mit dem Internet verbundene System ein potenzielles Opfer eines Bot-Netz-Angriffs ist. Die Attacke selbst kann dabei sehr unterschiedlich aussehen. Es wurden Angriffe beobachtet, die nur wenige Sekunden andauerten, aber zur Betriebsunfähigkeit des Opfersystems bis zum zum nächsten Neustart geführt haben. Klassische Distributed-Denial-of-Service-Angriffe (DDoS) sind am häufigsten zu beobachten. Sie beeinträchtigen die Verfügbarkeit eines Systems, indem sie dauerhaft eine Ressource (zum Beispiel die verfügbare Bandbreite der Netzanbindung) vollständig ausschöpfen, sodass eine reguläre Nutzung nicht mehr möglich ist.

Abwehrmaßnahmen

Aus Sicht eines Opfers liegt der Gedanke nahe, den Angreifer mit Unterstützung durch Strafverfolgungsbehörden ausfindig zu machen und laufende Attacken zu stoppen. Meist kann aber die Herkunft eines DDoS-Angriffs – also beispielsweise der C&C-Server des Bot-Netzes – nicht ermittelt werden, da beim Opfer lediglich die gleichzeitige Attacke von tausenden Systemen mit weltweiten Standorten beobachtet werden kann. Erfahrungen mit exemplarisch behandelten Vorfällen, bei denen diese Informationen vorlagen, haben aber zumindest gezeigt, dass die Abwehr auf technischer Ebene oft Teilerfolge liefert.

Bei laufenden Attacken ist die Flexibilität des Notfallteams gefordert, das mit der Abwehr beauftragt wird. Verbindungen, die im Rahmen einer DDoS-Attacke mit dem Opfersystem initiiert werden, müssen auf Charakteristiken hin untersucht werden, welche diese von regulärer Nutzung unterscheiden. Können solche Unterschiede ausgemacht werden, so lassen sich Filterregeln an zentralen Netzkomponenten einrichten, um zum Angriff gehörende Daten zu extrahieren und zu verwerfen. Ist das Ausmaß der Attacke so groß, dass schon der Netzknoten überlastet ist, muss versucht werden, in Kooperation mit dem Netz-Provider wiederum an vorgelagerter Stelle einzugreifen. Dieses Vorgehen lässt aber erahnen, dass solche technischen Maßnahmen zur Filterung von Angriffen auf ein Wettrennen zwischen Angreifer und Opfer hinauslaufen.

Technische Reaktion kann vor allem bei den oben beschriebenen zentralen Komponenten eines Bot-Netzes ansetzen. Gelingt es, den C&C-Server zu übernehmen, ist dem Angreifer die Kontrolle über sein Bot-Netz entzogen. Über den Kontrollkanal könnte dann das Kommando zum Stoppen aller laufenden Angriffe abgesetzt werden. Für eine solche Maßnahme wäre allerdings die Kooperation mit dem Betreiber des IRC-Servers erforderlich. Wird das Auflösen von DNS-Namen zu Bot-Netz-Komponenten unterbunden, kann das Netz dadurch ebenfalls der Kontrolle des Angreifers entzogen werden.

Eine Alternative besteht darin, in Zusammenarbeit mit dem betroffenen DNS-Provider die relevanten Einträge auf eigene Systeme mit einer Kontrollumgebung für das Bot-Netz umzuleiten und dann analog das Stopp-Kommando für laufende Attacken an alle Bots zu übermitteln. Interessant ist der Gedanke, bei Übernahmen des Kontroll-Channels ein Uninstall-Kommando abzusetzen, welches Bots anweist, sich von infizierten Systemen zu löschen. Die juristische Vertretbarkeit einer solchen Maßnahme ist in Deutschland allerdings eine nicht abschließend geklärte Frage. Konnte ein Malware-Host identifiziert werden, ist es meist unproblematisch, den Betreiber oder Hoster dazu zu bewegen, ein Nachladen von diesem System zu unterbinden, indem beispielsweise die entsprechende Webseite offline geschaltet wird.

Präventivmaßnahmen

Fortlaufendes Ziel des BSI und Aufgabe der Arbeitsgruppe ist es, im Falle von Bot-Netz-Angriffen eine technische Einschätzung des Vorfalls liefern und Gegenmaßnahmen empfehlen zu können sowie Unterstützung bei deren Umsetzung anzubieten. Ideal wäre es dafür, zu einer Attacke jederzeit sofort das zugehörige Bot-Netz inklusive aller beteiligten zentralen Systeme ermitteln zu können.

Die Bot-Netz-Arbeitsgruppe im BSI verfolgt diese Idee und versucht, möglichst viele Bot-Netze aufzuspüren. Dazu betreibt sie ein heterogenes Honeynet, in dem Exemplare von Bots bei der Infektion neuer Systeme gefangen werden. Die Analyse dieser Bots offenbart weitere Informationen, sodass in vielen Fällen Sensoren in die dazugehörigen Bot-Netze eingebracht werden können. Diese empfangen alle Kontrollkommandos, also auch Aufrufe zur Attacke gegen ein Opfersystem.

Das BSI-Referat CERT-Bund (Computer Emergency Response Team für Bundesbehörden, [externer Link] www.cert-bund.de) versucht über etablierte Kontakte, betroffene Instanzen von entdecktenn Angriffen in Kenntnis zu setzen. Vor allem aber wird mit dem Betrieb des Honeynets das Ziel verfolgt, im Falle eines laufenden Angriffs korrelierende Informationen aus den Sensordaten zu erhalten, um Incident-Response-Arbeiten zu erleichtern.

Eine denkbare Strategie bestünde darin, jedes detektierte Bot-Netz möglichst zu zerschlagen. Dazu müsste jedoch ein Eingriff wie oben beschrieben an einer der zentralen Komponenten erfolgen. Das BSI vertritt aber bisher den Standpunkt, dass nicht jedes Bot-Netz per se als bösartig eingestuft werden kann, und wird nur bei beobachteten Attacken aktiv. In diesen Fällen zeigen sich die Verantwortlichen für betroffene Systeme meist äußerst kooperativ.

Fazit

Ein wichtiges Resultat aus der Arbeit der Bot-Netz-Arbeitsgruppe im BSI ist die Bestätigung der allgemeinen Einschätzung der Bedrohung, die von Bot-Netzen ausgeht. Jedes an das Internet angebundene System ist ein potenzielles Angriffsziel, und die Tragweite einer erfolgreichen Attacke kann – je nach Bedeutung des Opfersystems – beträchtlich sein. Die Erfahrung aus der Arbeitsgruppe hat gezeigt, dass sich vor allem im Rahmen technischer Zusammenarbeit mit anderen Beteiligten aktiv gegen Bot-Netze vorgehen lässt. Bot-Netz-Betreiber finden allerdings technische und juristische Nischen und erschweren damit mögliche Maßnahmen deutlich. Es bleibt abzuwarten, ob in Zukunft auch Ereignisse wie die Fußball-Weltmeisterschaft in diesem Jahr durch Bot-Netz-Angriffe gestört werden und in welcher Form eine Reaktion darauf möglich sein wird.