Die Fußball-Weltmeisterschaft steht bevor und man baut auf eine funktionierende IT-Infrastruktur. Stadionkarten werden über das Internet bestellt, Spielstände müssen online abrufbar sein. Mit Angriffen auf beteiligte Systeme ist zu rechnen, denn erfolgreiche Attacken können weltweit Aufmerksamkeit finden. Deshalb gilt es bestmöglich gewappnet zu sein, um Opfer mit Gegenmaßnahmen schützen zu können und Angriffe schon im Vorfeld zu erschweren. Mit der Technik hinter Bot-Netzen sowie der Entwicklung von Präventivstrategien und Abwehrmechanismen befasst sich im BSI seit Sommer 2005 eine referatsübergreifende Arbeitsgruppe.
Hinter dem Begriff Bot-Netz verbirgt sich ein oft komplexer Verbund von Systemen im Internet. Jedes dieser Systeme bietet einen potenziellen Ansatzpunkt für Gegenmaßnahmen auf technischer Ebene. Es lohnt sich daher, die Rolle jeder einzelnen Komponente genau zu untersuchen. Bei gängigen Bot-Netz-Größen von mehreren tausend Hosts erscheinen für den Ansatz technischer Maßnahmen die Komponenten zur Steuerung und Aufrechterhaltung am ehesten geeignet. Die Bot-Netz-Arbeitsgruppe des BSI befasst sich deshalb vor allem mit denjenigen Systemen, welche eine zentrale Funktion übernehmen, zum Beispiel zur Steuerung.
Bot-Netze beherrschen neben Angriffsfunktionen oft Techniken, die nicht unmittelbar für Attacken gegen ein Opfersystem eingesetzt werden, aber beispielsweise die Herkunft des Angreifers verschleiern. Obwohl diese Eigenschaften fast ausschließlich im Rahmen von Angriffen im weiteren Sinne missbraucht werden, ist eine Auseinandersetzung mit dieser mittelbaren Bedrohung eher sekundär erforderlich, solange keine effizienten Gegenmaßnahmen für gezielte Attacken existieren.
----------Anfang Textkasten----------
Mit Bots infizierte Rechner sprechen zentrale Systeme in der Regel über Domain-Name-System-(DNS)-Namen an. Für den Bot-Netz-Betreiber hat dies den Vorteil, dass er Einträge schnell "umbiegen" kann, wenn ein System entdeckt und unschädlich gemacht wurde. Alle Bots kommunizieren dann stattdessen mit dem neuen System, und das Bot-Netz wird aufrechterhalten.
Der Betreiber muss allerdings sicherstellen, dass seine DNS-Einträge nicht von Dritten beeinflusst werden, zum Beispiel um dem Bot-Netz die Kontrollmöglichkeit zu entziehen und es so zu zerschlagen. Dies kann er erreichen, indem er DNS Cache Poisoning verwendet, um seine DNS-Einträge im Internet zu publizieren. Er vergiftet dabei den Cache eines speziell ausgewählten DNS-Servers, sodass dieser DNS-Anfragen für die Bot-Netz-Komponenten beantwortet. Dabei kann er beispielsweise so vorgehen: Oft reicht es aus, eine Anfrage an den DNS-Server zu stellen, die von diesem nicht selbst beantwortet werden kann und deshalb an ein anderes, zuständiges System weitergereicht wird. Der Angreifer muss nun lediglich schneller als der zuständige Server antworten – dann wird die später eintreffende Antwort verworfen und der Cache des attackierten Servers enthält Falschinformationen. Oft wird dieser Vorgang skriptgesteuert ständig wiederholt, sodass ein manipulierter DNS-Eintrag dauerhaft Bestand hat.
----------Ende Textkasten----------
Vor der Entwicklung von Gegenmaßnahmen steht die Beantwortung der Frage, wie die abzuwehrende Bedrohung genau aussieht – mehr noch: Schon die Frage, ob überhaupt eine reale Bedrohung existiert, kann berechtigterweise gestellt werden. Die Arbeitsgruppe des BSI hat sich deshalb nach Gründung zunächst das Ziel gesetzt die tatsächliche Gefahr in Bezug auf Bot-Netze einzuschätzen. Im Ergebnis wird bestätigt, dass eine rasante Entwicklung auf diesem Gebiet stattfindet: Die Bot-Netz-Szene existiert, ist hochdynamisch und Angriffe gegen unterschiedlichste Opfer sind an der Tagesordnung. Eine proaktive Auseinandersetzung ist damit gerechtfertigt.
In der fortlaufenden Arbeit wird analysiert, wie die bestätigten Bot-Netz-Attacken typischerweise ablaufen und welches Ziel mit ihnen verfolgt wird. Die Beantwortung derartiger Fragen ist nicht trivial, denn sie kann lediglich aus der Erfahrung mit beobachteten Fällen erfolgen. Prognosen sind damit heikel, zumal Bots per Update schnell und einfach um neue Angriffsfunktionen erweitert werden können, die unter Umständen speziell auf geplante Attacken zugeschnitten sind. Neue Attacken können also gänzlich unbekannt sein.
Als wichtiges Ergebnis der Analysearbeit steht die Erkenntnis, dass grundsätzlich jedes mit dem Internet verbundene System ein potenzielles Opfer eines Bot-Netz-Angriffs ist. Die Attacke selbst kann dabei sehr unterschiedlich aussehen. Es wurden Angriffe beobachtet, die nur wenige Sekunden andauerten, aber zur Betriebsunfähigkeit des Opfersystems bis zum zum nächsten Neustart geführt haben. Klassische Distributed-Denial-of-Service-Angriffe (DDoS) sind am häufigsten zu beobachten. Sie beeinträchtigen die Verfügbarkeit eines Systems, indem sie dauerhaft eine Ressource (zum Beispiel die verfügbare Bandbreite der Netzanbindung) vollständig ausschöpfen, sodass eine reguläre Nutzung nicht mehr möglich ist.
Aus Sicht eines Opfers liegt der Gedanke nahe, den Angreifer mit Unterstützung durch Strafverfolgungsbehörden ausfindig zu machen und laufende Attacken zu stoppen. Meist kann aber die Herkunft eines DDoS-Angriffs – also beispielsweise der C&C-Server des Bot-Netzes – nicht ermittelt werden, da beim Opfer lediglich die gleichzeitige Attacke von tausenden Systemen mit weltweiten Standorten beobachtet werden kann. Erfahrungen mit exemplarisch behandelten Vorfällen, bei denen diese Informationen vorlagen, haben aber zumindest gezeigt, dass die Abwehr auf technischer Ebene oft Teilerfolge liefert.
Bei laufenden Attacken ist die Flexibilität des Notfallteams gefordert, das mit der Abwehr beauftragt wird. Verbindungen, die im Rahmen einer DDoS-Attacke mit dem Opfersystem initiiert werden, müssen auf Charakteristiken hin untersucht werden, welche diese von regulärer Nutzung unterscheiden. Können solche Unterschiede ausgemacht werden, so lassen sich Filterregeln an zentralen Netzkomponenten einrichten, um zum Angriff gehörende Daten zu extrahieren und zu verwerfen. Ist das Ausmaß der Attacke so groß, dass schon der Netzknoten überlastet ist, muss versucht werden, in Kooperation mit dem Netz-Provider wiederum an vorgelagerter Stelle einzugreifen. Dieses Vorgehen lässt aber erahnen, dass solche technischen Maßnahmen zur Filterung von Angriffen auf ein Wettrennen zwischen Angreifer und Opfer hinauslaufen.
Technische Reaktion kann vor allem bei den oben beschriebenen zentralen Komponenten eines Bot-Netzes ansetzen. Gelingt es, den C&C-Server zu übernehmen, ist dem Angreifer die Kontrolle über sein Bot-Netz entzogen. Über den Kontrollkanal könnte dann das Kommando zum Stoppen aller laufenden Angriffe abgesetzt werden. Für eine solche Maßnahme wäre allerdings die Kooperation mit dem Betreiber des IRC-Servers erforderlich. Wird das Auflösen von DNS-Namen zu Bot-Netz-Komponenten unterbunden, kann das Netz dadurch ebenfalls der Kontrolle des Angreifers entzogen werden.
Eine Alternative besteht darin, in Zusammenarbeit mit dem betroffenen DNS-Provider die relevanten Einträge auf eigene Systeme mit einer Kontrollumgebung für das Bot-Netz umzuleiten und dann analog das Stopp-Kommando für laufende Attacken an alle Bots zu übermitteln. Interessant ist der Gedanke, bei Übernahmen des Kontroll-Channels ein Uninstall-Kommando abzusetzen, welches Bots anweist, sich von infizierten Systemen zu löschen. Die juristische Vertretbarkeit einer solchen Maßnahme ist in Deutschland allerdings eine nicht abschließend geklärte Frage. Konnte ein Malware-Host identifiziert werden, ist es meist unproblematisch, den Betreiber oder Hoster dazu zu bewegen, ein Nachladen von diesem System zu unterbinden, indem beispielsweise die entsprechende Webseite offline geschaltet wird.
Fortlaufendes Ziel des BSI und Aufgabe der Arbeitsgruppe ist es, im Falle von Bot-Netz-Angriffen eine technische Einschätzung des Vorfalls liefern und Gegenmaßnahmen empfehlen zu können sowie Unterstützung bei deren Umsetzung anzubieten. Ideal wäre es dafür, zu einer Attacke jederzeit sofort das zugehörige Bot-Netz inklusive aller beteiligten zentralen Systeme ermitteln zu können.
Die Bot-Netz-Arbeitsgruppe im BSI verfolgt diese Idee und versucht, möglichst viele Bot-Netze aufzuspüren. Dazu betreibt sie ein heterogenes Honeynet, in dem Exemplare von Bots bei der Infektion neuer Systeme gefangen werden. Die Analyse dieser Bots offenbart weitere Informationen, sodass in vielen Fällen Sensoren in die dazugehörigen Bot-Netze eingebracht werden können. Diese empfangen alle Kontrollkommandos, also auch Aufrufe zur Attacke gegen ein Opfersystem.
Das BSI-Referat CERT-Bund (Computer Emergency Response Team für Bundesbehörden, www.cert-bund.de) versucht über etablierte Kontakte, betroffene Instanzen von entdecktenn Angriffen in Kenntnis zu setzen. Vor allem aber wird mit dem Betrieb des Honeynets das Ziel verfolgt, im Falle eines laufenden Angriffs korrelierende Informationen aus den Sensordaten zu erhalten, um Incident-Response-Arbeiten zu erleichtern.
Eine denkbare Strategie bestünde darin, jedes detektierte Bot-Netz möglichst zu zerschlagen. Dazu müsste jedoch ein Eingriff wie oben beschrieben an einer der zentralen Komponenten erfolgen. Das BSI vertritt aber bisher den Standpunkt, dass nicht jedes Bot-Netz per se als bösartig eingestuft werden kann, und wird nur bei beobachteten Attacken aktiv. In diesen Fällen zeigen sich die Verantwortlichen für betroffene Systeme meist äußerst kooperativ.
Ein wichtiges Resultat aus der Arbeit der Bot-Netz-Arbeitsgruppe im BSI ist die Bestätigung der allgemeinen Einschätzung der Bedrohung, die von Bot-Netzen ausgeht. Jedes an das Internet angebundene System ist ein potenzielles Angriffsziel, und die Tragweite einer erfolgreichen Attacke kann – je nach Bedeutung des Opfersystems – beträchtlich sein. Die Erfahrung aus der Arbeitsgruppe hat gezeigt, dass sich vor allem im Rahmen technischer Zusammenarbeit mit anderen Beteiligten aktiv gegen Bot-Netze vorgehen lässt. Bot-Netz-Betreiber finden allerdings technische und juristische Nischen und erschweren damit mögliche Maßnahmen deutlich. Es bleibt abzuwarten, ob in Zukunft auch Ereignisse wie die Fußball-Weltmeisterschaft in diesem Jahr durch Bot-Netz-Angriffe gestört werden und in welcher Form eine Reaktion darauf möglich sein wird.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 35