Wie die nächste Generation von Botnets anonyme Netzwerke ausnutzt und wie man sie besiegt

Botnetze sind Computerprogramme, die über das Internet miteinander kommunizieren. Einige sind völlig harmlos, wie diejenigen, die Internet-Chats kontrollieren. Aber viele Botnets sind völlig bösartig, Programme, die Spam versenden oder an Denial-of-Service-Angriffen teilnehmen und so weiter. Diese Netzwerke werden von einzelnen Kriminellen kontrolliert, die sie für schändliche Zwecke verwenden, wie z. B. um illegale Einnahmen zu erzielen oder andere Websites anzugreifen.





Die Arbeit, diese kriminellen Aktivitäten zu finden und zu stoppen, ist zu einem globalen Unterfangen geworden. Die erste Generation von Botnets war relativ einfach zu stoppen. Da sie von einem einzelnen Computer irgendwo im Web gesteuert wurden, bestand der Trick darin, diesen Computer zu finden und herunterzufahren.

Das war einfach, als die Programme selbst die Informationen enthielten, die für die Kommunikation mit dem Command-and-Control-Server erforderlich waren.

Aber in den letzten Jahren ist dieses Katz-und-Maus-Spiel viel raffinierter geworden. Botnets unternehmen jetzt routinemäßig Schritte, um den Standort des Command-and-Control-Servers zu verbergen. Ein Ansatz, bekannt als Fast Fluxing, besteht darin, einen konstanten Strom von IP-Adressen zu erstellen und Hunderte oder Tausende von ihnen gleichzeitig einem Domänennamen zuzuordnen. Jeder, der hofft, den Command-and-Control-Server zu finden, müsste jede IP-Adresse durchsuchen, bevor sie sich ändert.



In jüngerer Zeit haben Botnets damit begonnen, das Tor-Netzwerk auszunutzen, das es Menschen ermöglichen soll, anonym über das Internet zu kommunizieren. Dies hat zusammen mit dem Aufkommen nicht rückverfolgbarer elektronischer Währungen wie Bitcoin zum Aufkommen von Erpressung und Ransomware geführt, die auch nach erfolgter Zahlung nicht zurückverfolgt werden können.

Heute sagen Amirali Sanatinia und Guevara Noubir von der Northeastern University in Boston, dass die nächste Generation von Botnets wahrscheinlich noch ausgefeilter sein wird. Sie skizzieren, wie sich diese Botnets ihrer Meinung nach entwickeln werden, schlagen aber auch einen einfachen Weg vor, sie zu neutralisieren.

Sanatinia und Noubir sagen, dass die Anonymität, die Tor-ähnliche Netzwerke bieten, für Botnet-Master unwiderstehlich sein wird, so dass die meisten Innovationen in diesem Bereich stattfinden werden. Um diese Anonymität auszunutzen, müssen diese Botnets eine Technik namens Onion Routing nutzen, die Nachrichten in verschiedene Verschlüsselungsschichten einkapselt, wie die Schichten einer Zwiebel.



Jeder Server, den die Nachricht durchläuft, entschlüsselt eine Schicht der Zwiebel, die ihr nächstes Ziel preisgibt. Wenn die letzte Schicht enthüllt wird, hat die Nachricht ihr Ziel erreicht. Die Anonymität ergibt sich aus der Tatsache, dass kein Server entlang der Route etwas über die Nachricht außer ihrem nächsten Ziel weiß.

Sanatinia und Noubir glauben eindeutig, dass Botnet-Master diesem Maß an Anonymität nur schwer widerstehen können. Folglich taufen sie die nächste Generation von Botnets, die diese OnionBots ausnutzen, und verbringen einige Zeit damit, genau zu erklären, wie sie arbeiten müssen, um das Onion-Routing optimal zu nutzen.

Das klingt verdächtig nach einem großen Schritt in Richtung Katastrophe – das Papier ist ein nützlicher Hintergrund für jeden, der einen OnionBot einrichten möchte. Allerdings haben Sanatinia und Noubir auch einen Weg gefunden, diese Art von OnionBots zu neutralisieren.



Die Grundidee besteht darin, Programme in das Netzwerk einzuschleusen, die sich bevorzugt an OnionBots anhängen. Sie reproduzieren sich dann selbst und umgeben effektiv jeden OnionBot, sodass er nicht mehr mit einem anderen Teil des Netzwerks verbunden ist. Wenn das passiert, wird der OnionBot isoliert und neutralisiert.

Das heißt nicht, dass es möglich ist, sich vollständig vor einem Angriff von OnionBots zu schützen. Aber Sanatinia und Noubir hoffen, mit der Arbeit an der Bekämpfung dieser nächsten Generation von Bots beginnen zu können, bevor sie überhaupt begonnen wird. Es gibt noch viele Herausforderungen, die von der Sicherheitsgemeinschaft präventiv angegangen werden müssen. Wir hoffen, dass diese Arbeit neue Ideen entzündet, um proaktiv Abwehrmaßnahmen gegen die neuen Generationen von kryptobasierten Botnets zu entwerfen, sagen sie.

Es kann eine riskante Strategie sein, dies öffentlich zu tun. Andererseits kann ein öffentlicher Ansatz den größten Pool an Sicherheitstalenten erschließen. Vorschläge zur Verbesserung dieser Strategie im Kommentarbereich unten.



Ref: arxiv.org/abs/1501.03378 : OnionBots: Untergraben der Datenschutzinfrastruktur für Cyberangriffe

verbergen