Ich war heute abend mal wieder beim C4 beim OpenChaos und habe mir angehört, wie die neue Generation Botnetze dazu verwendet wird, Spam unter die Leute zu bringen. Der Vortragende war Thorsten Holz. Besonders interessant finde ich, dass wohl ein Trend weg von IRC-C&C-Netzen im klassischen Sinne hin zu P2P zu erkennen ist.
Die Bots sprechen also "normales eDonkey" und holen sich die Kommandos über vorprogrammierte (und dynamisch aktualisierte) Hashes. Das macht es natürlich beliebig schwierig, das Problem durch Offline-Nehmen der beteiligten Systeme zu beheben. Auch, wenn man einen Client, der die Kommandos vorhält findet, kann man einen neuen an beliebiger Stelle ins Netzwerk neu einhängen.
Es wurde ein Software-Projekt vorgestellt, dass automatisch neue Bots sammelt und analysiert. Dafür wird ein Windows-System mit Schwachstellen simuliert und so in Erfahrung gebracht, welche Daten mit dem angreifenden Bot ausgetauscht werden und wie er sich selbst verbreitet. Das so gefangen Binary wird dann analysiert (welche Dateien öffnet es, welche Netzwerkverbindungen baut es auf, welche Registry-Keys werden verändert).
Weiterhin finde ich es lustig, dass die Botnetze wohl Auto-DDoS können, wenn man als Analyst das Schadprogramm zu oft runterlädt ;) Ein sehr informativer Vortrag also. Wie immer eigentlich.
Die Bots sprechen also "normales eDonkey" und holen sich die Kommandos über vorprogrammierte (und dynamisch aktualisierte) Hashes. Das macht es natürlich beliebig schwierig, das Problem durch Offline-Nehmen der beteiligten Systeme zu beheben. Auch, wenn man einen Client, der die Kommandos vorhält findet, kann man einen neuen an beliebiger Stelle ins Netzwerk neu einhängen.
Es wurde ein Software-Projekt vorgestellt, dass automatisch neue Bots sammelt und analysiert. Dafür wird ein Windows-System mit Schwachstellen simuliert und so in Erfahrung gebracht, welche Daten mit dem angreifenden Bot ausgetauscht werden und wie er sich selbst verbreitet. Das so gefangen Binary wird dann analysiert (welche Dateien öffnet es, welche Netzwerkverbindungen baut es auf, welche Registry-Keys werden verändert).
Weiterhin finde ich es lustig, dass die Botnetze wohl Auto-DDoS können, wenn man als Analyst das Schadprogramm zu oft runterlädt ;) Ein sehr informativer Vortrag also. Wie immer eigentlich.
Kommentare