In Tor versteckter Botnet-Command-Server

14.09.2012
G DATA Blog

Die G Data SecurityLabs haben kürzlich ein Malware-Sample identifiziert, das den nächsten Entwicklungsschritt der Command-and-Control (kurz: C&C) Kommunikation in Bezug auf Traffic-Verschleierung einleitet. Die Botnetz-Betreiber haben ihren C&C-Server, der das beliebte IRC-Protokoll verwendet, als versteckten Dienst in das Tor-Netzwerk eingebunden.

Der analysierte Bot:

Trotz des neuartigen Verfahrens der C&C-Kommunikation sind die anderen Funktionen des analysierten Bots heutzutage weit verbreitet. Er bietet zahlreiche Möglichkeiten für DDoS-Angriffe, kann andere Malware herunterladen und ausführen sowie als SOCKS-Proxy agieren, um den Angreifer zu anonymisieren.

Um was geht es?

Eine der größten Herausforderungen für Botnetz-Betreiber besteht im Schutz des Command-and-Control-Datenverkehrs. C&C-Datenverkehr wird benötigt, um die "Zombies" zu steuern, d. h. die infizierten Rechner, die Bestandteil des Botnetzes sind. Bisher gab es für C&C-Datenverkehr zwei Lösungsansätze: Die Kommunikation, um die Befehlskette zu gewährleisten, erfolgte entweder über eine direkte Verbindung zu einem Command-and-Control-Server oder über Peer-to-Peer-Netzwerke (P2P).

Direkte Verbindung zu C&C-Server:

Die direkte Verbindung zu einem Command-and-Control-Server birgt jedoch unabhängig vom zugrundeliegenden Protokoll eine große Gefahr. Die Server können von den Ermittlungsbehörden ausfindig und somit die Malware auf den Zombies unschädlich gemacht werden. Es ist zwar möglich den Server zu verbergen, z. B. mit einem versteckten Algorithmus, der täglich die Domain-Namen ändert, aber diese Algorithmen können mit Analysen rekonstruiert und folglich ermittelt werden.

P2P-Architektur:

Eine Alternative stellt die Verwendung von klassischen P2P-Netzwerken dar. P2P-Netzwerke wurden berühmt und berüchtigt mit dem Aufkommen von Napster, einem Dienst, bei dem die Nutzer früher mit anderen Nutzern Musikdateien austauschen konnten. Jeder Nutzer fungierte gleichzeitig als Client und Server, daher der Begriff Peer-to-Peer.

Die an dieses Verfahren angepasste Malware befähigt den Zombie seinerseits anderen Zombies Befehle zu erteilen. Der Botnetz-Betreiber erteilt einer Handvoll Zombies einen Befehl, die den Befehl dann ihrerseits an andere Zombies weitergeben usw. Auch wenn dieses Verfahren intelligenter zu sein scheint als die direkte Client-Server-Kommunikation, ist es alles andere als perfekt.
Die Zombies befinden sich oft hinter Routern, was bedeutet, dass sie nicht als Server fungieren können, da die Router standardmäßig keinen eingehenden Traffic zulassen. Außerdem muss für den jeweiligen Bot eigens ein Protokoll entwickelt werden, was einen hohen Implementierungsaufwand erfordert.

Darüber hinaus werden die Botnetz-Betreiber mit Sicherheitsfragen konfrontiert: Von der Konzeption her kann jeder für die P2P-Kommunikation programmierte Zombie anderen Zombies Befehle erteilen. Deshalb können Ermittlungsbehörden oder andere Cyberkriminelle Befehle erteilen, um eine feindliche Übernahme des Botnetzes zu realisieren. Prinzipiell besteht zwar die Möglichkeit, Nachrichten zu authentifizieren, aber den Botnetz-Betreibern ist es zumeist zu kompliziert, diese Möglichkeit zu implementieren, oder für diese Authentifizierungsmechanismen einen solch hohen Aufwand zu betreiben. Dies hat in den vergangenen Jahren zu zahlreichen Botnetz-Abschaltungen und sogar zu Übernahmen geführt.

Der nächste Schritt – Nutzung des Tor-Netzwerks

Der nächste Entwicklungsschritt besteht in der Nutzung des Tor-Netzwerks. Tor ist allgemein als Anonymisierungsdienst für Endnutzer bekannt, aber Tor bietet mehr als das: “Tor ermöglicht es den Nutzern anonym zu bleiben und bietet gleichzeitig zahlreiche Dienste an, wie z. B. Web-Publishing oder einen Instant-Messaging-Server.”

Im vorliegenden Fall haben die Malware-Entwickler einen IRC-Server als versteckten Dienst eingerichtet.

Dies bietet dem Botnetz-Betreiber zahlreiche Vorteile:

  • Der Server ist anonym und kann somit nicht auf die Identität des Botnetz-Betreibers verweisen.
  • Der Server kann nicht ohne weiteres abgeschaltet werden.
  • Der Datenverkehr wird von Tor verschlüsselt, so dass er nicht von Angriffserkennungssystemen (IDS) blockiert werden kann.
  • Tor-Datenverkehr kann normalerweise nicht gänzlich blockiert werden, da es für Tor sehrwohl auch rechtmäßige Anwendungsfälle gibt.
  • Der Bot-Entwickler muss nicht notwendigerweise ein eigenes Protokoll erstellen, sondern kann auf das bekannte und zuverlässige IRC-Protokoll zurückgreifen.


Neben diesen Vorteilen muss jedoch auch darauf hingewiesen werden, dass eine solche Malware unter den mit einem Tor-Netzwerk einhergehenden Latenzen leidet. Mit anderen Worten: Tor neigt dazu, langsam und unzuverlässig zu sein, und gibt diese Schwächen an die zugrundeliegenden Botnetze weiter. Auch wenn dieser Datenverkehr der Botnetz-Kommunikation zusätzliche Sicherheit bietet, so kann die Malware selbst von AV-Software unter Verwendung von signatur- und verhaltensbasierten Erkennungsmechanismen blockiert werden.


Wünschen Sie Informationen zu dem analysierten Sample?
Kontakt: samplerequest (at) gdata.de

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar