Der große Coup gegen das Avalanche-Botnetz

01.12.2016
G DATA Blog

Gestern ist es einer international koordinierten Gruppe von Strafverfolgern und privat(wirtschaftlich)en Security-Enthusiasten gelungen, die Command&Control-Rechner des Avalanche-Botnetzes unter ihre Kontrolle zu bringen und das Botnetz damit zu zerschlagen. Die Bereinigung der befallenen Rechner ist Aufgabe der Nutzer.

Seit über 4 Jahren ermittelt die Staatanwaltschaft Verden und die Polizei Lüneburg gegen die Betreiber des Avalanche-Botnetzes. Avalanche ist eine Plattform für Cyberkriminelle, die sich anfangs (2008/2009) mit Spamversand und Phishing-Angriffen befasste und später (2011/12) auf die Verbreitung und Nutzung von Banking-Trojanern umschwenkte sowie Ransomware verbreitete. Alleine in Deutschland sind Schäden in Millionenhöhe entstanden. Aber Avalanche agierte weltweit. Zusammen mit Strafverfolgern aus den USA, einschließlich FBI, sowie Europol und weiteren internationalen Partnern ist es gestern in einem Coup mit historischem Ausmaß gelungen die Avalanche-Botnetz-Server vom Netz zu nehmen und die Betreiber zu verhaften.

Der Takedown

Über 800.000 Domains mussten in Sinkholes umgeleitet werden. Das Avalanche-Botnetz nutzte dazu eine Technologie, die als besonders sicher gegen Takedowns gilt: Double Fast-Flux. Dabei wird bei der Auflösung der Domainnamen in IP-Adressen die Gültigkeit der Einträge sehr kurz eingestellt (die TTL (Time-to-Live) liegt im Bereich von Minuten). Selbst wenn es jemandem gelingt einzelne Zombie-Rechner vom Netz zu nehmen, verbinden sie sich, wenn die kurze TTL abgelaufen ist, mit einem anderen Control-Server. Mit hohem technischem Aufwand und mit gut koordinierten Aktionen zwischen Polizei, Behörden und privaten IT-Sicherheitsforschern ist es dennoch gelungen, die Botnetz-Infrastruktur von Avalanche zu zerschlagen. Die Leistung der beteiligten Gruppen kann nicht hoch genug bewertet werden. Wir gratulieren zu diesem großartigen Schlag gegen die Cyber-Kriminalität.

Als Sinkholes werden Rechner bezeichnet, die zu Analysezwecken von Botnetz-Forschern und Ermittlungsbehörden in die aktiven Botnetze eingeschleust werden. Die Domainnamen oder IP-Adressen sind eigentlich von den Betreibern für die eigene Infrastruktur vorgesehen. Sie werden aber so umgeleitet, dass die Rechner der Ermittler angesteuert werden und nicht die eigentlichen Botnetz-Rechner. So kann festgestellt werden, wie viele Zombies in einem Botnetz aktiv sind. Durch Analysen der Kommunikation mit den Zombie-Rechnern und von entsprechenden Malware-Analysen können die Steuerbefehle zusammengetragen werden.

Die Aufräumarbeiten

Leider gibt es noch einen Hasenfuß. Die Server von Avalanche sind zwar für die einzelnen Bots auf den infizierten Zombie-Rechnern nicht mehr erreichbar. Die eigentliche Malware lauert aber immer noch auf den Rechnern. Die Entfernung der Malware von den Rechnern ist nicht Bestandteil des Anti-Avalanche-Coups. Möglicherweise betroffene Rechner sollen ermittelt und deren Nutzer informiert werden. Sie können sich dann entsprechende Removal-Tools herunterladen. Wir empfehlen in diesem Fall das Removal durch unsere 30-Tage G DATA Testversion. Wir hoffen, dass möglichst viele PC-Nutzer ihre Rechner bereinigen. Erst wenn alle Rechner bereinigt sind, kann die Akte Avalanche geschlossen werden.

Mehr Informationen zum Thema

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein