Diese Story ist aus der Kategorie Internet und Domains und dem Dossier Sicherheit und Stabilität

Ein Botnet aushebeln

Das ZeroAccess Botnet verursachte Millionenschäden, bevor es im Dezember 2013 schachmatt gesetzt wurde.

Text: Serge Droz, publiziert am 16.04.2015

Die erste Meldung über eine neue Malware, ZeroAccess genannt, erschien am 13. Juli 2011. Unter Verwendung hoch entwickelter Rootkit-Technologie bestand die Hauptmotivation hinter ZeroAccess, mit Pay-per-Klick-Werbung Geld zu verdienen; ZeroAccess war aber ebenfalls in der Lage, Bitcoins zu gewinnen, in infizierten Systemen eine Hintertür einzurichten und weitere Funktionen auszuführen.

ZeroAccess war eines der lukrativsten je betriebenen Botnets, indem weltweit über zwei Millionen PCs infiziert wurden und damit ein Schaden von USD 2,7 Millionen pro Monat entstand. Es verursachte auch in der Schweiz einen Schaden von Tausenden Franken. Das Botnet wurde durch eine Infrastruktur unter der Bezeichnung Blackhole Exploid Kit verbreitet, die zusätzlich zu ZeroAccess als Instrument zur Verbreitung einer Anzahl Malware-Programmen, namentlich Zeus und Citadel, benutzt wurde, die beide Banken angreifen. Das Kit war für USD 700 pro Woche zu leasen.

Ein Anruf von KOBIK

Im Dezember 2013 erhielt SWITCH einen dringenden Telefonanruf von KOBIK, der Schweizerischen Koordinationsstelle zur Bekämpfung der Internetkriminalität. Koordiniert durch Europol und dem FBI wurde eine globale Aktion gestartet, um kritische Systeme für das Klick-Betrugsmodul von ZeroAccess aus dem Verkehr zu ziehen. SWITCH wurde angefragt, an der In-Site-Aktion teilzunehmen. Sie wurde ein voller Erfolg: Der Klick-Betrug wurde unmittelbar gestoppt, und am nächsten Tag empfing das Botnet einen aussergewöhnlichen Befehl: "White Flag". Seitdem wurde nur noch wenig Aktivität festgestellt und das ZeroAccess Botnet schrumpfte von zwei Millionen Bots auf seinem Höhepunkt auf weltweit lediglich 50'000. Im Dezember 2013 meldeten die russischen Behörden auch die Verhaftung des Besitzers des Blackhole Kits.

Wie dieses Beispiel zeigt, ist die weltweite Zusammenarbeit von Teams bei der Bekämpfung der Cyber-Kriminalität absolut wesentlich. Ein einzelnes Computer-Notfallteam wie SWITCH-CERT kann kein Botnet mit globalen Dimensionen bekämpfen, zumindest nicht allein. CERTs arbeiten nie isoliert. Stattdessen nutzen sie den Vorteil ihres Netzes von nationalen und internationalen Partnern zur Koordination von Massnahmen gegen Cyber-Kriminelle. Das Hauptaugenmerk eines CERT liegt auf dem Schutz seiner Kunden.

Eindämmen, Erkennen und Säubern

Bei SWITCH verfolgen wir in solchen Fällen einen zweifachen Ansatz: Eindämmen von Neuinfektionen sowie Erkennen und Säubern manipulierter Systeme. Zu diesem Zweck erhält SWITCH täglich Listen von seinen Partnern, auf denen manipulierte Web-Server für die Domains .ch/.li aufgeführt sind, die für Drive-by-Angriffe benutzt werden. Die Besitzer dieser Websites werden dann informiert. Sie erhalten eine Frist von einem Tag, um das Problem zu lösen. Wenn sie dies nicht schaffen, deaktiviert SWITCH die Domain-Namen, um die Besucher zu schützen.

SWITCH verfügt nicht über die notwendigen Ressourcen, um jedes in der Schweiz verwendete Exploit Kit zu untersuchen. Wir geben unsere Ergebnisse, d. h. die bösartigen Links in gehackten Websites, an vertrauenswürdige Dritte weiter. Dabei handelt es sich typisch um andere CERTs rund um die Welt, die wir regelmässig treffen und mit denen wir bereits früher zusammengearbeitet haben. Sie können diese Information benutzen, um weitere Ermittlungen über das Backend durchzuführen.

Einfach gesagt, wird vorgegeben, zum "dunklen Reich" zu gehören und damit infizierte Systeme anzulocken.

Die gleiche Information kann auch zur Erkennung infizierter Clients im akademischen Backbone benutzt werden. Sogenannte Manipulationsindikatoren (IOCs) kennzeichnen Verbindungen zu böswilligen Sites. Wir informieren die Kunden über die Erkenntnisse bezüglich ihrer Sites, damit sie eventuell gefundene Probleme lösen können. Dieser Ansatz hat sich als erfolgreich erwiesen: Eine neue Malware-Familie wird dank unseren Partnern in den Schweizer Hochschulen innerhalb einiger Wochen vom akademischen Backbone entfernt.

Eine Technik namens Sinkholing

Das Erkennen infizierter Clients ist oft eine schwierige Aufgabe, aber Forscher rund um die Welt überwachen grosse Botnets durch eine Technik, die als Sinkholing bezeichnet wird. Einfach gesagt, wird vorgegeben, zum "dunklen Reich" zu gehören und damit infizierte Systeme anzulocken. Listen dieser Clients werden dann an die Netzbetreiber rund um die Welt weitergegeben, damit diese eine Säuberung durchführen können. SWITCH-CERT erhält als vertrauenswürdiges Mitglied der weltweiten Sicherheitsgemeinschaft jeden Tag Hunderte von infizierten IP-Adressen aus allen Teilen der Schweiz. Diese werden dann an unsere Kollegen bei den verschiedenen Schweizer ISPs weitergegeben.

ZeroAccess ist ein hervorragendes Beispiel dafür, dass ein CERT für sich allein zu klein ist, um ein weltweites Botnet zu bekämpfen, aber dass durch Austausch und Zusammenarbeit ein Erfolg erzielt werden kann.

SWITCHcert
Dieser Text ist im SWITCH Journal April 2015 erschienen.
Über den Autor
Serge   Droz

Serge Droz

Dr. Serge Droz hat an der ETH Zürich Physik studiert und seinen Doktortitel in Theoretischer Physik an der University of Alberta (Kanada) erworben. Er arbeitete als Computersicherheitsbeauftragter am Paul Scherrer Institut. PSI in Villigen AG. Bei SWITCH ist er seit 2004 als Teamleiter des Computer Emergency Response Team CERT tätig.

E-Mail

Was tauschen CERTs aus?

Beim Datenaustausch befindet sich SWITCH-CERT meistens auf der Empfängerseite. Wir erhalten regelmässig Information über:

  • Möglicherweise gehackte Systeme an den Schweizer Hochschulen oder allgemein in der Schweiz
  • Gehackte Webserver, die für die Verteilung von Malware oder als Hosts für Phishing-Sites benutzt werden
  • Listen von bekannten böswilligen Systemen
  • Grosse Mengen von manipulierten Login-Daten, manchmal mit Passwörtern.

Wir tauschen jedoch auch regelmässig Information mit andern aus, dazu gehören:

  • URLs, die wir in gehackten Websites finden, die auf böswillige Server verweisen
  • Listen von manipulierten Clients, die durch die Analyse von Protokolldateien ermittelt wurden
  • IOCs, die helfen, Bedrohungen zu erkennen.
Weitere Beiträge