Angriffe gegen Nutzer sind einer der negativen Seiteneffekte im heutigen Internet. Das Ziel eines Angreifers ist es typischerweise, die Maschine des Opfers zu kompromittieren und Kontrolle über diese zu erlangen. Die Maschine wird dann beispielsweise dazu benutzt, so genannte "Distributed Denial-of-Service"-Angriffe (DDoS) durchzuführen, Spam-Nachrichten zu verschicken oder vertrauliche Daten zu stehlen. Die Möglichkeiten eines Angreifers sind fast unbeschränkt, da er die komplette Kontrolle über das Opfersystem hat.

Aus der Sicht eines Angreifers sind Angriffe noch effizienter, wenn er es schafft, eine große Anzahl an Maschinen gleichzeitig zu kompromittieren. Um alle diese Maschinen kontrollieren zu können, setzt der Angreifer ein Botnet auf, das heißt einen Mechanismus, der es dem Angreifer erlaubt, effizient eine große Anzahl an kompromittierten Maschinen zu kontrollieren, um diese für rechtswidrige Aktionen zu benutzen.

Botnetze und ihre Strukturen
Typischerweise kommunizieren Angreifer, auch Botmaster oder Bot-Herder genannt, über einen so genannten "Command and Control"-Server (C&C) mit den kompromittierten Maschinen. Die Bots verbinden sich zu dem C&C-Server, über den sie die Kommandos des Angreifers empfangen. Bei den ersten Generationen von Botnetzen verlief die Kommunikation über das "Internet Relay Chat" (IRC) Protokoll. Heutzutage ist dies schätzungsweise noch bei 40-50 Prozent der Fall. Immer beliebter bei Angreifern wird die Kommunikation über HTTP ohne persistente Verbindung zum C&C-Server. Die Bots kontaktieren periodisch den C&C Server und fragen neue Befehle an. Dies hat vor allem in Firmenumgebungen erhebliche Vorteile für einen Angreifer, da der Zugriff auf das Internet per HTTP häufig fast unbeschränkt möglich ist. Des Weiteren existieren Botnetze mit proprietären Kommunikationsprotokollen, bei denen der Angreifer ein eigenes Kommunikationsformat entwickelt hat. Abbildung 1 zeigt den schematischen Aufbau eines C&C-Botnetzes.


Bild 1: Über den zentralen C&C-Server kontrolliert der Angreifer die Opfermaschinen

Neben Botnetzen mit einem zentralen C&C-Server existieren Botnetze, die ein Peer-to-Peer Protokoll als Kommunikationsmechanismus implementieren: Die einzelnen Bots werden als Teil der Kommunikationsinfrastruktur benutzt und deshalb ist es deutlich schwieriger, diese Art von Botnetzen zu studieren und dagegen vorzugehen. Beispiele für Peer-to-Peer Botnetze sind Storm Worm und Waledac, die jeweils mehr als 100.000 Maschinen auf der ganzen Welt infizieren konnten und somit eine große Verbreitung erreichten.


Bild 2: Der Aufbau der Botnetze Storm Worm und Waledac verlief nach dem Peer-to-Peer Prinzip mit dezentraler Kommunikationsstruktur

Informationssammlung durch Honeypots
Der englische Begriff "Honeypot" bezeichnet für gewöhnlich einen Gegenstand, von dem eine gewisse Attraktivität ausgeht, die bestimmte, nicht nur tierische Interessenten anzulocken vermag. Sie eignen sich als Köder, um Aufmerksamkeit auf einen Gegenstand zu lenken. Dieses Prinzip des Köderns lässt sich auch im Bereich der IT-Sicherheit anwenden: Hier werden elektronische Köder ausgelegt, um das Verhalten von Angreifern leichter zu studieren. Elektronische Köder sind Netzwerkressourcen, deren Wert darin besteht, angegriffen und kompromittiert zu werden. Diese Honeypots haben keine spezielle Aufgabe im Netzwerk, sind aber ansonsten nicht von regulären Komponenten zu unterscheiden und dienen als Lockmittel für Angreifer. Sie sind mit spezieller Software ausgestattet, welche die anschließende Forensik eines Angriffs deutlich erleichtert.

Im Gegensatz zu einer herkömmlichen forensischen Untersuchung erlauben beispielsweise gezielte Veränderungen im Betriebssystem das direkte Mitschneiden aller Aktivitäten eines Angreifers. Durch die Vielfalt der so gewonnenen Daten lassen sich die Angriffswege, Motive und Methoden eines Angreifers schneller und genauer erforschen.

                                                Seite 1 von 2                     Nächste Seite>>