Vorderste Verteidigungslinie
Alles über Bot-Netze. Teil 2: Wie Bot-Netze wachsen, kommunizieren und ihrer Entdeckung entgehen
Die moderne Generation der Bots ist komplex. Sie verbreiten sich wie Würmer, verbergen sich wie Viren und können zu mehreren zusammengeschlossen werden, um groß angelegte, koordinierte Angriffe auszuführen. Bei den am weitesten verbreiteten Methoden, mit denen Botmaster die infizierten Computer (Bots) zu einem Bot-Netz zusammenschließen, werden Domain Name Server (DNS) eingesetzt. Mit einem dynamischen DNS weist ein Internet-Service-Provider einem Computer mit wechselnden IP-Adressen einen Internet-Domänennamen zu. Ebenso verfügen Bots über feste, von dynamischen DNS zugewiesene Domänennamen. In neueren Bot-Netzen werden eigene, verteilte DNS-Dienste ausgeführt, die zum Schutz vor Entdeckung durch Sicherheits-Appliances am Gateway hohe Port-Nummern verwenden.
Bots kommunizieren über wohldefinierte Netzwerkprotokolle untereinander und mit ihrem Botmaster. In den meisten Fällen verwenden Bot-Netze keine eigenen Protokolle, sondern nutzen bereits vorhandene, mit öffentlich zugänglichen Software-Tools implementierbare Kommunikationsprotokolle.
Das am häufigsten in Bot-Netzen verwendete Protokoll ist das IRC- (Internet Relay Chat) Protokoll. Dieses Protokoll wurde für die Gruppenkommunikation in Diskussionsforen, so genannten "Kanälen", entwickelt und ermöglicht auch die direkte Kommunikation zwischen zwei Ansprechpartnern über persönliche Nachrichten. Daher kann das IRC-Protokoll zum einen vom Botmaster für die Kommunikation mit dem gesamten Bot-Netz (Gruppenkommunikation) als auch mit einzelnen Bots (Eins-zu-Eins-Kommunikation) verwendet werden. Mit einer Firewall kann zwar IRC-Verkehr gesperrt werden, die Entdeckung von IRC-Kanälen in HTTP-Tunneln ist jedoch viel schwieriger.
Bot-Netze verwenden deshalb immer häufiger das HTTP-Protokoll zur Kommunikation. Der Vorteil besteht darin, dass der Bot-Netz-Verkehr im allgemeinen Internet-Verkehr "untergeht". Außerdem gilt, dass Firewall-Richtlinien, die meist am Netzwerk-Gateway implementiert werden, ein- und ausgehenden IRC-Verkehr sperren können, den HTTP-Verkehr eines Bot-Netzes jedoch in der Regel passieren lassen.
Moderne Bot-Netze verwenden Instant Messaging (IM) und Peer-to-Peer (P2P) Protokolle. Diese Netze sind noch in der Minderheit, werden aber bei weiterer Verbreitung neue Sicherheitshürden darstellen.
Bot-Netze werden immer raffinierter und entziehen sich immer geschickter ihrer Entdeckung. Moderne Bot-Netze entziehen sich nicht nur der Entdeckung durch Antiviren-Engine- und Signatur-basierte Intrusion Detection Systeme, sondern umgehen auch die anomalienbasierten Erkennungssysteme. Erstere tricksen sie mit ausführbaren Packern, Rootkits und Techniken zur Protokollumgehung aus und sorgen so auch für den Erhalt und die weitere Ausdehnung des Bot-Netzes. Bot-Netze verwenden Techniken zur Verbergung ihrer Kommunikation. Neben IRC verwenden immer mehr Bot-Netze modifizierte IRC- oder HTTP- und VoIP-Protokolle. Zum Schutz ihres Inhalts setzen sie häufig Verschlüsselungsmechanismen ein. Moderne Bot-Netze setzen TCP (Transmission Control Protocol) und darauf basierende ICMP- (Internet Control Message Protocol) oder IPv6- (neuestes Internet Protocol) Tunnel ein. Es ist nur eine Frage der Zeit, bis auch diese neuen Bot-Netze weit verbreitet sind.
Neue Entwicklungen bei Bot- und Bot-Netz-Techniken, sowie neue Bot-Netz-Erkennungs- und Abwehrtechniken werden die Sicherheitsbranche noch lange Zeit beschäftigen.
