Dienstag, 10. November 2009, 14:59
Die Botnet-Front in den Kinderschuhen
Man lese
Neues von der Botnet-Front
Ehrlich? In meinen Augen sind das erst die Kinderschuhe, in denen die Botnetze stecken.
Vor kurzem war es noch ein Durchbruch, dass man die Domainnamen, unter denen sich die Drohnen neue Informationen suchten, vorherberechnet und teilweise gesperrt bzw. selbst registriert hat.
Man stelle sich einmal vor, die Vorherberechnung wäre nicht mehr möglich, weil eben eine Zufallskomponente, die wirklich zufällig ist, mit-einfließt. Beispiel gefällig? Einen relativ langen Hash über eine öffentliche Seite, die sich ständig verändert, z.B. ein News-Portal, die Startseite von Wikipedia oder Twitter. Und genau bei letzterem könnte der Botnetz-"Betreiber" sogar einen Account eröffnen, dessen Name genau aus dieser Zufallskomponente gebildet wird, und über die sich die Drohnen neue Informationen holen. So ein Twitter-Account ist im Gegensatz zu Domainnamen erheblich günstiger. Und 160 Zeichen reichen dicke, um die Drohe entweder zum nächsten Hop zu schicken, oder gepackt Informationen zu geben.
Man kann diese Gedanken beliebig weiterspinnen. Vielleicht versteckt sogar ein Botnetz-Betreiber seine Informationen direkt im Text von Wikipedia-Beiträgen. Oder er verwendet das Ergebnis einer Google-Suche, um seinen Drohnen Anweisungen zu schicken. Je bekannter die Seiten, die zur Verbreitung von Informationen genutzt werden, sind, umso schwieriger wird es, sie ganz oder teilweise zu sperren.
Ich glaube, dass hier (im negativen) Sinne noch sehr viel Potential steckt.
Neues von der Botnet-Front
Ehrlich? In meinen Augen sind das erst die Kinderschuhe, in denen die Botnetze stecken.
Vor kurzem war es noch ein Durchbruch, dass man die Domainnamen, unter denen sich die Drohnen neue Informationen suchten, vorherberechnet und teilweise gesperrt bzw. selbst registriert hat.
Man stelle sich einmal vor, die Vorherberechnung wäre nicht mehr möglich, weil eben eine Zufallskomponente, die wirklich zufällig ist, mit-einfließt. Beispiel gefällig? Einen relativ langen Hash über eine öffentliche Seite, die sich ständig verändert, z.B. ein News-Portal, die Startseite von Wikipedia oder Twitter. Und genau bei letzterem könnte der Botnetz-"Betreiber" sogar einen Account eröffnen, dessen Name genau aus dieser Zufallskomponente gebildet wird, und über die sich die Drohnen neue Informationen holen. So ein Twitter-Account ist im Gegensatz zu Domainnamen erheblich günstiger. Und 160 Zeichen reichen dicke, um die Drohe entweder zum nächsten Hop zu schicken, oder gepackt Informationen zu geben.
Man kann diese Gedanken beliebig weiterspinnen. Vielleicht versteckt sogar ein Botnetz-Betreiber seine Informationen direkt im Text von Wikipedia-Beiträgen. Oder er verwendet das Ergebnis einer Google-Suche, um seinen Drohnen Anweisungen zu schicken. Je bekannter die Seiten, die zur Verbreitung von Informationen genutzt werden, sind, umso schwieriger wird es, sie ganz oder teilweise zu sperren.
Ich glaube, dass hier (im negativen) Sinne noch sehr viel Potential steckt.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
ghling
Bei einer Domain ist der Vorteil, dass sie (so nicht irgendwie berechnet oder zufällig entdeckt) theoretisch unendlich lange oder zumindest bis sie gelöscht wird online ist, was nach meiner Schätzung wesentlich schneller ist.
Das nutzen von großen Seiten wie Wiki oder eines Newsportals ist sicher schwerer zu blocken, allerdings müssen die Infos ja auch dort untergebracht werden. Da sie wohl relativ schnell auffallen würden und gelöscht werden wären sie auch nur sehr kurzfristig für die Bots verfügbar.
Zudem wüsste ich jetzt nicht, wie ich als Nutzer (außer durch eine Sicherheitslücke auf der Seite) etwas dauerhaft auf einer Nachrichtenseite unterbringen sollte. Als Kommentar wäre es auf jeden Fall schnell wieder von der Seite weg oder gelöscht.
Und einen Zufallstag anhand einer Seite zu erstellen ist zwar interessant, setzt aber voraus, dass alle Bots und der "Steuermann" gleichzeitig auf diese Seite zugreifen (1 Sek. später kann ja schon was anderes darauf sein). Und ich bezweifel, dass alle Rechner wirklich Sekundengenau sind. Zudem würde dann wohl der plötzlich hohe Traffic auffallen.
Manuel Schmitt (manitu)
Und zu Kommentaren in Blog oder auf News-Seiten und bzgl. der Zeit-Problematik: Die Drohnen können ja sehr dezent und zeitversetzt auch Historien lesen. Die Drohe muss ja nur eine Art von Parsing besitzen, die echte von nicht-echten Informationen unterscheidet.
ghling
Da würde wohl wirklich eher Steganographie am ehesten Sinn machen. Ich weiß jetzt nicht, ob FlickR-Links zufällig vergeben werden oder vorausberechnet werden. Sollten sie eine Zufallskomponente enthalten müsste man das ja wieder an einen Account binden, der relativ anfällig auf eine Löschung ist.
Die Kontaktadressen müssen ja nicht unbedingt durch manuelles Hinschauen erkennbar sein (sind die Domainnamen ja auch nicht), allerdings wird sich gerade etwas Accountgebundenes durch Reverse-Engeneering und Netzwerkanalyse recht schnell finden lassen (und der Account dann einfach gelöscht werden).
Letztlich denke ich einfach, dass es momentan wohl noch einfach genug ist, über die Domains zu gehen als da jetzt eine größere Entwicklung zu beginnen. Aber für die Zukunft ist da wohl leider wirklich noch ein großes Potential.
Dirk
„In seinem Blog-Eintrag berichtet er über den Twitter-Accounts „upd4t3“ (Leet-Speek für "update"), dessen Nachrichten offensichtlich Base64-kodiert sind. Nazario vermutet, dass sie zur Steuerung eines Bot-Netzes dienen, dessen Clients sich dort Befehle abholen. Das Konzept ist nicht ganz neu; bereits 2007 berichtete heise Security über Trojaner, die Web-2.0-Sites wie Myspace zur Kommunikation nutzen.“
http://www.heise.de/newsticker/meldung/Bot-Netz-benutzt-Twitter-751373.html
Björn
Manuel Schmitt (manitu)
_joe_
DHT Botnet aufbauen (natürlich mit verschlüsseltem Traffic unter den Botnet-Nodes) und mit Zertifikaten in das Netz connecten um die Dinger zu kontrollieren.
Es sollte reichen immer mal die IPs von ~ 100 Hosts zu sichern um wieder ins Botnet connecten zu können.
Das würde allerdings etwas mehr Arbeit in der Programmierung machen als die simplem Mechanismen die man seit 10 Jahren einsetzt (HTTP Request...).
Zeigt doch immer wieder sehr deutlich, dass nur Kiddies den Spaß programmieren. Wenn man nämlich mal richtig darüber nachdenkt ist schon sehr viel möglich um ein solches Netzwerk weniger angreifbar oder abwehrbar zu machen.
Energiequant
Ganz allgemeines Peer2Peer gabs aber glaub ich schonmal in irgendeinem Botnetz und ohne Paketfilter wird man solchen Lösungen auch nicht wirklich viel anhaben können, sofern denn voller Internetzugang möglich ist (was bei größeren Firmennetzen nicht der Fall sein sollte).
_joe_
Man muss also wie schon beschrieben dafür sorgen, dass genügend Hosts zum Bootstrappen zur Verfügung stehen die auch eine gute Uptime haben (Auswahl dieser Hosts also evt. nach Lebensdauer, Geschwindigkeit usw.).
Desweiteren ist das keine DHT im eigentlichen Sinne - man speichert ja keine Daten darin sondern läd lediglich die Kontrollinformationen in die Wolke. Für die Kommunikation der Hosts untereinander langt auch übliches P2P mit entsprechender Propagation der Nodes ohne zentralen Server.
Prinzipiell sieht man sich da mit den üblichen Problemen konfrontiert wenn man ein solches Netz aufbauen will. Man muss ein Routing-Protokoll implementieren, man muss sich überlegen wie man bekannte Nodes speichert, man muss sich Timeout-Strategien und die Propagation neuer Nodes im Netz überlegen.
Im Freenet wird die ganze Sache über 20 persistente Verbindungen zu anderen Nodes am Leben gehalten. Da es für unseren Botnet-Anwendungsfall keinen zeitkritischen Datenverkehr gibt, reichen sicher auch 10.
Das Ganze dann verschlüsselt (wieder muss man überlegen wie man neue Nodes ins Netz bekommt und diese authentifiziert sodass keine "bösen" Nodes ins Netz kommen).
Ja da ist mir klar warum sich noch niemand daran gewagt hat dies zu programmieren. Das erfordert sehr viel Know-How über Netzwerke, Routing-Algorithmen und Security. Das jemand irgendwann diesen Weg gehen wird ist nur eine Frage der Zeit. Bisher funktioniert es aber mit herkömmlichen Methoden wohl noch zu gut.