Wie ein modernes Botnetz funktioniert
SecureWorks hat eine interessante Analyse des SpamThru-Botnetzes geschrieben (bekannt durch die aktuelle Stock-Spam-Kampagne). Die wichtigsten Punkte:
- gesteuert durch einen Control-Server
- P2P-Kommunikation zwischen den Bots: Falls der Control-Server entdeckt und abgeschaltet wird (wie gerade geschehen) kann der Betreiber des Botnetzes über P2P den Bots die IP des neuen Control-Servers bekannt geben, solange er die Kontrolle über mindestens einen der Bots hat
- die Botsoftware lädt eine gehackte Version der Kaspersky-AV-Software vom Control-Server und deaktiviert damit alle anderen Trojaner ausser sich selbst
- jeder Bot versendet pro Spamversand nur an einige hundert Adressen
- die Betreiber haben ganz offensichtlich viel Arbeit und Geld in ihr Business gesteckt
- von den total 73000 aktiven Bots sind 12000 in den USA und nur 2800 in China (was mich doch etwas erstaunt, sehen wir doch bei uns neben China neu auch viel Spam aus osteuropäischen und inzwischen auch afrikanischen Ländern, z.B. Marokko)
- das System wäre theoretisch in der Lage, pro Tag eine Milliarde Spam-Mails zu verschicken
Wegen der P2P-Funktionalität ist es beinahe unmöglich, dieses Botnetz abzuschalten. Offenbar ist der Zugang zum System auch sehr gut geschützt, da sich der Betreiber mit Sicherheit auch gegen Konkurrenten wehren muss. Es wäre doch zu cool, das Botnetz einfach zu übernehmen und selber damit Geld zu verdienen…
(via Matthias Leisi)
