In den Honeypot getappt

Schlecht geschützte Rechner sind im Internet leichte Opfer für Angreifer. Sie machen sich das Gerät gefügig, so dass sie selbst steuern können, was es tun soll, zum Beispiel Spam-Mail versenden. Da die Verbindung zwischen Angreifer und so genanntem Bot nicht permanent besteht, ist sie schwierig zu entdecken. Hinzu kommt, dass sich die Bots auch untereinander vernetzen. Um mehr Informationen zu bekommen, infiltrieren daher Forscher der Ruhr-Universität Bochum (RUB) solche Botnetze, indem sie eine Falle stellen, den so genannten Honeypot. Wird er durch einen Angreifer kompromittiert, können sie beobachten, was er damit macht.

Im Gegensatz zu einer herkömmlichen forensischen Untersuchung erlauben gezielte Veränderungen im Betriebssystem des Honeypots das direkte Mitschneiden aller Aktivitäten eines Angreifers. „Wir erhalten deshalb konkrete Informationen zum Ablauf eines Angriffs“, sagt RUB-Professor Dr. Thorsten Holz. Durch die Vielfalt der so gewonnenen Daten kann man schneller und genauer die Angriffswege, Motive und Methoden von Angreifern erforschen. Auch kann man die benutzten Angriffswerkzeuge, die normalerweise nach erfolgter Kompromittierung gelöscht werden, sofort sicherstellen.

In ähnlichen Experimenten haben die Bochumer Forscher eins der größten Spam-Botnetze infiltriert und 16 Kontrollserver dieses Netzes im Detail untersucht. Diese Server wurden von den Spammern benutzt, um Anweisungen an Bots zu schicken, die dann die eigentlichen Spam-Nachrichten versendet haben.

Die bei der Analyse erhaltenen Informationen liefern einen interessanten Einblick in Arbeitsweise von Spammern: Die Angreifer hatten pro Tag Kontrolle über etwa 120 000 Rechner und haben typischerweise etwa 10 000 dieser Rechner zum Spam-Versand benutzt. Innerhalb eines Monats haben die Angreifer mit diesem Botnetz etwa 87 Milliarden Spam-Nachrichten versendet.

Weitere Informationen: www.ruhr-uni-bochum.de/rubin/rubin-herbst-2012/beitraege/beitrag2.html