Bin ich ein Bitcoin-Bot?
Botnetzbetreiber nutzen gnadenlos fremde Ressourcen, um Pro t daraus zu schlagen. Über Ihren PC versenden sie Spam, hacken fremde Rechner und versuchen, Bitcoins zu erzeugen. Seien Sie wachsam!
Botnetzbetreiber nutzen gnadenlos fremde Ressourcen, um Pro t daraus zu schlagen. Über Ihren PC versenden sie Spam, hacken fremde Rechner und versuchen, Bitcoins zu erzeugen. Seien Sie wachsam!
B ots sind Kinder des Internet. Während Viren von den späten 1980ern bis Ende der 1990er den asynchronen Austausch von Daten nutzten – zunächst per Datenträgertausch, später durch kurz online ausgetauschte „elektronische Post“, sind Bots auf eine fast dauerhafte Internetverbindung angewiesen. Einerseits fragen sie ständig nach Befehlen ihres „Meisters“an, andererseits sind gerade viele Aktionen der Bots darauf ausgerichtet, mit niedriger Datenrate, aber hoher Wirksamkeit Aufgaben zu erfüllen.
Was ist ein Bot?
Botnetze bestehen aus mindestens drei Komponenten, die im Idealfall (für Betreiber und Entwickler des Botnetzes, nicht für unfreiwillig Betroffene!) maximal austauschbar sind: einer Wurmsoftware, die für die Verbreitung von Rechner zu Rechner sorgt, einer Software, die Command and Control Server sucht, und schließlich einer Komponente, die versucht, die heruntergeladene „Nutzlast“in einer Weise auszuführen, die möglichst unauffällig ist. Die Komponenten können wie im Falle Mirai zusammengefasst oder auch weiter gesplittet werden. Es ändert sich jedoch nichts an ihrer prinzipiellen Abhängigkeit von Internetverbindungen, die benötigt werden, um die Arbeit durchzuführen (die Nutzlast auszuführen) und das Botnetz mit der Wurmkomponente weiter zu verbreiten. Auffällig bei vielen Botnetzen ist auch, dass viele Bots Tage, Wochen oder gar Monate lang schlafen, bevor sie das erste Mal in Aktion treten. Der Hauptgrund hierfür ist, dass es aus Sicht der Botnetzbetreiber deutlich ef zienter ist, ein großes Botnetz seine Arbeit aufnehmen zu lassen, als bereits ab einer Verbreitung von wenigen Hundert „Teilnehmern“mit Gegenmaßnahmen konfrontiert zu sein. Ein weiterer Grund ist häu g, dass so weitere Verbreitungsarten hinzugefügt werden können – die Wurmkomponente kann also erste Evolutionsschritte durchlaufen, bevor die Komponente zur Ausführung der Nutzlast überhaupt in Erscheinung tritt.
Unauffällig bleiben
Die drei Hauptaufgaben von Botnetzen sind der SPAM-Versand, die Durchführung von Denial-of-Service-Attacken und das Schürfen verschiedener Crypto-Währungen wie Bitcoin (seltener) oder Ethereum (häu ger). In allen drei Fällen versuchen intelligent programmierte Bots, sich unauffällig zu verhalten: Ein Botnetz aus Hundertausen- den Spambots kann beispielsweise relativ unauffällig große Mengen an Spam verschicken, wenn jeder einzelne Teilnehmer nur eine kleine Zahl Spam-Mails pro Tag verschickt. Beim Denial of Service, also dem Lahmlegen von Diensten, genügt es beispielsweise, wenn jeder einzelne Rechner ein paar Dutzend TCP-Verbindungen öffnet und hierüber sehr langsam Daten herunterlädt. Jedem einzelnen Teilnehmer des Botnetzes fällt weder die genutzte Bandbreite auf (ein winziger Bruchteil einer DSLVerbindung), noch besteht die Gefahr, ans Limit der Anzahl der TCP-Verbindungen zu gelangen. Mining Bots versuchen, die Systemlast gering zu halten, wenn erkannt wird, dass ein Nutzer gerade mit dem System interagiert oder sich beispielsweise ein Notebook im Batteriebetrieb be ndet. Per de: Da kommt man an seinen PC mit laut laufendem Lüf- ter, wundert sich, was wohl die hohe Last verursacht, um gleich nach dem Anmelden festzustellen, dass alles normal ist – meist vergisst man dann, nach der Ursache zu suchen, und der Bot kann munter Wochen oder Monate lang Kryptogeld schürfen und dabei durchaus spürbare Stromkosten verursachen. Ein weiterer Schritt zu großer Unauffälligkeit ist die Installation mit normalen Nutzerrechten (nicht mit Administratorrechten): Weder Spam-Bots noch DDoS-Bots benötigen zwingend erhöhte Rechte. Oft genügt es, die als Nutzlast gedachte Software beim Login eines Nutzers per Registry-Autostart zu starten. Gerade bei Programmen zum Schürfen von Kryptowährungen ist für sogenannte Sicherheitssoftware kein Unterschied zwischen einem legitimen (also fürs eigene Portemonnaie) und einem illegitimen Tool zu erkennen.
Die Ökonomie der Botnetze
Ein interessanter Aspekt bei Botnetzen ist, dass verschiedene Gruppen an der Erstellung der Netzwerke arbeiten und diese Arbeitsteilung schnöde mit Geld vergütet wird: Der Initiator eines Botnetzes kauft zur Verbreitung notwendige Kenntnis über Sicherheitslücken oder fertigen Code, der diese ausnutzt. In vielen Fällen wird er beispielsweise Hosting-Kapazitäten in Form gehackter Blogs oder Foren kaufen, um seine Software per Drive-by-Download zu verteilen. Ist das Botnetz groß genug, wird der Betreiber damit beginnen, dessen Kapazitäten in Untergrundmarktplätzen anzubieten. Er kann mit der Flexibilität bei Botnetzen werben, die verschiedene Nutzlasten ausführen können, oder er kann bei reinen Spam- oder DDoS-Netzwerken zum Bei- spiel hohe Kapazitäten oder viele gut angebundene Clients hervorheben. Die Bezahlung erfolgt dann in der Regel in Bitcoins, andere gerne genutzte Zahlungsarten sind Paysafe-Cards, Prepaid-Debitkarten oder die Gutscheine großer Online-Händler wie Amazon oder iTunes. Solche Gutscheinkarten lassen sich beispielsweise über OnlineAuktionshäuser leicht in gängige Währung tauschen.
Virenscanner versus Bots
Viele Virenscanner tun sich bei der Erkennung von Bots schwer beziehungsweise nehmen neue Bots oft erst spät in Signaturlisten und Verhaltensheuristiken auf. Der Hauptgrund hierfür liegt in der Verhaltensunauffälligkeit vieler Bots. Ein Bot, der beispielsweise erst einmal einige Wochen gar nichts tut und in seinem Code ein hart kodiertes Datum für den ersten Verbindungsaufbau zu einem Command and Control Server hat, wird kaum so auffallen, dass er zur Analyse an die Hersteller von Antivirensoftware eingereicht wird. Hinzu kommt der oft minimale Funktionsumfang: Als minimaler Botcode genügt die Verbindungsaufnahme zu einem Command and Control Server, das Herunterladen von Nutzlast und das Ausführen selbiger. Immerhin ist die Nutzlast oft besser aufzuspüren und ihre Funktion zu identi zieren als der Bot selbst. Das kann durchaus zur Situation führen, dass ein Bot selbst unerkannt bleibt, heruntergeladene Nutzlast aber gelegentlich erkannt und unschädlich gemacht wird. Das zweite Problem ist das der Legitimität: Ein Mailserver für den Spamversand ist alleine aufgrund der Verhaltensheuristiken schwer von einem Mailserver für den (legitimen) Newsletter-Versand zu unterscheiden – und wie bereits im Abschnitt „Unauffälligkeit“erwähnt: Legitime und illegitime Schürfprogramme unterscheiden sich al-
leine dadurch, ob derjenige, der die Stromrechnung bezahlt auch die Kryptowährung bekommt. An dieser Stelle kommt eine eher unauffällige Einstellung vieler Virenscanner ins Spiel: Praktisch alle kennen den englischen Begriff der Potential Unwanted Applications (kurz PUA), oft übersetzt mit potenziell unerwünschte Software. PUA fasst im Prinzip all jene Software zusammen, die in vielen Firmenumgebungen nicht oder nur nach Freigabe durch Netzwerkadministratoren erfolgen darf. Dazu gehören Schürfprogramme für Kryptowährungen (weil sie Stromrechnungen in die Höhe treiben), einige Fernwartungsprogramme ( weil sie die Sicherheit gefährden), aber auch viele Mailtools, wie Server für den Newsletterversand. Bei Virenscannern für den Hausgebrauch ist die Erkennung von PUA meist deaktiviert, weil die Anbieter der Virenscanner davon ausgehen, dass Anwender und Administrator identisch sind. Schaltet man die Erkennung von PUA an, erkennen viele Virenscanner auch Spiele (auf Firmen-PCs Arbeitszeitvernichter) oder Scherzprogramme als potenziell unerwünscht. Immerhin: Trotz vieler False Positives auf dem PrivatPC kann die PUA-Einstellung oft schnell helfen, illegitime Bitcoin-Miner zu identi - zieren. Doch nicht jedes Computersystem im Haushalt enthält einen Virenscanner – tatsächlich sind Virenscanner eher die Ausnahme: Der Autor hat in seinem Haushalt rund 20 Linux-basierte Systeme auf ARM- oder MIPS-Prozessoren entdeckt, dabei handelt es sich um Smartphones, Tablets, einen unter Tizen laufenden Fernseher, Netzwerkgeräte wie Accesspoints und Powerline-Adapter, ein Internetradio und einen Raspberry Pi. Viele dieser Geräte erhalten selten Updates, laufen oft Monate lang am Stück und sind daher beliebte Ziele von Angreifern. Das Nichtvorhandensein von Sicherheitssoftware und insbesondere der Verzicht auf in Linux integrierte Sicherheitsmaßnahmen erhöht die Attraktivität zusätzlich. Da Schadsoftware meist gestartet und gelöscht wird, also nach einem Neustart weg ist, hilft weder eine Analyse des Betriebssystemimages noch die Untersuchung vorhandener Dateien.
Netzwerk- statt Dateianalyse
Der Weg zum Auf nden in zierter IoT-Geräte führt daher meist über das Netzwerk. Zunächst können Sie mit OpenVAS einen Schwachstellenscan über das gesamte Netzwerk durchführen und so verwundbare Geräte aufspüren und „vergessene“inventarisieren. Mit dem Intrusion Detection System (IDS) Snort analysieren Sie Netzwerkverkehr automatisch, so ist es beispielsweise möglich, die Verbindungsaufnahme zu bestimmten C&C-Servern zu erkennen und Alarm zu schlagen. Schließlich können Sie mit Wireshark den kompletten Verkehr einzelner Rechner mitschneiden und so detailliert analysieren. Alle drei Tools sind Teil der PC-Magazin-NotfallDVDs und der LessLinux Search and Rescue DVD ( blog.lesslinux.org). Mittlerweile beginnen erste Hersteller von DSL-Routern damit, bestimmte Anfragen zu überwachen und Zugriffe auf C&C-Server zu erkennen – zwar kein vollwertiges IDS, aber ein Schritt in die richtige Richtung.
Webmining
Eine interessante neue Entwicklung der letzten Monate ist das Schürfen von Kryptowährungen im Webbrowser. Für JavaScript existieren einige Ethereum-Miner, die gerade von Pornoseiten gerne statt Werbung (oder zusätzlich) eingesetzt werden: Während das Filmchen läuft (das idealerweise als h.264 in Hardware dekodiert wird) und die gesamte Aufmerksamkeit des Betrachters erfordert, schürft ein JavaScriptProgramm im Hintergrund Kryptogeld. Schließt man den Tab, ist der Spuk vorbei. Mit der Einführung des performanteren Webassembly dürfte sich das Problem noch verschärfen. Einigen ndigen Web-Entwicklern ist es gelungen, Pop-up-Fenster zu öffnen, in denen Kryptogeld geschürft wird, und diese bei Windows unter alle anderen Fenster und die Uhr zu platzieren. Wer sich nach dem Schließen aller Browserfenster über eine bleibend hohe Systemlast wundert, sollte die Taskleiste einmal an eine andere Stelle verschieben… whs