Botnetze entwickeln autonome Intelligenz

EnterpriseManagementProjekteService-ProviderSicherheit

Die Infrastruktur der illegalen Netzwerke entwickelt sich rasant. Nach Angaben von Symantec kontrollieren zehn Schwergewichte unter den Botnetzen, zu denen etwa Cutwail, Rustock und Mega-D gehören, derzeit mindestens fünf Millionen infizierte PCs.

“Die Betreiber der Botnetze haben nach der Abschaltung von Internet Service Providern wie McColo Ende 2008 und Real Host im August 2009 die Backup-Strategie für ihre Kommando- und Kontrollsysteme überarbeitet und erweitert”, sagt Paul Wood von Symantec Hosted Services. “Die Schließungen hatten die Aktivitäten für einige Zeit ausgebremst. Statt innerhalb von Wochen oder Monaten erholen sich die Botnetze nun allerdings binnen Stunden von solchen Schlägen.”

Dies zeige einen Trend – Botnetze entwickeln im Jahr 2010 voraussichtlich autonome Intelligenz. Jeder Rechenknoten enthält dann autarken Programm-Code und sichert so sein eigenes Überleben. Die verkürzten Erholungsphasen deuteten außerdem auf eine Backup-Strategie ihrer Kontrolleure hin. Symantec vermutet, dass “Schläfer”-Bots zum Einsatz kommen, die nur bei Bedarf “geweckt” werden.

In den vergangenen zwölf Monaten hat sich nach diesen Angaben zudem die Technologie der Malware verbessert, mit der Botnetze erzeugt werden. Kernel-Rootkits – also Tarnsoftware, die Teile des Betriebssystemkerns ersetzt, um sich und ihre Aktivitäten zu verbergen – werden zur Norm.

“Kugelsichere” Botnetze setzen zudem auf Fast Flux. Hierbei handelt es sich um eine Domain-Name-Service-Technologie, mit der sich schädliche Websites verbergen lassen, die das Botnetz bereitstellt. Die Websites sind hinter einer ständig wechselnden Liste von IP-Adressen gekaperter Rechner versteckt, die als Web-Server oder Verteiler dienen.