Categories: Sicherheit

Botnetz tarnt sich durch falsche SSL-Pings


Joe Stewart von SecureWorks auf der Konferenz Black Hat 2008 (Bild: Robert Vamosi, News.com)

Um seinen Kontrollserver besser zu tarnen, senden die Zombie-Systeme des Botnetzes Pushdo falsche SSL-Anfragen an große Websites. Dieses neuartige Vorgehen hat SecureWorks-Mitarbeiter Joe Stewart jetzt öffentlich gemacht.

Zu den Servern, die zur Tarnung kontaktiert werden, zählen laut Shadow Server Foundation die der CIA, des FBI, von Paypal, Yahoo und Twitter. Ziel ist es nicht, diese Server lahmzulegen. Als Betreiber sieht man nur „einige seltsamen Verbindungen, die völlig sinnlos erscheinen. Es sieht so aus, als sollte ein SSL Handshake eingeleitet werden. Die Anfrage ist aber fehlerhaft, und danach kommt nichts mehr“, so Stewart.

Stewarts Theorie ist, dass der fehlerhafte SSL-Verkehr verhindern soll, dass eine Analyse des von einem Zombie ausgehenden Traffics zum Kontrollserver des Botnetzes führt. Pushdo verwendet nämlich für solche Verbindungen ebenfalls einen gefälschten SSL-Header. „Bei einer oberflächlichen Untersuchung sieht das alles wie SSL-Traffic aus.“

Das Internet-Verschlüsselungsverfahren SSL wird gewöhnlich verwendet, um Daten wie Passwörter oder Kreditkartennummern für andere unsichtbar über das Internet zu versenden. Seine wichtigsten Einsatzgebiete sind Onlineshopping und Onlinebanking.

Pushdo lädt immer wieder neue Trojaner auf einmal infizierte Systeme. Es wurde laut Stewart unter anderem schon für Spamversand mit dem Spambot „Cutwail“ genutzt.

Er schätzt die Zahl der angeschlossenen Systeme auf 300.000. Die Betreiber säßen vermutlich in Osteuropa und vermieteten die gesammelte Rechenkraft an Kriminelle. „Das ist ein typisches ‚Pay-per-install‘-System“, so Stewart – also eines, für das der Betreiber eine Gebühr pro bereitgestelltem Fremdrechner verlangt. Es werde verwendet, um Onlinebanking-Trojaner, Tools für Passwortdiebstahl und das Anklicken von Anzeigen oder Suchbetrug zu verteilen.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago