Das Botnet Kelihos nutzt Dienste von seriösen Sicherheitsanbietern, um seine bösartigen Aktivitäten zu optimieren. Darauf hat Chris Mannon vom Sicherheitsunternehmen Zscaler hingewiesen. Seiner Analyse nach sind Barracuda Networks, Spamhaus, Mail-Abuse und Sophos betroffen.
Das Botnet Kelihos nutzt P2P-Kommunikationswege, um sein Kommando- und Kontrollnetzwerk zu betreiben. Nachdem es bereits im Frühjahr 2012 vermeintlich abgeschaltet war, ist es beziehungsweise seine Nachfolger in den vergangenen Wochen wieder öfter ins Visier der Sicherheitsexperten geraten. Für die Betreiber wird es dadurch immer schwieriger, ihren Aktivitäten nachzugehen. Zum Beispiel wird der aktuelle Installer Tests zufolge vom Großteil der gängigen Antiviren-Tools erkannt. Dennoch gab es in letzter Zeit Berichte über verstärkte Aktivitäten des Kelihos-Botnets.
Mannon führt das nach einer Analyse darauf zurück, dass die Betreiber einfach cleverer vorgehen. Grundlage dafür ist eine Datei namens rasta01.exe. Mit ihrer Hilfe fragt die Software bei seriösen Security-Diensten nach, ob die IP-Adresse ihres anvisierten Opfers „sauber“ ist. Dazu wird auf öffentlich zugängliche Dienste von Barracuda Networks, Spamhaus, Mail-Abuse und Sophos zugegriffen.
Kelihos erfährt so, ob das neue Opfer bereits als verdächtiger oder gefährlicher Teilnehmer am Internet bekannt ist. Nur wenn er in der sogenannten Composite Block List nicht auftaucht, wird versucht, ihn zu infizieren und ins Botnetz zu integrieren. Ist das geschafft, nutzt das Botnetz den bisher guten Ruf seines Opfers schamlos aus – schließlich weiß man ja nicht, wie lange der noch anhält.
Der neu befallene Rechner macht Mannon zufolge dann oft durch drastische Traffic-Zunahme auf sich aufmerksam. Administratoren empfiehlt er daher, auf Rechner mit unüblichen Ausschlägen beim Traffic zu achten – um auf diesem Wege möglicherweise zu erkennen, wo Gegenmaßnahmen erforderlich sind.
Für die Sicherheitsanbieter, deren Service von Kelihos missbraucht wird, ist das natürlich ärgerlich. „Der von uns angebotene Dienst und dessen Nutzung ist an sich nicht schlimm“, erklärt Michael Goedeker, bei Sophos Director Sales Engineering für den deutschsprachigen Raum, gegenüber ZDNet – betont aber, dass er dadurch die Sache nicht verharmlosen wolle.
„Die Anfrage an sich ist harmlos, aber was Kelihos damit macht, gibt nicht nur uns, sondern sollte der ganzen Branche zu denken geben“, so Goedeker weiter. „Schließlich zeigt es, dass die Hintermänner sehr viel Arbeit hineingesteckt haben und das Botnetz – wenn man das so sagen kann – wesentlich professioneller arbeitet. Damit kündigt sich eine neue Generation von Botnetzen an. Und gegen die muss sich die ganze Sicherheitsbranche etwas überlegen.“
Laut Vincent Hanna, Sprecher für das Spamhaus-Projekt, ist Kelihos allerdings nicht das erste Botnet, dass sein Verhalten davon abhängig macht, wie die Überprüfung externer Ressourcen ausfällt. Zum Beispiel gebe es Botnetze, die prüfen, ob Port 25 für ausgehenden Traffic zur Verfügung steht. „Wenn das der Fall ist, dann fangen sie mit dem Spamversand an – wenn nicht, dann versuchen sie eben etwas anders, etwa DOS-Angriffe oder Klickbetrug.“
Hanna weiter: „In diesem speziellen Fall scheinen die Betreiber des Botnets zu glauben, dass der Spamversand nur von IP-Adressen aus sinnvoll ist, die nicht auf den erwähnten Listen auftauchen. Man könnte das mit einem Dieb vergleichen, der bevor er zur Tat schreitet, prüft, ob ein Auto mit einem bestimmten Alarmsystem ausgerüstet ist. Falls das der Fall ist, versucht er es anderswo, da er sich von einem Diebstahlversuch keinen Erfolg verspricht.“
Auch dem Spamhaus-Sprecher zufolge kann dagegen wenig getan werden. Es zeige aber immerhin, dass die unter anderem von Spamhaus bereitgestellten Daten einen gewissen Einfluss auf den Botnet-Betrieb haben und dass seriöse Anwender, die sie nutzen, einen gewissen Schutz bekommen.
Update 2. September 9 Uhr 59: Chris Thompson vom Spamhaus Project hat noch ein paar Infomationen aus seiner Sicht zu der Botnet-Analyse von Zscaler nachgereicht. Demnach ist Kelihos nicht das erste Botnet, das vor dem Versand Dienste von Sicherheitsanbietern wie Spamhaus anfragt. Zu dem gebe es mehrere Kelihos-Varianten und nicht alle zeigten dieses Verhalten. Auch die Aussage von Mannon, dass Kelihos HTTP Lookups nutzt, findet Thompson „unwahrscheinlich“ und kann von ihm mit dem ihm vorliegenden Material nicht nachvollzogen werden. Es sei wahrscheinlicher, dass die Botnetz-Betrieber mit DNS-Queries arbeiteten.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…