Frag den Experten: Vitaly Kamluk beantwortet Fragen zu DDoS und Botnetzen

Der Kaspersky-Experte Vitaly Kamluk beantwortet die Fragen unserer Leser zu DDoS-Attacken und dem Schutz vor Botnetzen.

Vitaly Kamluk hat über 10 Jahre Erfahrung im Bereich der IT-Sicherheit und ist Principal Security Researcher bei Kaspersky Lab. Er ist spezialisiert auf das Reverse Engineering von Schadprogrammen, Computerforensik und Untersuchungen von Cyberkriminalität. Derzeit lebt Vitaly in Singapur, wo er im Digital Forensics Lab von Interpol mitarbeitet.

https://instagram.com/p/1xKFAOv0I5/

Wir haben unsere Leser vor einiger Zeit gebeten, Fragen an Vitaly Kamluk einzusenden und es kamen so viele Fragen, dass wir unser Interview in mehrere Teile aufteilen mussten. Heute beantwortet Vitaly Fragen zu DDoS-Attacken und Botnetzen.

Wie viele große Botnetze gibt es, die mehr als 50.000 Zombie-Computer weltweit enthalten?

Ich gehe davon aus, dass das weniger als 20 sind, aber das ist eine reine Spekulation, denn wir können die echte Größe eines Botnetzes normalerweise erst nach dessen Zerschlagung feststellen. Und auch wenn die Kriminellen ein Interesse daran haben, so viele Computer wie möglich zu infizieren, halten sie ihre Botnetze vielleicht unter einer bestimmten Größe, um nicht damit aufzufallen.

Gibt es gut genug entwickelte Botnetze, die Cluster aus Smartphones, PCs und Macs aufbauen wollen?

Manchmal kommt es vor, dass in einem Botnetz sowohl infizierte PCs als auch infizierte Smartphones zu finden sind. Ein gutes Beispiel dafür waren Zeus-in-the-Mobile und Zeus for PC. Es gibt auch Botnetze für Macs, aber unserer Erfahrung nach sind sie meist nur für ein System.

Wie entdecken Sie Botnetze? Wo fängt man da an? Was sind die aktuellsten Trends bei Schadprogrammen und Botnetzen?

Zunächst einmal muss man einen verdächtigen Prozess oder eine verdächtige Datei auf dem Laufwerk entdecken. Der nächste Schritt ist dann die Analyse dieses Objekts und die Ortung der Liste der Commandand-Control-Server (C&C). Anschließend muss man das verwendete Protokoll analysieren und immer wieder Updates vom C&C anfragen.

Zu aktuellen Trends bei Schadprogrammen und Botnetzen gehört die Suche nach zuverlässigen Kontrollmechanismen, die zum Beispiel auf Tor- und P2P-Kommunikationen basieren. Es gibt viele Artikel und Whitepaper zu diesem Thema – suchen Sie einmal im Internet nach „Tor Botnet“.

Was braucht man, um ein Botnetz zu deaktivieren?

Die beste Möglichkeit ist, den Besitzer des Botnetzes zu verhaften. Noch besser ist, gleichzeitig mit dem Besitzer auch den Vertreiber und die Entwickler der Bot-Software, des Exploit-Kits und des Packers zu schnappen.

Woher kommen Botnetze? Welche Programmiersprache wird für die Entwicklung von Botnetz-Software verwendet? Wie können wir sicherstellen, dass heimische Systeme nicht mit Botnetzen infiziert sind? Gibt es bei unvorhergesehenen Umständen eine zweite Verteidigungslinie, falls eine Cyber-Attacke nicht neutralisiert wird?

Botnetze sind überall und die Programmiersprache ist nur eine Frage der Vorlieben des Programmierers. Um sicherzustellen, dass Ihre Systeme nicht zum Teil eines Botnetzes werden, sollten Sie sie mit einer Antivirenlösung scannen und sich die Netzwerkkommunikationen ansehen. Sie müssen sicherstellen, dass keine fremden und unerwarteten Verbindungen gemacht werden.

Zur zweiten Verteidigungslinie muss man leider sagen, dass aktuelle Computer-Architekturen so etwas nicht von Haus aus bieten. Jeder Computernutzer ist dafür selbst verantwortlich. Eine Bedrohung aus der Ferne zu neutralisieren wird als Netzwerk-Eindringen gewertet und ist in den meisten Fällen illegal. Denn wenn es einmal kompromittiert wurde, können Sie sich nicht komplett auf das infizierte System verlassen, außer Sie installieren es neu und das macht das Ganze noch schwerer. Viele Nutzer kümmern sich nicht um Computer-Infizierungen, bevor sie dadurch ihr eigenes Geld verlieren.

Werden moderne Botnetze per IRC kontrolliert? Reicht es, dem Botnetz-Besitzer die Möglichkeit der Kontrolle des Botnetzes zu entziehen, um das Botnetz zu zerschlagen?

Kriminelle nutzen verschiedene Möglichkeiten zur Kontrolle von Botnetzen. IRC ist nur eines von vielen Programmprotokollen und hat seine Vor- und Nachteile. Ich würde sagen, dass diese Methode veraltet ist und moderne Botnetze generell mit HTTP aufgebaut werden.

Um Botnetze zu zerschlagen, muss man den Besitzer verhaften. Und genau das machen wir in Zusammenarbeit mit Interpol. Wenn man den Besitzern die Kontrolle über ihr Botnetz entzieht, hilft das nur kurzzeitig, da die meisten davon auf solche Gegenmaßnahmen ganz gut vorbereitet sind.

Welche Werkzeuge und Methoden sind die richtigen, wenn man DDoS-Versuche feststellt und Szenarios mit Endanwendern und regionalen, nationalen oder sogar internationalen ISPs bedenkt?

Nun, die meisten starken Werkzeuge von Endanwendern bis zu großen ISPs werden immer effektive Filter sein. Aber um diese zu implementieren, muss man zunächst die Bedrohung erforschen. Deshalb ist es wichtig, den für die DDoS-Attacke verantwortlichen Bot zu fangen und genau zu analysieren. Die ultimative Lösung ist die Übernahme der Kontrollmechanismen des Botnetzes und dessen Abschaltung, aber das ist eine andere Geschichte.

Wie ist es möglich, eine verstärkte DDoS-Attacke abzuwehren?

Verteilen Sie das Ziel der Attacke geographisch und implementieren Sie mehrere Filterebenen.

Wie kann ich wissen, ob ich Teil eines Botnetzes oder eines Bitcoin-Miners bin?

Prüfen Sie Ihr System auf Schadprogramme, denn es sind die Schadprogramme, die das Bitcoin-Mining ohne Ihre Zustimmung machen würden oder den PC zum Teil eines Botnetzes machen. Zu den effizientesten Möglichkeiten, das zu prüfen gehören folgende:

  1. Scannnen Sie Ihr System mit einer zuverlässigen Antivirus-Lösung – das kann Ihnen viel Zeit sparen. Denken Sie aber nicht, dass der automatische Scan 100 Prozent Sicherheit gewährt. Sie müssen selbst immer auch vorsichtig bleiben.
  2. Prüfen Sie die Prozessliste nach verdächtigen und uneingeladenen Gästen: Meiner Meinung nach sollte ein Anwender alle Prozesse genau kennen, die auf seinem Computer laufen.
  3. Prüfen Sie die Liste der automatisch gestarteten Programme. Es gibt dafür ein kostenloses Windows-Programm namens Sysinternals Autoruns.
  4. Schließlich gehört zu einer fortgeschrittenen Prüfung, Ihren Computer an einen anderen (verbunden mit dem Internet) anzuschließen und den gesamten Netzwerkverkehr, der hindurch läuft, aufzuzeichnen. Das sollte verdächtige Aktivitäten sogar dann aufzeigen, wenn diese auf dem kompromittierten System nicht sichtbar sind.

Das war der zweite Teil des großen Interviews mit Vitaly Kamluk. Weitere Antworten folgen in den nächsten Tagen. Bleiben Sie dran!

Tipps