Das Erkennen von Zombies mit Wasserzeichen

Nachdem Stefan Mertinatsch am letzten Freitag unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB mit einem grundlegenden Beitrag über Zombierechner und Botnetze gestartet hat, vertieft PKA Mark Le Corre dieses Thema heute und schreibt auf einer stärker technischen Ebene darüber, wie man Botnetze mit Hilfe von so genannten Wasserzeichen kennzeichnen und in der Folge identifizieren kann.

(Ganz besonders erfreulich ist dabei, dass Mark Le Corre unser Bloggerteam auch fortlaufend verstärken wird. Wir freuen uns schon jetzt auf weitere Beiträge von ihm und heißen ihn herzlich willkommen.)

Amir Houmansadr und Nikita Borisov haben kürzlich an der Universität Illinois eine Möglichkeit entwickelt, Zombies („Bots“) mithilfe von sogenannten Wasserzeichen erkennbar zu machen. Diese Verwendung von derartigen Wasserzeichen ist eine wichtige Entwicklung in der IT-Sicherheit und wird in den nächsten Jahren vielfältige Einsatzmöglichkeiten erfahren – Grund genug, sie in diesem Blogbeitrag genauer zu betrachten.

Um die Relevanz dieser Wasserzeichen angemessen verstehen zu können, sollten wir uns zunächst einige Grundlagen vergegenwärtigen: Ein Zombie ist ein mit Schadsoftware infizierter Rechner, der durch den Angreifer ferngesteuert werden kann. Ein Zusammenschluss von mehreren Bots wird Botnetz und der Betreiber eines Botnetzes wird Botmaster genannt. Botnetze gehören derzeit zu den größten Gefahren im Internet und verursachen jährlich immense Schäden (siehe ausführlich im Beitrag von Stefan Mertinatsch).

Die Kontrolle über solche Botnetze kann in zwei grundlegenden Kommunikationsstrukturen durchgeführt werden. Zum einen über eine zentralisierte zum anderen über eine dezentralisierte Architektur.

Abbildung der Serverstrukturen von Mark Le Corre
Kommunikationsstrukturen von Botnetzen

Bei einer dezentralisierten Architektur sendet der Botmaster seine Anweisung an einen Zombie, der diesen Befehl dann an andere Zombies weiterverbreitet. Der Vorgang wird solange wiederholt bis alle Zombies im Botnetz diese Anweisung erhalten haben. Eine solche Verbreitungsmethode ist vergleichbar mit einem Schneeball-System, in dem jeder Zombie die Anweisung über einen gewissen Zeitraum verteilt erhält.
Weiterlesen