• Home
•  > Unternehmen
•  > IT

IT

Alle Artikel und Hintergründe

Hacker-Angriff

Kriminelle rüsten ihre virtuellen Armeen auf

Böswillige Hacker bringen oft mehrere tausend PCs unter ihre Kontrolle. Und mit diesen Bot-Netzen aus ferngesteuerten Systemen verfolgen sie verstärkt kriminelle Motive: Vom Phishing bis hin zur Erpressung.

Die kriminellen Techniken im Internet werden immer ausgefeilter. Derzeit nehmen vor allem die so genannten Bot-Angriffe verheerende Ausmaße an. Dabei infizieren Hacker tausende von Rechnern und gründen dadurch ein riesiges Netzwerk von PCs (Bot-Netze), dass sie bequem von zu Hause aus fernsteuern könne.

"Das Bot-Problem spitzt sich zu", registriert Thorsten Holz von der RWTH Aachen, der mit Honeynet-Kollegen den Cyber-Untergrund beobachtet. Auch Tom Fischer vom IT-Sicherheitsteam der Universität Stuttgart nennt deutliche Zahlen. "Im Mai 2004 zählten wir 300.000 Bots pro Tag, und haben in fünf Monaten 200 verschiedene Zombienetze gesehen." Im Durchschnitt waren in diesen 5000 ferngesteuerte PCs vereint, im größten sogar über 100.000.

Entsprechend haben es in der Statistik von Symantec zwei Bot-Varianten - Gaobot und Spybot - in der zweiten Jahreshälfte 2004 auf Platz 3 und 4 der Viren Top Ten geschafft. Im Prinzip sind solche Bots eine Kreuzung aus Backdoor (Teil eines Programms, das Nutzern die Umgehung der Zugriffssicherung ermöglicht) und Wurm.

"Zunächst nutzen sie bekannte Schwachstellen, um in das System hineinzukommen", erläutert Olaf Lindner von Symantec. Darüber werde der eigentliche Bot installiert, der dann beliebige Funktionen nachlädt. In der Regel läuft diese Kommunikation über den IRC-Chat-Kanal, das heißt, ein Server steuert eine ganze Truppe von willenlosen PC-Marionetten.

Bislang haben sich die Bots vor allem auf Microsoft-Schwachstellen gestürzt. Daher zählt Symantec die Ports 445 und 135 zu den beliebtesten Angriffskanälen. Über TCP 445 lässt sich der Microsoft Bug im LSASS-Dienst ausnutzen, über den Kanal 135 ein Loch im RPC-Service. "Meist sind Maschinen mit Windows XP und Servicepack 1 oder Windows 2000 betroffen", weiß Holz.

Fischer hält die Windows-Löcher MS04-11 und MS03-39 gleichfalls für gefährdet. Er hat aber auch beobachtet, dass die Bots über Wörterbuch-Attacken triviale Passwörter knacken. "Es gibt plattformübergreifende Bots, die neben Windows auch Mac- und Linux-Maschinen befallen", bekräftigt Fischer.

In jüngster Zeit würden sogar Löcher in Backup-Software von Computer Associates oder Veritas Software ausgenutzt. Denn solche Rechner hätten oft eine schnelle Anbindung und viel Speicherplatz.