Zur Verschleierung

Botnetz-Betreiber missbrauchen Tor-Netzwerk

(Bild: thinkstockphotos.de)

Nach Analysen des Sicherheitsanbieters G Data ist es Malware-Autoren gelungen, das weltweit umspannende Tor-Netzwerk für ihre Zwecke zu einzusetzen. Bei den Angreifern handelt es sich demnach um Botnetz-Betreiber, die den Anonymisierungsdienst zur Verschleierung der Kommunikation zwischen den Steuerungsservern und den infizierten Computern missbrauchen.

Tor ist ein weltweit von vielen Anwendern genutztes Netzwerk, um - völlig legal - im Internet anonym zu surfen und so keine Spuren zu hinterlassen. So wurde das Tor-Netzwerk unter anderem von politischen Aktivisten des Arabischen Frühlings eingesetzt, um sich einem möglichen Zugriff durch die damaligen Sicherheitsbehörden zu entziehen und Webservice-Blockaden durch Regierungen zu entziehen.

Die Funktionsweise von Tor ist denkbar einfach: Potentielle Anwender geben ihren Rechner als sogenannte Tunnel (Tor Relay) frei und werden dadurch zu einem von vielen Weiterleitungspunkte für die unterschiedliche Services des Tor-Netzwerkes.

Wird beispielsweise auf dem eigenen Computer eine Internetseite im Tor-Browser aufgerufen, so geschieht die Anfrage an den Webserver nicht auf dem direkten Wege, sondern über einer der unzähligen anderen Weiterleitungspunkte des Netzwerkes. Dadurch ist es kaum möglich, die ursprüngliche IP-Adresse des Nutzers herauszubekommen.

Botnetz-Betreiber nutzen Verschleierungstaktik
Genau diesen Umstand scheinen sich jetzt auch die Betreiber von Botnetzen zunutze zu machen. Als Botnetz wird ein Verbund miteinander vernetzter, infizierter Rechner bezeichnet, wobei diese Rechner unter der Kontrolle eines sogenannten Botmasters stehen. Dies passiert gemeinhin ohne das Wissen und die Zustimmung der Besitzer der einzelnen Rechner, die durch den Botmaster ferngesteuert werden können.

Letzterer kann die unter seiner Kontrolle stehenden, gekaperten Opferrechner für eine Vielzahl unterschiedlicher Zwecke missbrauchen. Da er auf die einzelnen Rechner zugreifen kann, als säße er selbst physikalisch vor dem jeweiligen System, ist sowohl der Zugriff auf die auf den jeweiligen Systemen gespeicherten Daten als auch die unbemerkte Verwendung der Netzwerkverbindung der Rechner möglich.

Direkte Verbindung birgt Gefahren
Bislang wurden die gekaperten Rechner, auch Zombies genannt, über eine direkte Verbindung zu einem Kontroll-Server gesteuert. Diese C&C-Server (Command & Control) sind mit Schaltzentralen zu vergleichen, mit denen die Betreiber ihre Befehle an die infizierten Computer versenden – etwa um DDoS-Angriffe oder den millionenfachen Versand von Spam-Mails zu initiieren und zu koordinieren.

Die direkte Verbindung birgt für die Botnetz-Betreiber jedoch eine große Gefahr: Ermittlungsbehörden ist es immer wieder gelungen, die Standorte der C&C-Server ausfindig zu machen und diese auszuschalten. Durch den Einsatz des Tor-Netzwerkes werde dies künftig aber deutlich schwerer werden, so G Data.