Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Berichte IT/Computer Angreifer im Internet tappen in den Honeypot

Angreifer im Internet tappen in den Honeypot

Archivmeldung vom 01.12.2012

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 01.12.2012 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Bild: RUBIN - Nelle
Bild: RUBIN - Nelle

Um Angreifern im Internet auf die Schliche zu kommen, wechseln die RUB-Forscher um Prof. Dr. Thorsten Holz zum Schein die Seiten: Schlecht geschützte Netzwerkressourcen dienen als Köder für die Schädlinge. Ist sie das System einmal kompromittiert, können die Forscher in aller Ruhe genau beobachten, was die Angreifer darauf treiben. Dieses Wissen fließt dann in Schutzmaßnahmen ein. Die Forscher berichten in RUBIN, dem Wissenschaftsmagazin der Ruhr-Universität.

Schlecht geschützte Rechner sind im Internet leichte Opfer für Angreifer. Sie machen sich das Gerät gefügig, so dass sie selbst steuern können, was es tut soll, zum Beispiel Spam-Mail versenden. Da die Verbindung zwischen Angreifer und so genanntem Bot nicht permanent besteht, ist sie schwierig zu entdecken. Hinzu kommt, dass sich die Bots auch untereinander vernetzen. Um mehr Informationen zu bekommen, infiltrieren die Forscher solche Botnetze, indem sie eine Falle stellen, den sogenannten Honeypot. Wird er durch einen Angreifer kompromittiert, können sie beobachten, was er damit macht.

Aktivitäten des Angreifers mitschneiden

Im Gegensatz zu einer herkömmlichen forensischen Untersuchung erlauben gezielte Veränderungen im Betriebssystem des Honeypots das direkte Mitschneiden aller Aktivitäten eines Angreifers. „Wir erhalten deshalb konkrete Informationen zum Ablauf eines Angriffs“, sagt Prof. Holz. Durch die Vielfalt der so gewonnenen Daten kann man schneller und genauer die Angriffswege, Motive und Methoden von Angreifern erforschen. Auch kann man die benutzten Angriffswerkzeuge, die normalerweise nach erfolgter Kompromittierung gelöscht werden, sofort sicherstellen.

87 Milliarden Spam-Mails in einem Monat

In ähnlichen Experimenten haben die Bochumer Forscher eins der größten Spam-Botnetze infiltriert und 16 Kontrollserver dieses Netzes im Detail untersucht. Diese Server wurden von den Spammern benutzt, um Anweisungen an Bots zu schicken, die dann die eigentlichen Spam-Nachrichten versendet haben. Die bei der Analyse erhaltenen Informationen liefern einen interessanten Einblick in Arbeitsweise von Spammern: Die Angreifer hatten pro Tag Kontrolle über etwa 120 000 Rechner und haben typischerweise etwa 10 000 dieser Rechner zum Spam-Versand benutzt. Innerhalb eines Monats haben die Angreifer mit diesem Botnetz etwa 87 Milliarden Spam-Nachrichten versendet. In Untergrund-Foren kann man Spam-Botnetze mieten, der Versand von einer Million Spam-Nachrichten kostet typischerweise zwischen 100 und 500 Dollar. Darüber hinaus kann man in solchen Foren auch Zugriff auf infizierte Rechner kaufen: Wenn man als Angreifer weitere Schadsoftware auf einem solchen Rechner installieren möchte, dann kostet dieser „Service“ etwa 300 bis 800 Dollar pro 10 000 Installationen von Schadsoftware.

Quelle: Ruhr-Universität Bochum (idw)

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte lebst in folgendes Feld um den Spam-Filter zu umgehen

Anzeige