Vier Jahre Ermittlungsarbeit
Seit über 4 Jahren ermittelt die Staatsanwaltschaft Verden und die Polizei Lüneburg gegen die Betreiber des Avalanche-Botnetzes. Avalanche ist eine Plattform für Cyberkriminelle, die sich anfangs (2008/2009) mit Spamversand und Phishing-Angriffen befasste und später (2011/12) auf die Verbreitung und Nutzung von Banking-Trojanern umschwenkte sowie Ransomware verbreitete, wie G DATA informierte.
Alleine in Deutschland sind Schäden in Millionenhöhe entstanden. Aber Avalanche agierte weltweit. Zusammen mit Strafverfolgern aus den USA, einschließlich FBI, sowie Europol und weiteren internationalen Partnern ist es gestern in einem Coup mit historischem Ausmaß gelungen die Avalanche-Botnetz-Server vom Netz zu nehmen und die Betreiber zu verhaften.
Wie erfolgte die Zerschlagung?
Dazu erläuterte G DATA, dass über 800.000 Domains in Sinkholes umgeleitet werden mussten. Das Avalanche-Botnetz nutzte dazu eine Technologie, die als besonders sicher gegen Takedowns gilt: Double Fast-Flux. Dabei wird bei der Auflösung der Domainnamen in IP-Adressen die Gültigkeit der Einträge sehr kurz eingestellt (die TTL (Time-to-Live) liegt im Bereich von Minuten). Selbst wenn es jemandem gelingt einzelne Zombie-Rechner vom Netz zu nehmen, verbinden sie sich, wenn die kurze TTL abgelaufen ist, mit einem anderen Control-Server.
Mit hohem technischem Aufwand und mit gut koordinierten Aktionen zwischen Polizei, Behörden und privaten IT-Sicherheitsforschern ist es dennoch gelungen, die Botnetz-Infrastruktur von Avalanche zu zerschlagen. Die Leistung der beteiligten Gruppen kann nicht hoch genug bewertet werden.
Was sind Sinkholes
Als Sinkholes werden Rechner bezeichnet, die zu Analysezwecken von Botnetz-Forschern und Ermittlungsbehörden in die aktiven Botnetze eingeschleust werden. Die Domainnamen oder IP-Adressen sind eigentlich von den Betreibern für die eigene Infrastruktur vorgesehen. Sie werden aber so umgeleitet, dass die Rechner der Ermittler angesteuert werden und nicht die eigentlichen Botnetz-Rechner. So kann festgestellt werden, wie viele Zombies in einem Botnetz aktiv sind. Durch Analysen der Kommunikation mit den Zombie-Rechnern und von entsprechenden Malware-Analysen können die Steuerbefehle zusammengetragen werden.
Die Bereinigung befallener Rechner
Die Server von Avalanche sind zwar für die einzelnen Bots auf den infizierten Zombie-Rechnern nicht mehr erreichbar. Die eigentliche Malware lauert aber immer noch auf den Rechnern. Die Entfernung der Malware von den Rechnern ist nicht Bestandteil des Anti-Avalanche-Coups. Möglicherweise betroffene Rechner sollen ermittelt und deren Nutzer informiert werden. Sie können sich dann entsprechende Removal-Tools herunterladen. G DATA empfiehlt in diesem Fall das Removal durch die 30-Tage G DATA Testversion.
Weiterführende Links:
bsi.bund.de: BSI ermöglicht Zerschlagung der Botnetz-Infrastruktur Avalanche
bsi-fuer-buerger.de: Botnetz-Infrastruktur "Avalanche" ausgehoben
