Wie man 5 Mio. Spams verschickt – ohne es zu merken

Botnetze geraten immer wieder in die Schlagzeilen. Die Idee dahinter ist einfach: die Malware auf den infizierten Rechnern verbindet sich regelmäßig mit ihrem Heimatserver. Sie tut das, indem sie harmlos scheinende Web Requests via HTTP versendet und sich wie ein ganz normaler Browser benimmt. Aber anstatt die Daten für eine Internetseite abzurufen, lädt der Bot, der Malware-Roboter, neue Instruktionen für seine Machenschaften und führt diese mit Hilfe des Rechners und des verbundenen Netzwerks aus. [...]

Zu diesen Schandtaten gehören unter anderem:

  • Erfassen der genutzten Eingabetasten, um Nutzernamen und Passwörter zu stehlen.
  • Durchforsten der gespeicherten Dateien nach solchen, die zu Geld gemacht werden können.
  • Animieren des Nutzers, bestimmte Werbung zu klicken, um Pay-per-Click-Umsätze zu generieren.
  • Einstellen von „Empfehlungen“ für den Freundeskreis des Nutzers in Social-Media-Netzwerken.
  • Download von noch mehr Malware, wie z.B. Ransomware, die Daten verschlüsselt und ein Lösegeld fordert.
  • Nutzung des Rechners als Proxy, um diesen dann an andere Kriminelle zu vermieten oder Spuren zu verwischen.
  • Attackieren anderer Webseiten, wobei es so scheint, dass der übernommene Rechner der Bösewicht ist.

Die mit Abstand am weitesten verbreitete Straftat in Verbindung mit Bots ist das Versenden von Spam-Nachrichten. Die Spammer aktivieren dazu nicht einfach nur einen Bot, vielmehr bauen sie ein ganzes Netz auf, das mehrere 10.000 und mehr Rechner kontrollieren kann. Diese Strategie bietet den Kriminellen einige entscheidende Vorteile:

  • Widerstandsfähigkeit: Aufgrund der Vernetzung gibt es keinen entscheidenden  Schwachpunkt im System. Selbst wenn die Hälfte der betroffenen Rechner gereinigt werden, kann die andere Hälfte ihr Unwesen fortsetzen.
  • Preis-Leistungsverhältnis: Die Kriminellen zahlen für die enorme Bandbreite keinen Cent, zur Kasse gebeten werden vielmehr die betroffenen Nutzer. Bei ihnen liegt auch das Risiko, vom ISP geblockt zu werden, da sie die einzig Sichtbaren in der Spam-Kette sind.
  • Performance: 10.000 Rechner, die 10.000 Spam-Emails verschicken, machen dies bedeutend schneller als ein Server, der 100 Millionen Nachrichten versenden muss.

Aber wieviel Spam kann ein Botnetz denn nun tatsächlich versenden? SophosLabs ging dieser Frage nach und konfigurierte speziell hierfür einen „Honeypot“. Diese Fliegenfalle für verschiedene IT-Sicherheitstests nimmt in diesem speziellen Fall Spamming-Befehle von den Besitzern des Botnetzes an, generiert Spam und versendet ihn. Natürlich wurde im Rahmen des Versuchsaufbaus garantiert, dass die ins System eingespeisten Nachrichten mit Hilfe eines speziell eingerichteten Sackgassen-Servers, der nicht vom Internet abgetrennt war, kein Eigenleben entwickeln und tatsächlich eine Spamwelle erzeugen konnte. Die Spamwelle wurde also so konstruiert, dass sie zwar loslegen, dann aber schnell wieder geblockt und statistisch erfasst werden konnte, ohne wirklichen Schaden anzurichten.

Im Rahmen des Versuchsaufbaus muss berücksichtigt werden, dass die Zahlen eines echten Botnetzes etwas niedriger ausfallen, da nicht alle eingebundenen Server fehlerfrei arbeiten. Die Ergebnisse geben dennoch einen sehr guten Eindruck, in welchem Umfang Kriminelle schon von einem einzigen kompromittierten Rechner in ihrem Botnetz profitieren. Innerhalb einer Woche wurden bei dem Sophos-Versuch von einem einzelnen Rechner, der mit nur einer Malware infiziert war, folgende „Erfolge“ registriert:

  • 5,5 Millionen E-Mail-Adressen gespammt
  • 30 GB ausgehende E-Mails versandt
  • 750.286 individuelle Spam-Nachrichten versandt
  • 26 Prozent beinhalteten eine weitere Malware, davon 11 verschiedene Typen
  • 74 Prozent enthielten einen Link zu einer pharmazeutischen Webseite
  • 3.771 verschiedene URL-Kurzversionen wurden verwendet

Da viele Nutzer über ein unbegrenztes Datenvolumen verfügen, oder ihre ISPs lediglich die Downloads messen, sind 30 GB keine besonders hohe Summe. Dieser Wert basiert zudem auf einem durchschnittlichen Datendurchsatz von 400 KB pro Sekunde. Das ist weniger als die Hälfte der Upload-Bandbreite einer regulären ADSL-Verbindung. Es steht also in den meisten Fällen noch jede Menge Bandbreite zur Verfügung, so dass die Spamaktion von diesen Nutzern höchstwahrscheinlich nicht einmal bemerkt oder zumindest nicht weiter untersucht wird, da der aufs Gesamtsystem gar nicht vorhanden oder nur sehr minimal ist.

Wenn man nun die Zahlen eines einzelnen, infizierten Rechners auf ein 10.000-Computer-Botnetz anwendet, kommt eine gigantische Zahl heraus: 50 Milliarden Spam-E-Mails pro Woche könnten laut Sophos versendet werden. Dieses Ergebnis macht noch einmal deutlich wie wichtig es ist, Vorkehrungsmaßnahmen zu treffen. Ganz nach dem Motto: „Wer nicht Teil der Lösung ist, ist Teil des Problems.“ Effektive Spamfilter, eine Firewall und Antiviren-Programme, die kurzen Prozess mit Zombie-Malware machen, sollten genauso selbstverständlich sein, wie das sofortige Säubern eines Rechners, wenn eine Infizierung festgestellt wurde. (pi)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*