Behörden mehrerer Länder gegen Dorkbot-Botnet vorgegangen
Neben dem FBI und dem US-Heimatschutz waren auch Interpol sowie das European Cybercrime Center an der Aktion beteiligt. Die Malware Dorkbot entwendet Anmeldedaten, installiert weitere Malware und verbreitet als Wurm weiter – und das alles schon seit mindestens April 2011.
Das FBI hat zusammen mit dem US-Heimatschutz, Interpol sowie dem European Cybercrime Center eine eigenen Angaben zufolge erfolgreiche Aktion gegen das Dorkbot-Botnet durchgeführt. Das schon seit April 2011 bekannte Botnet soll dadurch empfindlich gestört worden sein.
Die Aktion, an der auch Microsoft beteiligt war, galt mit Win32/Dorkbot einer der verbreitetsten Malware-Familien. Ziel war es, die Dorkbot-Infrastruktur mit den Kommando- und Kontrollservern auszuschalten. Dazu wurden auch mehrere Domains abgeschaltet, um die Hintermänner daran zu hindern, weiterhin auf die infizierten Systeme zuzgreifen.
Der Dorkbot-Wurm infizierte laut Microsoft im vergangenen halben Jahr durchschnittlich 100.000 Windows-PCs pro Monat. Er habe weltweit bereits über eine Million Rechner übernommen. Sein vorrangiges Ziel ist es, Nutzernamen und Passwörter auszuspähen. Dazu versuchen die Botnet-Betreiber auch auf Anmeldedaten zuzugreifen, die von Internet Explorer oder Firefox gespeichert wurden. Das Dorkbo-Botnet kann zudem für DDoS-Attacken oder den Versand von Spam-Mails eingesetzt werden. Die Malware kann auf den infizierten Rechnern den Download und die Installation weiterer Malware steuern. Meist gehören die zu den Malware-Familien Win32/Kasidet, die sich für DDoS-Attacken eignet und auch als “Neutrino Bot” bekannt ist oder Win32/Lethic, falls die Angreifer in erster Linie zusätzlich Spam versenden wollen.
Dem Microsoft Malware Protection Center zufolge nutzt Dorkbot Internet Relay Chat (IRC) und wird von seinem Entwickler als Toolkit namens NgrBot über Untergrund-Hackerforen vermarktet. Das Kit enthält neben den Softwaremodulen eine Dokumentation, wie vorzugehen ist, um ein eigenes Dorkbot-Botnet einzurichten. Daher werde Dorkbot inzwischen von zahlreichen Betreibern für kriminelle Aktivitäten genutzt.
In der Regel erfolgt die Infektion durch einen Drive-by-Download. Dabei sucht das Exploit-Kit nach ungepatchter Software, über den es den Dorkbot-Wurm installieren kann. Ist der Rechner infiziert, verbreitet sich Dorkbot über Wechsellaufwerke, Instant-Messaging-Clients, E-Mails und Soziale Netze selbst weiter.
Außerdem übermittelt die Malware Standort, Windows-Version des Rechners sowie einen unverwechselbaren Identifikator für das System an einen Kommando- und Kontrollserver. Um die Entdeckung durch Antivirensoftware zu vermeiden, blockiert es gleichzeitig die Update-Server von Sicherheitsfirmen.
Microsoft führte die Analyse der Dorkbot-Malware zusammen mit dem polnischen CERT sowie Eset durch. Der Sicherheitsanbieter hat Analysen und Statistiken zur Verfügung gestellt sowie die Adressen und Domains Kommando- und Kontrollserver der Botnet-Betreiber ermittelt. Außerdem bietet er mit dem Dorkbot Cleaner ein kostenloses Tool an, mit dem Nutzer prüfen können, ob ihr Rechner von Dorkbot befallen ist.
Da es aber offenbar zu keinen Verhaftungen kam ist auch diesmal nicht damit zu rechnen, das durch die Aktion der Behörden dem Treiben der Hintermänner langfristig Einhalt geboten wurde. Sie müssen nun lediglich wieder von vorne beginnen. Alternativ stehen Kriminellen auf dem Untergrundmarkt auch diverse andere Exploit-Kits mit funktionierender Infrasrtuktur dahinter zur Verfügung. In der Vergangenheit hatte sich immer wieder gezeigt, dass das Abschalten eines Botnets nur kurzfristig Auswirkungen auf den Rückgang von Spam-Mails und kriminellen Aktivitäten hatte.
[mit Material von Bernd Kling, ZDNet.de]