Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Katalog
Adressen
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
Die Top 10 Botnets  (Archiv) 
10 Botnets verschicken täglich mehr als 135 Milliarden Spam-Nachrichten
10 Botnets verschicken täglich mehr als 135 Milliarden Spam-Nachrichten
Archiviert: 21.03.2010
Laut neuesten Berichten beträgt der Umfang der täglich einlangenden Spam-Nachrichten mittlerweile 95 Prozent. Den Großteil verdanken wir den so genannten Botnets. Und damit sind wir konfrontiert:


Was ist ein Botnet?
Ein Botnet oder Botnetz ist eine Gruppe von Software-Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke.
Quelle: http://de.wikipedia.org/wiki/Botnet


Während der Recherchen für dieses Projekt stieß Michael Kassner auf Blog-Serien (first, second, third post), die ein Umdenken auslösten. Ein Ranking von Spam-Botnets zu erstellen, ist weniger einfach als gedacht.

Der Blog-Autor Terry Zink wies darauf hin, dass es verschiedene philosophische Ansätze gibt, Spam zu messen:

+ die Anzahl der Bot-Mitglieder
+ die Anzahl der versendeten Bytes
+ die Anzahl der gesendeten Nachrichten

Im Großen und Ganzen mag diese Unterscheidung nicht wichtig erscheinen, aber Technik-Freaks lieben Details. Das Zählen der Bot*-Members oder der versendeten Bytes reicht völlig aus. Sie nehmen vielleicht an, dass die Zahl der Nachrichten auch wichtig wäre - ist es aber nicht. Denn Botnets sind gerissen genug, eine Spam-Nachricht zu erstellen, die an viele verschiedene Empfänger ergeht. Das fügt einen anderen Faktor beim Zählen von Nachrichten hinzu.

*) Unter einem Bot (vom Begriff "robot" abgeleitet) versteht man ein Computerprogramm, das weitgehend selbstständig sich wiederholende Aufgaben abarbeitet, ohne dabei auf eine Interaktion mit einem menschlichen Benutzer angewiesen zu sein.
http://de.wikipedia.org/wiki/Bot

Verwirrt?... sind wir auch. Um einen Sinn aus all dem zu ziehen, brachte Kassner die verschiedenen Eigenschaften (total unwissenschaftlich natürlich) unter einen Hut und die folgende Liste der Besten ihrer Art heraus. Die Botnets sind im Folgenden nach ihrer Spam-Aktivität gereiht, das Bekannteste ist als Erstes gelistet.


1. Grum (Tedroo)
Grum ist die Zukunft für Spam-Botnets. Das Programm ist ein Kernel-Modus Rootkit** und daher schwer aufzuspüren. Außerdem ist es heimtückisch - grum infiziert Dateien, die von den Autorun Registries verwendet werden. Das garantiert, dass sie bei jedem Neustart des befallenen Rechners (Mitglied) aktiviert werden. Dieses Botnet ist von speziellem Interesse für die Forscher. Es ist relativ klein, nur 600.000 Teilnehmer. Es ist aber für ungefähr 25 Prozent bzw. 40 Milliarden Spam-Mails täglich verantwortlich.
Grum fokussiert pharmazeutischen Spam, Sie kennen die Machart. Vermutlich steckt einiges an Geld dahinter, wie in den meisten Botnets dieser Größenordnung.

**) siehe Artikel "10 Dinge, die Sie über Rootkits wissen sollten"
http://www.diagramm.net/index.php?i=NuN&id=5455&d=a


2. Bobax (Kraken, Oderoor, Hacktool.Spammer / Wiki: Cotmonger, Bobic)
Bobax sorgt für Verwirrung unter den Botnet-Jägern, da diese Software mit Kraken verwandt ist. Bobax wurde vor kurzem umgeschrieben. Die Autoren verlagerten den Befehls- und Kontroll-Bereich auf das Verbindungsprotokoll http, um das Blockieren und die Rückverfolgungsmöglichkeit zu erschweren.
Ende Februar hatte Bobax lediglich 100.000 PCs vereinnahmt und produzierte jeden Tag rund 27 Mrd. Spam-Nachrichten, das sind etwa 15 Prozent. Oder deutlicher: 1.400 Spam-Mails pro Bot-Mitglied in der Minute! Bobax scheint ein Botnetz zu sein, das man mieten kann - der Spam-Inhalt variiert.


3. Pushdo (Cutwail, Pandex / lt. Wiki: Mutant, Wigon)
Pushdo startete 2007 gleichzeitig mit Storm (Letzteres ist so gut wie nicht mehr vorhanden). Aber Pushdo ist nach wie vor sehr aktiv und versendet schätzungsweise 19 Milliarden Spam-Nachrichten pro Tag von 1,5 Millionen Mitgliedern. Pushdo ist ein Downloader, der sich Zugriff auf den Rechner verschafft und dann Cutwail downloadet - das eigentliche Spam-Programm.
Das Pushdo/Cutwail-Botnet verbreitet ebenfalls Spam mit verschiedenen Spam-Inhalten, beispielsweise Werbung für pharmazeutische Produkte, Online-Casinos etc., aber auch Phishing-Systeme und Links zu Webseiten, die von Malware verseucht sind.


4. Rustock (Costrat / lt. Wiki: RKRustok)
Rustock ist ein anderer Überlebenskünstler. Dieses Botnet war nahezu zerstört, als McColo, ein berüchtigter kalifornischer Webhosting-Provider, 2008 geschlossen wurde. Aber es ist zurückgekehrt und gegenwärtig das größte Botnet mit ungefähr zwei Millionen Bots. Vor der Schließung McColos generierte Rustock gewaltige Mengen an Spam, dann schlief es für einige Monate ein. Heute liefert die Rustock-Signatur täglich nur von 3-7 Uhr morgens EST (GMT: -5 / also von 21 bis 1 Uhr CET).
Rustock ist außerdem für gefälschte, seriös wirkende Newsletter-Mails bekannt, die Bild-Dateien verwenden. Image Spam*** wird von den meisten Mail-Filter-Programmen nicht erkannt, da der Nachrichtentext im Bild untergebracht ist. Weiters versendet Rustock den gewöhnlichen pharmazeutischen und Twitter basierenden Spam in der Höhe von ca. 17 Milliarden Spam-Nachrichten pro Tag (geschätzte Botzahl lt. Wiki: 150.000).

***) Image Spam: http://en.wikipedia.org/wiki/Image_spam
Image Map Spam: http://de.wikipedia.org/wiki/Verweissensitive_Grafik


5. Bagle (Beagle, Mitglieder, Lodeight)
Bagle ist ein interessantes Botnet wegen seinem fleißigen Autor. Seit 2004 hat es hunderte von Entwicklungsschritten durchlaufen. Vor zwei Jahren entschied sich der Entwickler damit Geld zu verdienen, in dem er Bagle ausbaute und E-Mail-Adressen-Datenbanken verkaufte.
Heute agieren Bagle-Bots als Relay-Proxies, welche die Spam-Nachrichten an die Zieladressen weiterleiten. Bagle hat bestenfalls 500.000 Bots, verteilt aber täglich etwa 14 Mrd. Spam-Mails.


6. Mega-D (Ozdok)
Mega-D ist berühmt - oder vielmehr berüchtigt, das ist Ansichtssache. Im November 2009 schafften es Mitarbeiter von FireEye (Software-Hersteller von Malware Security Systemen) das Botnet auszuschalten, indem sie die Kommando- und Kontroll-Domains der Botmaster registrierten. Aber diese Malware ist programmiert, um konstant neue Domains zu generieren, was den Botmastern erlaubt, letztendlich die Kontrolle wiederzuerlangen.
In den Top-Ten der Botnets ist Mega-D mit seinen rund 50.000 Bots das kleinste. Das sind nicht viele, bedenkt man, dass es jeden Tag ca. 11 Milliarden Spam-Mails versendet. Dieses Botnet gilt gleich nach Bobax als das wichtigste, wenn man die Spam-Produktion pro befallenen Rechner in der Minute berücksichtigt. Mega-D verbreitet inhaltlich Angebote für eine Online-Apotheke und - natürlich - die Potenz steigernde Mittel für Männer.


7. Maazben
Maazben ist erst seit Juni 2009 im Umlauf. Seitdem ist es besonders für Forscher interessant. Es ist das erste Botnet, das sowohl auf Proxies als auch auf Templates basierende Bots verwendet. Spammer bevorzugen üblicherweise Proxies, weil der Spam-Ausgangspunkt versteckt bleibt. Aber proxy-basierende Bots arbeiten nicht, wenn der infizierte Rechner hinter einem NAT (= Network Address Translation, Adressumsetzung in IT-Netzwerken) angeschlossen ist.
Maazben ist das am schnellsten wachsende Botnet der Top-Ten - jeden Monat steigt die Zahl der Bot-Mitglieder um ca. 5 Prozent. Vor ungefähr einem Monat verschickte dieses Botnet rund 2,5 Milliarden auf Casinos bezogene Spam-Nachrichten über 300.000 Verteilerrechner täglich.


8. Xarvester (Rlsloup, Pixoliz)
Xarvester erschien nach der Schließung von McColo auf der Bildfläche. Experten vermuten, dass Xarvester ein paar "Kunden" von McColo übernommen hat. Auffalend sind auch die Ähnlichkeiten zwischen Xarvester und dem berüchtigten Srizbi-Botnet, eines der von der Stilllegung betroffenen Botnetze.
Aktuell greift Xarvester auf 60.000 Mitglieder zurück, jeden Tag versendet es annähernd 2,5 Milliarden Spam-Mails. Hauptsächlicher Inhalt: Pharmazeutika, gefälschte Diplome, nachgebaute Markenuhren und russisch-bezogener Spam.


9. DonBot (Buzus)
Das DonBot-Botnetz ist einzigartig. Es ist eines der ersten Botnetze, das URLs (Webadressen) verkürzt, um hinterhältige Links im Mail zu verstecken. Der Gedanke, der dahinter steckt: Der User soll durch die Ähnlichkeit des Links mit einer vertrauten Adresse verleitet werden, denselben anzuklicken. Außerdem scheint sich DonBot in multiple individuelle laufende Netzwerke aufzusplitten, jedes verbreitet verschiedene Spam-Typen.
DonBot verfügt über rund 100.000 Mitglieder und streut in 24 Stunden durchschnittlich 800 Mio. E-Mails. Der Inhalt variiert - von Mitteln um schlanker zu werden über Aktien (stock pump-and-dump) bis hin zu Kredit-Angeboten (debt settlement offers).


10. Gheg (Tofsee, Mondera)
Drei Dinge stechen hervor bei den Top-Ten-Botnetzen:
1. Etwa 85 Prozent des Spamaufkommens stammen ursprünglich aus Südkorea.
2. Gheg ist eines der wenigen Botnets, das den Datenverkehr von den "Command and control"-Servern aus entschlüsselt und eine nicht standardisierte SSL-Verbindung über Port 443 nützt.
3. Gheg verfügt über verschiedene Optionen, wie die Spam-Mails versendet werden. Es kann konventionell über den Proxy laufen oder routet die Nachrichten über einen infizierten Mail-Server eines Providers.
Gheg arbeitet über ca. 60.000 Mitglieder und pustet jeden Tag an die 400 Millionen Spam-Nachrichten raus, vorwiegend für pharmazeutische Produkte.


Statistischer Überblick
Daren Lewis von Symantec führt eine Liste von Botnets für MessageLabs und stieß dabei auf alarmierende Zahlen. Hier die Statistik im Überblick:

+ 80 Prozent des Spams wird von diesen 10 Botnets versendet.
+ Diese 10 Botnetze verschicken täglich 135 Milliarden Spam-Nachrichten.
+ Insgesamt gehören rund 5 Millionen Rechner zu diesen Botnetzen.

Kassner vermutet, dass sich diese Statistiken inzwischen höchstwahrscheinlich verschlimmert haben, da bislang keinerlei Reduktion des Spam-Aufkommens durch irgendeinen Spam-Filter zu verzeichnen ist.


Abschließend
Im Moment sieht es nicht so aus, als würde die Spam-Flut durch Spam-Filter-Programme oder -Dienste gemindert werden. Zu allem Übel, so Kassner, beobachtet er die Antispam-Forschung und sieht keine Lösung in naher Zukunft.
Update: Laut einer E-Mail-Aussendung von MessageLabs gab der Forschungszweig von Symatec "february 2010 intelligence report" voller nützlicher Infos heraus.
Nachzulesen unter: http://www.messagelabs.com/intelligence.aspx

Die Highlights aus dem Februar-Report

Aus dem Report geht hervor, dass Grum und Rustock die aktuellen Schwergewichter unter den Botnets sind, verantwortlich für ca. 32 Prozent allen Spams. Die nebenstehende Grafik (Quelle: MessageLabs) zeigt den Output der 10 am meisten aktiven Spam versendenden Botnets - sehr viel Grün (Rustock) und Purpur (Grum).


Grafik: Botnets-Aktivität des letzten Quartals / Quelle: MessageLabs

Und noch zwei zusätzliche, bemerkenswerte Ergebnisse:

+ Die Zahl der Spam-Nachrichten, die Anlagen (Attachments) enthalten, ist auf weniger als ein Prozent gefallen.
+ Die Größe der Spam-Mails ist ebenfalls deutlich gesunken. Die Spammer nützen zunehmend die Möglichkeiten des Image-Spams mit versteckten Links, also auch "image map spam" (= verweissensitive Grafik).
Info: http://de.wikipedia.org/wiki/Verweissensitive_Grafik

MessageLabs nimmt an, dass beide Änderungen des Spammer-Verhaltens die Dateigröße der Spam-Mails verringern und es so den Botnetzen ermöglichen, noch mehr Spam pro Minute rauszupusten.

Links:

MessageLabs Februar-Report:
http://www.messagelabs.com/intelligence.aspx

Podcast zum Report:
http://www.messagelabs.com/resources/podcasts?id=45689

Bot: http://de.wikipedia.org/wiki/Bot
Botnets: http://de.wikipedia.org/wiki/Botnet

"image map spam" (= verweissensitive Grafik).
Info: http://de.wikipedia.org/wiki/Verweissensitive_Grafik

Image-Spam
http://en.wikipedia.org/wiki/Image_spam

Download-Info

PDF: Report Februar 2010, von MessageLabs / Sprache: Englisch  Report Februar 2010
von MessageLabs / Sprache: Englisch
Download - klick hier!


Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 60
     

Plus: 57, Neutral: 0, Minus: 3
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge
Hinterlassen Sie hier Ihre Informationen oder Anmerkungen, für andere Leser.
Jetzt ohne Anmeldung!

 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info