Aktive Gegenmaßnahmen gegen Botnetze – Erläuterungen anhand des Mirai Sourcecodes

Bachelor-Studiengang IT Security

Sebastian Demmer, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage

Am 21. Oktober 2016 fand ein Distributed-Denial-of-Service-Angriff mit rekordverdächtigen Datendurchsatzspitzen von über 1 Tb/s auf den DNS-Dienstleister DynDNS statt. Die Attacke konnte mit dem Mirai Botnetz in Verbindung gebracht werden, dessen Sourcecode einige Tage davor vom Autor der Schadsoftware veröffentlicht wurde. DynDNS schätzte die Anzahl von angreifenden Systemen auf rund 100.000 ein. Die beachtliche Performance des Botnetzes und der Angriff auf einen wichtigen Dienstleister im Internet zogen die Aufmerksamkeit der Medien und der IT-Security-Community auf sich. Zusätzlich bot der publizierte Sourcecode eine seltene Gelegenheit, detaillierte Analysen über diese Malware anzustellen. In einer Zeit, in der die Anzahl an Geräten im Internet-of-Things rasant zunimmt, jedoch die Sicherheit nicht aller dieser Systeme ausreichend gewährleistet wird, haben Botnetze oftmals leichtes Spiel. So können diese in kurzer Zeit eine große Anzahl an infizierten Geräten erreichen, dadurch massive Angriffe durchführen und in weiterer Folge erhebliche Schäden verursachen.

Ziel

Das Ziel dieser Arbeit ist, einen Überblick über die technischen Möglichkeiten zur Bekämpfung von Botnetzen zu geben. Dafür werden einige bereits bekannte Techniken in den Kontext des Mirai Botnetzes gebracht und ihre Einsatzmöglichkeiten in diesem Fallbeispiel geschildert. Dabei sollen sowohl aktive Gegenmaßnahmen speziell gegen die Mirai Schadsoftware, als auch allgemeine Bekämpfungskonzepte, welche auf ein breites Spektrum von Botnetzen angewendet werden können, betrachtet werden.

Ergebnis

In dieser Arbeit konnten sowohl der Aufbau und die Infrastruktur von Mirai als auch die Schwachstellen, welche das Botnetz ausnutzt, erläutert werden. Aufgrund dieser und weiteren Eigenschaften konnte die Effektivität verbreiteter Techniken zur Botnetz-Bekämpfung im Fall von Mirai abgeschätzt werden. Die teilweise großen Unterschiede zwischen verschiedenen Botnetzen und Schadsoftware-Familien erschwerte die Verallgemeinerung der Ergebnisse für weitere Fallbeispiele. Ebenfalls wurden die Problematiken erläutert, welche im Zusammenhang mit den erklärten aktiven Gegenmaßnahmen auftreten können.