[English]Einem Sicherheitsforscher von CyberNews ist es gelungen, ein IRC-Botnet, das versuchte, einen ihrer Honeypots anzugreifen, zu infiltrierten. In einem Chat mit dem Botmaster versuchte der Forscher herauszufinden, wofür das IRC-Botnet verwendet wird und ob die Cyberkriminellen, die es kontrollieren, an anderen Aktivitäten beteiligt sind. Schließlich wurde das Botnet dem CERT Vietnam gemeldet, um dieses außer Betrieb zu nehmen.
Anzeige
Der Honeypod wird angegriffen
Der Sicherheitsforscher bemerkte einen Versuch, eine bösartige Datei auf einen der Rechner herunterzuladen, die mit dem CyberNews Cowrie-Honeypot verbunden sind. Die bösartige Datei enthielt ein Perl-Skript, das dazu gedacht war, den Host-Rechner zu infizieren und dem Angreifer die Ausführung von Remote-Befehlen auf dem System zu ermöglichen.
Infiltrieren des Botnet IRC-Kanals
Der Sicherheitsforscher wollte so viel wie möglich über dieses alte Botnetz und die Cyberkriminellen dahinter herausfinden. Sobald genug Daten gesammelt worden waren, sollte das Botnet deaktiviert werden. Die Erkenntnisse sollten an die zuständigen Behörden gehen. Der Sicherheitsforscher begann die Erkundung, indem er sich mit der in der bösartigen Datei gefundenen IRC-Serveradresse verband, um zu sehen, ob der Botnet-Server noch aktiv war.
Da das der Fall war, infiltrierte der Sicherheitsforscher den IRC-Kanal, der für die Kommunikation zwischen den Bots und dem Botmaster verwendet wurde. Der Forscher fand ein funktionierendes IRC-Botnet mit nicht weniger als 137 kompromittierten Systemen.
Chat mit dem Botmaster
Bevor der Sicherheitsforscher das IRC-Botnet abschalten ließ, versuchte er die Motive der Botmaster herausfinden: Warum betreiben sie dieses Botnet? Haben sie auch andere kriminelle Operationen durchgeführt? Außerdem wollte der Sicherheitsforscher wissen, wofür genau das Botnet eingesetzt wurde. Um diese Antworten zu erhalten, initiierte der Forscher (BLAU) ein Gespräch mit dem Botmaster (ROT) über den IRC-Kanal.
Chat mit dem Botmaster
Nach einem relativ belanglosen Chat begann der Forscher, den Botmaster langsam über den Zweck des IRC-Botnets zu befragen. Der Botmaster gab mehrere Antworten und behauptete, das Netzwerk für DDoS-Angriffe sowie für "Tests", "Hintertüren" und "Geld" zu nutzen. Nach einem kurzen Hin und Her schlug der Botmaster dem Forscher ein, zu Discord zu wechseln, da er vermutlich dachte, dass der Forscher ein Cyberkrimineller sei. Im Discord-Kanal waren vier Benutzer aktiv. Diese waren vorher darüber informiert worden, dass der neue Teilnehmer in den IRC-Server des Botnets eingedrungen war.
Der Botmaster wusste offenbar auch bereits, dass die böswillige Aktivität in einem Honeypot bemerkt wurde. Bald darauf drückte der Botmaster seine Frustration darüber aus, dass Leute häufig über ihren IRC-Server stolperten. Die Teilnehmer des Discord-Kanals erklärten weiter, wie sie normalerweise mit solchen Eindringlingen umgehen, indem sie DDoS-Angriffe gegen sie durchführen.
Anzeige
Im weiteren Verlauf der Chat-Sitzung schien das Ego der Botmaster mit jeder weiteren Frage größer zu werden. Gegen Ende des Gesprächs behaupteten sie, ein Botnetz betrieben zu haben, das sich über 100.000 IoT-Geräte erstreckte, ein für heutige Verhältnisse sehr großes Botnetz. Mit einem so großen Botnet wären sie in der Lage, groß angelegte DDoS-Angriffe durchzuführen und massive Spam-Kampagnen zu starten.
Auf die Frage nach ihren aktuellen Aktivitäten gaben die Botmaster an, Netzwerke mit kompromittierten Geräten aufzubauen und diese für 3000 Dollar an andere Cyberkriminelle zu verkaufen. Dieses Mal lieferte einer der Botmaster sogar den Beweis in Form eines Werbevideos. Bei weiteren Nachforschungen entdeckte der Forscher weitere Videos auf dem YouTube-Kanal des Botmasters, die mehrere Anzeigen von Botnetzen zum Verkauf enthielten.
Schließlich behauptete der Botmaster, dass sie 7.000 kompromittierte IoT-Geräte/Bots in ihrem aktuellen Botnet hätten und dass das vom Forscher gefundene IRC-Botnet nur zu Testzwecken verwendet worden sei. Als der Sicherheitsforscher den Botmaster um ein offizielles Interview bat und seine berufliche Identität preis gab, brach die Kommunikation ab.
Es blieb nur noch die Möglichkeit, das IRC-Botnet dem CERT in Vietnam zu melden, wo sich offenbar der Command and Control-Server des Botnetzes befand. Das CERT Vietnam wurde am 26. Oktober 2020 über das Botnet informiert. Das Computer-Notfallteam des Landes arbeitet derzeit daran, den Command and Control-Server des Botmasters abzuschalten. Details lassen sich in diesem Blog-Beitrag nachlesen.
2015
