Botnetz versteckt sich im Tor-Netzwerk

[Christoph]

Zitat:

Zwei Sicherheitsforscher haben einen Botnetz-Client gefunden, dessen Betreiber sich mit Hilfe des Tor-Netzwerks versteckt. Die Arbeit von Sicherheitsexperten und Strafverfolgern wird durch diese Vorgehensweise deutlich erschwert.

Wie Claudio Giarnieri und Mark Schloesser schreiben, sind sie in den letzten Wochen über ein außergewöhnliches Botnetz gestolpert, dessen Ursprung sie zunächst kaum ausmachen konnten. Allerdings fielen ihnen Parallelen zwischen dem gefundenen Botnetz und den Ausführungen von GData auf, die ein ähnliches Tor-Botnetz schon im September beschrieben.

Die Botnetz-Schadsoftware mit dem Beinamen "Skynet" ist ein Trojaner, den die beiden Blogger im Usenet gefunden haben. Die Malware war mit 15MB relativ groß und beinhaltete neben Datenmüll, der wohl den eigentlichen Zweck der Downloaddatei verschleiern soll, vier verschiedene Teile: Einen herkömmlichen Zeus-Bot, den Tor-Client für Windows, das CGMiner Bitcoin-Tool, und eine Kopie von OpenCL.dll, was CGMiner zum Kracken von CPU- und GPU-Hashes benötigt.

Bei der Analyse des Clients hat sich herausgestellt, dass er Tor Hidden Services nutzt. Die wurden nachträglich zum Tor-Netzwerk hinzugefügt, um Internet Dienste zu ermöglichen, ohne dass deren IP-Adressen des Servers zurückverfolgt werden können. Damit können zum Beispiel Whistleblower geschützt werden. Das Tor-Netzwerk bietet mit dieser Funktion aber auch Botnetz-Betreibern einen Zufluchtsort.

.....

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...k-1764791.html
http://www.golem.de/news/skynet-botn...212-96261.html