Google als C&C Struktur von Botnetz genutzt

Der Fokus von Sicherheitsunternehmen bei der Bekämpfung von Botnetzen richtet sich primär auf die so genannte „Command and Control“ (C&C) Struktur, über die Bots Informationen austauschen. Um unentdeckt zu bleiben, unterziehen die Entwickler von Botnetzen diese Struktur einem ständigen Wandel: Ursprünglich auf IRC basierend, wurden in den letzten Jahren immer häufiger unabhängige Peer-to-Peer (P2P) Strukturen aufgebaut. Neuster Trend: Die Nutzung von sozialen Netzwerken, wie Twitter oder – und das ist neu – Google Groups.

Die Forscher von Symantec entdeckten einen Trojaner, der als DLL verteilt wird und mit den Login Daten eines Google Benutzerkontos ausgestattet ist. Dieser Account greift auf eine private Newsgroup namens „escape2sun“ zurück. Diese Newsgroup dient einen Botnetz als C&C Struktur. Wie eine Analyse der Newsgroup ergab, liegen seit Dezember 2008 Zugriffe vor. Die Anzahl der einmaligen TCP/IP-Sockel (einmalige Systemzugriffe) lag laut Logfiles im Dezember 2008 bei unter 50, wuchs zwischenzeitlich auf über 400 an und liegt momentan bei circa 300. Die Forscher vermuten, dass es sich hierbei um einen Prototypen für eine neue Form von Botnetz handelt, der Google Groups als aktives C&C verwendet. (vgw)