Anonymisierungsdienst von Cyberkriminellen missbraucht

Tor-Netzwerk wird zur Steuerung gekaperter Rechner eingesetzt.

Bochum, (PresseBox) - Der Wunsch, keine digitalen Fingerabdrücke im Internet zu hinterlassen, ist vor allem für Onlinekriminelle von existenzieller Bedeutung. Nach Analysen der G Data SecurityLabs ist es Malware-Autoren gelungen, das weltweit umspannende Tor-Netzwerk für ihre Zwecke einzusetzen. Bei den Angreifern handelt es sich um Botnetz-Betreiber (Botmaster), die den Anonymisierungsdienst zur Verschleierung der Kommunikation zwischen den Steuerungsservern (C&C-Server) und den infizierten Computern missbrauchen. Durch diese neue Taktik, wird es nach Einschätzung von G Data zukünftig deutlich schwerer sein, C&C-Server zu lokalisieren und unschädlich zu machen.

Wie nutzen die Täter das Tor-Netzwerk?
Die Steuerung der gekaperten Rechner (Zombies) erfolgte bisher über eine direkte Verbindung zu einem Command & Control Server (C&C-Server) oder durch eine P2P-Kommunikationsstruktur. Die C&C-Server sind mit Schaltzentralen zu vergleichen, mit denen die Betreiber ihre Befehle an die Zombies versenden. Hierüber ist es möglich, beispielsweise DDoS-Angriffe oder den millionenfachen Versand von Spam-Mails zu initiieren und zu koordinieren. Die direkte Verbindung oder der Einsatz von P2P-Strukturen birgt für die Botmaster jedoch eine große Gefahr: Ermittlungsbehörden ist es immer wieder gelungen, die Standorte der C&C-Server ausfindig zu machen und diese auszuschalten. Durch den Einsatz des Tor-Netzwerkes, wird dies zukünftig aber deutlich schwerer werden.


(s. Abb.1: So machen sich die Täter die Anonymisierung des Tor-Netzwerkers zur Steuerung gekaperter Rechner zunutze.

Was ist das Tor-Netzwerk?
Tor ist ein weltweit von vielen Anwendern genutztes Netzwerk, um im Internet anonym zu surfen und so keine Spuren zu hinterlassen. Bei diesem Dienst handelt es sich nicht um einen illegalen Service. So wurde das Tor-Netzwerk u.a. von politischen Aktivisten des Arabischen Frühlings eingesetzt, um sich einem möglichen Zugriff durch die damaligen Sicherheitsbehörden zu entziehen und Webservice-Blockaden durch Regierungen zu entziehen.
Die Funktionsweise von Tor ist denkbar einfach: Potentielle Anwender geben ihren Rechner als sog. Tunnel (Tor Relay) frei und werden dadurch zu einem von vielen Weiterleitungspunkte für die unterschiedliche Services des Tor-Netzwerkes.
Wird beispielsweise auf dem eigenen Computer eine Internetseite im Tor-Browser aufgerufen, so geschieht die Anfrage an den Webserver nicht auf dem direkten Wege, sondern über einer der unzähligen anderen Weiterleitungspunkte des Netzwerkes. Dadurch ist es kaum möglich, die ursprüngliche IP-Adresse des Nutzers herauszubekommen.

Was ist ein Botnetz?
Als Botnetz wird ein Verbund miteinander vernetzter, infizierter Rechner bezeichnet, wobei diese Rechner unter der Kontrolle eines sogenannten Botmasters stehen. Dies passiert ge-meinhin ohne das Wissen und die Zustimmung der Besitzer der einzelnen Rechner, die durch den Botmaster ferngesteuert werden können. Die infizierten Rechner bezeichnet man als Zombies.


(s. Abb. 2: Die Kommunikation zwischen C&C-Server und den Zombie Computern erfolgte bisher u.a. auf direktem Weg.)

Der Botmaster kann die unter seiner Kontrolle stehenden, gekaperten Opferrechner für eine Vielzahl unterschiedlicher Zwecke missbrauchen. Da er auf die einzelnen Rechner zugreifen kann, als säße er selbst physikalisch vor dem jeweiligen System, ist sowohl der Zugriff auf die auf den jeweiligen Systemen gespeicherten Daten als auch die unbemerkte Verwendung der Netzwerkverbindung der Rechner möglich. Botnetze werden unter anderem dafür benutzt, gezielte Überlastangriffe auf Webserver zu starten (DoS- und DDoS-Attacken) und um Spam zu versenden.

G DATA Software AG

IT Security wurde in Deutschland erfunden: Die G Data Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G Data in zu den weltweit führenden Anbietern von IT-Security-Lösungen.

Testergebnisse beweisen: IT-Security „Made in Germany“ schützt Internet-nutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sechs Tests, die von 2005 bis 2013 durchgeführt wurden, erreichte G Data die beste Virenerkennung. In Vergleichstests von AV-Test demonstriert G Data regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G Data InternetSecurity von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frankreich, Italien, den Niederlanden, Österreich, Spanien und den USA.

Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G Data Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.

Weitere Informationen zum Unternehmen und zu G Data Security-Lösungen finden Sie unter www.gdata.de

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.