Die Betreiber von Botnetzen denken sich nach Angaben des Hersteller Finjan immer neue Maschen aus, um ihre Kontrollstrukturen zu verschleiern. Neuester Trend ist offenbar, die Kommunikation asymmetrisch zu gestalten und RSS-Feeds und öffentliche Blogs dafür zu benutzen. Anders als bei IRC-basierten Bots verteilt der Besitzer des Botnetzes seine Befehle über RSS-Feeds an seine Drohnen. Die RSS-Feeds stammen dabei aus einem Blog-System, auf das der Bot-Hirte Zugriff hat. Dies kann ein öffentliches, aber wenig frequentiertes Blog eines offiziellen Anbieters wie Blogspot sein. Ihre Antworten respektive gesammelte Daten liefern die Drohnen dann an ein anderes öffentliches Blog wieder ab oder schreiben sie in MySpace-Seiten und Googlepages.Indem die Botnetzbetreiber ihre Kommunikation quasi in die des Web 2.0 einflechten, wird nicht nur die Entdeckung der Kontrollstrukturen schwerer. Die Wege lassen sich auch schwerer stören, wenn man nicht Gefahr laufen will, normale Dienste zu behindern. Das einfache Blockieren von Blogs und Webseiten funktioniert an dieser Stelle nicht so ohne weiteres. Vielmehr kommt Finjan in seinem Web Security Trends Report Q4/2007 zu dem Schluss, dass Inhalte nach verdächtigen Befehlen zu durchsuchen seien. Der komplette Report steht als PDF-Datei zum Download bereit.
Die beobachteten Tricks stellen jedoch keineswegs die Regel dar. Gerade drei Schädlinge will Finjan gesichtet haben, die auf diese Weise mit ihren Herrchen kommunizieren. Vielmehr dominieren weiterhin IRC-basierende Botnetze, wobei die Betreiber offenbar auch darauf achten, ihre Herde klein zu halten, um nicht aufzufallen. Zombie-Armeen mit bis zu 1,3 Millionen infizierter PCs stellen bislang die Ausnahme dar.
source: www.heise.de/security