Der Trend hin zu modernen Botnetzen lässt sich daran erkennen, dass es gezielt verdeckte Botnetze gibt, die zur Spionage sowohl auf der Ebene von Regierungen als auch zur Industriespionage verwendet werden. Ein solches Botnetz ist beispielsweise das im März 2009 entdeckte "GhostNet": In einer gezielten Aktion konnten unbekannte Angreifer mehr als 1.200 Rechner in über 100 Ländern infiltrieren und mit einem Bot infizieren.

Im Rahmen des Forschungsprojekts "Moderne Botnetzerkennung" (MoBE) werden verschiedene Techniken und Werkzeuge geschaffen, um diese Arten von modernen Botnetzen erkennen und bekämpfen zu können. Dabei grenzen sich die hier vorgestellten Lösungsansätze von verwandten Arbeiten insbesondere dadurch ab, dass hohe Datenschutzanforderungen eingehalten werden und Skalierbarkeit im Hinblick auf den Einsatz in Hochgeschwindigkeitsnetzen gewährleistet wird. Das Projektziel ist die Schaffung von bisher nicht vorhandenen Mechanismen, die deutsche Bürger, Unternehmen und sonstige Institutionen vor den enormen Schäden von Botnetzen schützt. Bereits kurz nach Beginn des Projekts wurde ein Erkennungsmechanismus entwickelt, der Botnetze detektiert, die das DNS-Protokoll als Trägerprotokoll für den Command and Control Kanal benutzen.

MoBE setzt sich aus den vier Konsortialpartnern Westfälische Hochschule (Institut für Internet-Sicherheit, Prof. Dr. Norbert Pohlmann), Ruhr-Universität Bochum (Prof. Dr. Thorsten Holz), G Data Software AG sowie Vodafone D2 GmbH zusammen. Die Projektlautzeit beträgt 2,5 Jahre und begann am 1.7.2011. Das gesamte Finanzvolumen beläuft sich auf rund 1,4 Millionen Euro mit einem Förderanteil von einer Million Euro.

Die folgenden Publikationen sind im Rahmen des Projekts entstanden.

• Christian J. Dietrich, Christian Rossow, Felix C. Freiling, Herbert Bos, Maarten van Steen, Norbert Pohlmann. "On Botnets that use DNS for Command and Control". European Conference on Computer Network Defense, EC2ND 2011.
• Marc Kührer, Thorsten Holz. An Empirical Analysis of Malware Blacklists. PIK - Praxis der Informationsverarbeitung und Kommunikation (to appear).
• Christian Rossow, Christian J. Dietrich, Christian Kreibich, Chris Grier, Vern Paxson, Norbert Pohlmann, Herbert Bos, Maarten van Steen. Prudent Practices for Designing Malware Experiments: Status Quo and Outlook. 33rd IEEE Symposium on Security and Privacy, S&P 2012, San Francisco, CA (to appear).
• Armin Büscher, Thorsten Holz. Tracking DDoS Attacks: Insights into the Business of Disrupting the Web. 5th USE­NIX Work­shop on Lar­ge-Sca­le Ex­ploits and Emer­gent Thre­ats (LEET '12)

• Projektträger DLR