Die if(is)-Wissenschaftler Christian Rossow und Christian J. Dietrich haben mit dem sog. Feederbot ein Botnetz entdeckt, das das DNS-Protokoll als Träger für seinen Command and Control Kanal benutzt. Üblicherweise verwenden Botnetze häufig IRC oder HTTP als Anwendungsschicht-Protokolle. Vor dem Hintergrund, dass bisher keine Erkennungsmethoden für DNS-basierte C&C-Kanäle existieren, ist davon auszugehen, dass das Botnetz bisher kaum bemerkt wurde.
Botnetze sind Verbünde von ferngesteuerten, gekaperten Computern – meist unbemerkt von den Benutzern – und gelten als eine der größten Gefahren im Internet. Sie werden großflächig beispielsweise zum Versand von Spam, Click-Betrug oder verteilten Denial-of-Service-Angriffen verwendet.
Christian Rossow und Christian J. Dietrich haben sich insbesondere damit beschäftigt, inwiefern derartige Botnetze wie Feederbot, die DNS als Trägerprotokoll für ihren C&C-Kanal nutzen, erkannt werden können. Dazu haben sie das Feederbot-Botnetz über einen Zeitraum von knapp einem Jahr beobachtet und eine Methode zur netzwerkbasierten Erkennung des C&C-Kanals entwickelt.
Die Analyse-Ergebnisse der Forscher sind in einer Forschungsarbeit zusammengetragen, die im Rahmen der European Conference on Computer Network Defense (EC2ND) am 6. und 7. September in Göteborg, Schweden, veröffentlicht wird.
Neben Feederbot wurde in den letzten Tagen mindestens ein weiteres Botnetz mit einem mutmaßlichen DNS-C&C-Kanal entdeckt. Das Botnetz Morto scheint seine C&C-Nachrichten ebenfalls über das DNS-Protokoll zu tunneln.
if(is)-Forscher entdecken Botnetz mit DNS-C&C
