{"id":238102,"date":"2020-11-28T00:13:00","date_gmt":"2020-11-27T23:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238102"},"modified":"2022-09-08T22:17:03","modified_gmt":"2022-09-08T20:17:03","slug":"sicherheitsforscher-infiltrieren-irc-botnet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/28\/sicherheitsforscher-infiltrieren-irc-botnet\/","title":{"rendered":"Sicherheitsforscher infiltrieren IRC Botnet"},"content":{"rendered":"

[English<\/a>]Einem Sicherheitsforscher von CyberNews ist es gelungen, ein IRC-Botnet, das versuchte, einen ihrer Honeypots anzugreifen, zu infiltrierten. In einem Chat mit dem Botmaster versuchte der Forscher herauszufinden, wof\u00fcr das IRC-Botnet verwendet wird und ob die Cyberkriminellen, die es kontrollieren, an anderen Aktivit\u00e4ten beteiligt sind. Schlie\u00dflich wurde das Botnet dem CERT Vietnam gemeldet, um dieses au\u00dfer Betrieb zu nehmen.<\/p>\n

<\/p>\n

Der Honeypod wird angegriffen<\/h2>\n

\"\"Der Sicherheitsforscher\u00a0 bemerkte einen Versuch, eine b\u00f6sartige Datei auf einen der Rechner herunterzuladen, die mit dem CyberNews Cowrie-Honeypot verbunden sind. Die b\u00f6sartige Datei enthielt ein Perl-Skript, das dazu gedacht war, den Host-Rechner zu infizieren und dem Angreifer die Ausf\u00fchrung von Remote-Befehlen auf dem System zu erm\u00f6glichen.<\/p>\n

Infiltrieren des Botnet IRC-Kanals<\/h2>\n

Der Sicherheitsforscher wollte so viel wie m\u00f6glich \u00fcber dieses alte Botnetz und die Cyberkriminellen dahinter herausfinden. Sobald genug Daten gesammelt worden waren, sollte das Botnet deaktiviert werden. Die Erkenntnisse sollten an die zust\u00e4ndigen Beh\u00f6rden gehen. Der Sicherheitsforscher begann die Erkundung, indem er sich mit der in der b\u00f6sartigen Datei gefundenen IRC-Serveradresse verband, um zu sehen, ob der Botnet-Server noch aktiv war.<\/p>\n

Da das der Fall war, infiltrierte der Sicherheitsforscher den IRC-Kanal, der f\u00fcr die Kommunikation zwischen den Bots und dem Botmaster verwendet wurde. Der Forscher fand ein funktionierendes IRC-Botnet mit nicht weniger als 137 kompromittierten Systemen.<\/p>\n

Chat mit dem Botmaster<\/h2>\n

Bevor der Sicherheitsforscher das IRC-Botnet abschalten lie\u00df, versuchte er die Motive der Botmaster herausfinden: Warum betreiben sie dieses Botnet? Haben sie auch andere kriminelle Operationen durchgef\u00fchrt? Au\u00dferdem wollte der Sicherheitsforscher wissen, wof\u00fcr genau das Botnet eingesetzt wurde. Um diese Antworten zu erhalten, initiierte der Forscher (BLAU) ein Gespr\u00e4ch mit dem Botmaster (ROT) \u00fcber den IRC-Kanal.<\/p>\n

\"Chat<\/p>\n

Chat mit dem Botmaster<\/p>\n

Nach einem relativ belanglosen Chat begann der Forscher, den Botmaster langsam \u00fcber den Zweck des IRC-Botnets zu befragen. Der Botmaster gab mehrere Antworten und behauptete, das Netzwerk f\u00fcr DDoS-Angriffe sowie f\u00fcr \"Tests\", \"Hintert\u00fcren\" und \"Geld\" zu nutzen. Nach einem kurzen Hin und Her schlug der Botmaster dem Forscher ein, zu Discord zu wechseln, da er vermutlich dachte, dass der Forscher ein Cyberkrimineller sei. Im Discord-Kanal waren vier Benutzer aktiv. Diese waren vorher dar\u00fcber informiert worden, dass der neue Teilnehmer in den IRC-Server des Botnets eingedrungen war.<\/p>\n

Der Botmaster wusste offenbar auch bereits, dass die b\u00f6swillige Aktivit\u00e4t in einem Honeypot bemerkt wurde. Bald darauf dr\u00fcckte der Botmaster seine Frustration dar\u00fcber aus, dass Leute h\u00e4ufig \u00fcber ihren IRC-Server stolperten. Die Teilnehmer des Discord-Kanals erkl\u00e4rten weiter, wie sie normalerweise mit solchen Eindringlingen umgehen, indem sie DDoS-Angriffe gegen sie durchf\u00fchren.<\/p>\n

Im weiteren Verlauf der Chat-Sitzung schien das Ego der Botmaster mit jeder weiteren Frage gr\u00f6\u00dfer zu werden. Gegen Ende des Gespr\u00e4chs behaupteten sie, ein Botnetz betrieben zu haben, das sich \u00fcber 100.000 IoT-Ger\u00e4te erstreckte, ein f\u00fcr heutige Verh\u00e4ltnisse sehr gro\u00dfes Botnetz. Mit einem so gro\u00dfen Botnet w\u00e4ren sie in der Lage, gro\u00df angelegte DDoS-Angriffe durchzuf\u00fchren und massive Spam-Kampagnen zu starten.<\/p>\n

Auf die Frage nach ihren aktuellen Aktivit\u00e4ten gaben die Botmaster an, Netzwerke mit kompromittierten Ger\u00e4ten aufzubauen und diese f\u00fcr 3000 Dollar an andere Cyberkriminelle zu verkaufen. Dieses Mal lieferte einer der Botmaster sogar den Beweis in Form eines Werbevideos. Bei weiteren Nachforschungen entdeckte der Forscher weitere Videos auf dem YouTube-Kanal des Botmasters, die mehrere Anzeigen von Botnetzen zum Verkauf enthielten.<\/p>\n

Schlie\u00dflich behauptete der Botmaster, dass sie 7.000 kompromittierte IoT-Ger\u00e4te\/Bots in ihrem aktuellen Botnet h\u00e4tten und dass das vom Forscher gefundene IRC-Botnet nur zu Testzwecken verwendet worden sei. Als der Sicherheitsforscher den Botmaster um ein offizielles Interview bat und seine berufliche Identit\u00e4t preis gab, brach die Kommunikation ab.<\/p>\n

Es blieb nur noch die M\u00f6glichkeit, das IRC-Botnet dem CERT in Vietnam zu melden, wo sich offenbar der Command and Control-Server des Botnetzes befand. Das CERT Vietnam wurde am 26. Oktober 2020 \u00fcber das Botnet informiert. Das Computer-Notfallteam des Landes arbeitet derzeit daran, den Command and Control-Server des Botmasters abzuschalten. Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Einem Sicherheitsforscher von CyberNews ist es gelungen, ein IRC-Botnet, das versuchte, einen ihrer Honeypots anzugreifen, zu infiltrierten. In einem Chat mit dem Botmaster versuchte der Forscher herauszufinden, wof\u00fcr das IRC-Botnet verwendet wird und ob die Cyberkriminellen, die es kontrollieren, an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238102","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238102"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238102\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}