Benachrichtigungen zu Schadprogramm-Infektionen

 

Auf dieser Webseite finden Sie Informationen zu den von CERT-Bund an deutsche Netzbetreiber/Provider gesendeten Benachrichtigungen zu Schadprogramm-Infektionen.

Schadprogramme und Kontrollserver

Die meisten Schadprogramme nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) der Angreifer im Internet auf, um von dort weiteren Schadcode nachzuladen, Instruktionen zu empfangen oder auf dem infizierten System ausgespähte Informationen (wie Benutzernamen und Passwörter) an diesen Server zu übermitteln. Die Kontaktaufnahme erfolgt häufig unter Verwendung von Domainnamen, welche von den Tätern speziell für diesen Zweck registriert wurden.

Sinkholes

Ein gängiges Verfahren zur Identifikation mit Schadprogrammen infizierter Systeme ist die Umleitung solcher schädlicher Domainnamen auf sogenannte "Sinkholes". Dabei werden die durch Analyse von Schadprogrammen ermittelten Domainnamen in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen auf Sinkhole-Server umgeleitet. Die Sinkholes protokollieren anschließend die Zugriffe auf die schädlichen Domainnamen mit Zeitstempel und der Quell-IP-Adresse, von welcher der Zugriff erfolgte. Solche Sinkholes werden von zahlreichen Analysten und IT-Sicherheitsdienstleistern weltweit betrieben.

Da sich unter den Domainnamen keine legitimen Internetangebote befinden, werden diese üblicherweise nicht angesteuert. Ein Zugriff auf einen solchen Domainnamen ist daher ein gutes Indiz, dass sich unter der Quell-IP-Adresse, von welcher ein Zugriff erfolgt, mit hoher Wahrscheinlichkeit ein mit einem entsprechenden Schadprogramm infiziertes System befindet.

Als nationales CERT erhält CERT-Bund täglich Protokolldaten von verschiedenen internationalen Sinkhole-Betreibern. Diese enthalten Informationen zu Zugriffen auf umgeleitete schädlichen Domainnamen, welche von IP-Adressen deutscher Netzbetreiber erfolgten. Nationale CERTs in anderen Ländern erhalten die Daten entsprechend für das jeweilige Land.

Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adresse der Sinkhole sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.

Benachrichtigung von Netzbereibern / Providern

Die von den Sinkhole-Betreibern an CERT-Bund gelieferten Daten werden automatisiert ausgewertet und anhand der Quell-IP-Adressen der Zugriffe den zuständigen Netzbetreibern zugeordnet. Die Netzbetreiber werden anschließend über die potenziellen Schadprogramm-Infektionen in ihren Netzbereichen informiert. Dabei werden die vorgenannten Informationen zu den von den Sinkholes protokollierten Zugriffen an die Netzbetreiber weitergeleitet.

Falls es sich bei dem Netzbetreiber um einen Internet-Provider handelt, wird dieser gebeten, die betroffenen Kunden entsprechend zu informieren. Eine Identifikation von Provider-Endkunden seitens CERT-Bund ist nicht möglich, da nur der Provider zuordnen kann, von welchem Kunden eine IP-Adresse aus seinem Netzbereich zu dem angegebenen Zeitpunkt genutzt wurde.

Weitere Informationen

Weitere Informationen zum Thema Schadprogramme und Infektionsbeseitigung finden Sie auf der Webseite BSI für Bürger.

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.