[HaBo]

rat

Anzeige

Nach angaben von MessageLabs Intelligence hat das Botnetzwerk Rustock nur noch 1,3 Millionen ferngesteuerte Dronen während es im April noch 2,5 Millionen waren. Rustock ist für 41 Prozent aller verschickten Spam-Mails verantwortlich, während der Anteil vor vier Monaten noch auf 32 Prozent betrug.



Rustock kontrolliert zwar weniger Bots als vorher,konnte aber dennoch die Anzahl der verschickten Spammails pro Bot und Minute fast verdoppeln.Im Resultat ist die Zahl der Spam-E-Mails, die Rustock pro Tag verschickt, um sechs Prozent gestiegen meint Paul Wood, der MessageLabs Intelligence Senior Analyst bei Symantec Hosted Service.



Grund dafür warum Rustock seinen Spam-Versand verstärken konnte, ist weil das Botnetz keine TLS-Verschlüsselung mehr nutzt wodurch die e-Mail-Verbindungen beschleunigt werden konnten. Im März hatten noch 30 Prozent der Spam-Mails eine TLS-Verschlüsselung aufgewiesen. Wobei sich bei Rustock der Anteil verschlüsselter Mails auf beeindruckende 70 Prozent belief.



TLS bremst den Versand von E-Mail-Verbindungen aus, weil das Verschlüsselung der Mails zusätzliche Rechnerkapazitäten in Beschlag nimmt. Dies könnte einer der Gründe sein warum die Hintermänner von Rustock zu der Überzeugung gekommen sind, dass ein Rückgriff auf diese Technik ihre Fähigkeit zur massenweisen Verbreitung von Werbe-Mails einschränkt.

Die TLS-Verschlüsselung hat aber nun an Bedeutung verloren weshalb nur noch 0,5 Prozent der gesamten Spam-Mails verschlüsselt sind. Die Zahl seiner verschickten Spam-Mails konnte Rustock von 96 auf 192 Mails pro Bot und Minute verzweifachen.

Quelle: http://www.virenschutz.info
Quelle: http://www.m86security.com

__________________

ChiefWiggum

Was mich brennend interessiert - Woher wissen die das?
Wie "lesen die aus", wie viele "Clients" das Botnetz noch hat?

__________________
Be the source always with you.

rami

Bei solchen Netzen mit C&C-Servern weiß ich es nicht. Aber bei P2P-basierten Nutzen können die quasi crawlen. Jeder Zombie hat eine Liste von Zombies, die er kennt und durch anpingen dieser etc. kann man sich durchcrawlen. Natürlich ist die Dunkelziffer um ein vielfaches so groß, aber man kann eine ungefähre Schätzung erstellen.

Ich empfehle dazu den folgenden Podcast (auch wenn ich gehört habe, dass nicht alle technischen Infos darin noch aktuell sind): Chaosradio Express Folge 155: Malware und Botnets

__________________

Dresko

Da die meisten Botnetze Spam versenden und jeder Bot das SMTP-Protokoll etwas anders implementiert, kann man die Bots anhand ihrer Spammails quasi fingerprinten und zählen. Dies lässt sich dann statistisch hochrechnen.
Funktioniert natürlich nur, wenn man den Traffic/Spammails von mehreren größeren Netzwerke auswerten kann (Öffentliche Einrichtungen, Konzerne, usw.), aber große AV-Unternehmen haben logischerweise durch den Einsatz ihrer Software diese Möglichkeit.

__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -