IRC-Botnetze sterben aus

Botnetze, die sich per IRC (Internet Relay Chat) mit ihren ihren Kommandoservern verbinden, werden immer seltener. Aktuelle Zombie-Netze, die ihre Kommandostruktur über das Internet abwickeln, sind fünfmal so häufig wie Botnetze, die IRC nutzen. Das berichtet The Register unter Berufung auf Sicherheitsexperten von Team Cymru.

In dem Bericht heißt es, Internet-basierte Botnetze seien viel leichter aufzusetzen als solche, die per IRC kommunizieren. Die Botnetz-Industrie käme inzwischen jenen entgegen, die keine großen Programmierkenntnisse besitzen und biete entsprechend einfache Lösungen an. Die Anzahl Web-basierter Zombie-Netze verdopple sich alle 18 Monate. Sie seien darüber hinaus schwer zu entdecken, weil sie über den Internet-Port 80 kommunizieren. Botnetzjäger stehen daher vor dem Problem, die Botnetz-Kommunikation vom restlichen Internetverkehr zu trennen, der legitimerweise über Port 80 abgewickelt wird.

Die Experten zeigen sich erstaunt darüber, dass es überhaupt noch IRC-Botnetze gibt. In der Anfangszeit der Botnetze war der IRC-Kanal das Mittel der Wahl, wenn es darum ging, große Netze mit vielen PCs zu kontrollieren. Sie stehen über den Netzwerk-Port 6667 mit ihren Kommandorechnern in Verbindung - ein Port, der ausschließlich für das IRC-Protokoll genutzt wird. In Firmennetzen könne die Firewall so konfiguriert werden, dass das Netzwerk auf Port 6667 nicht ansprechbar ist. Das Protokoll wird normalerweise nicht benötigt und IRC-Botnetzen könne damit der Garaus gemacht werden. "Es gibt keine Entschuldigung dafür, diese relativ einfachen Bedrohungen in seinem Netzwerk zu erlauben", sagte Steve Santorelli, ehemaliger Ermittler bei Scotland Yard und heute leitender Mitarbeiter bei Team Cymru, gegenüber The Register.