Hier mal ne kleine Zusammenfassung rund um das Thema Minerbot:

Donnerstag, der erste

Am Donnerstag 18.08.11 startete der Minerbot die ersten Angriffe (Meldung bei heise.de) hauptsächlich auf Lieferdienste und Immobilienseiten. Nachdem Heise hier hauptsächlich den Angriff auf pizza.de hervorhob, hat der Bot auch den Spitznamen "Pizzabot" erhalten :)

Der erste Angriff hat uns in der Arbeit recht lange Nächte und ein schlechtes Wochenende beschert. Zumindest hatten wir die Webseite wieder halbwegs stabil zum Wochenende. Spannend wurde es dann Anfang der Woche, in Google Analytics hatten wir traumhafte ~60 PIs pro Visit :D IVW hat sich ebenfalls beschwert, dass wir falsche Zahlen liefern. Nachdem durch das Google Panda Update eh wieder die Angst rumgeht, was man alles tun darf und nicht um nicht noch schlechter im Index zu stehen, ging die berechtigte Frage rum, ob Google evt. auch Analytics für das Ranking benutzen könnte.. und bei offensichtlich falschen Zahlen die Seite abstraft. Gleiches bei IVW, wenn die einen nach dem Panda Update auch noch von ihrer Liste werfen, dann ist das eindeutig ein falsches Zeichen Richtung Werbewelt. Spekulationen über den Grund der Attacke gingen in verschiedene Richtungen: Böse Konkurrenz oder Epressung? Und wenn Epressung: Wo bleibt das Bekennerschreiben?

Der zweite

Pünktlich eine Woche später kam dann die zweite Attack (heise.de). Anfangs auch wieder 'normales' HTTP Flooding, nach einer Weile kam dann aber auch die Meldung unseres Providers, dass wir massive Netzwerkprobleme haben, weil die Leitung dicht ist. Die Angreifer gingen also dazu über, UDP Flooding zu benutzen. Denkbar schlecht... Bei HTTP kann man ja noch was drehen, Zugriffe sperren, etc... Aber wenn durch eine 1Gbit/s Leitung ein Angriff mit (im Peak) 7GBit/s durchsoll, dann ist halt einfach die Leitung dicht. Hetzner (bei denen pizza.de gehostet ist/war) hat anscheinend recht gut handeln können und Länderspezifische IP Blocks machen können. Macht ja auch Sinn, wenn ich eine IP aus Rumänien habe, warum sollte ich dann bei pizza.de was bestellen? Unser Provider war da leider nicht so flexibel (und hat auch nicht die Leitungskapazitäten wie Hetzner..) deswegen konnten wir dann wählen zwischen globalem Nullrouting (also gar nicht erreichbar) oder keine Blocks und dafür so gut wie nicht erreichbar.

Also musste eine Lösung her: Ein professioneller Dienstleister. Das Suche&Vertrag abschließen ging erstaunlich schnell über die Bühne, die Einrichtung ging auch halbwegs flott. Auch wenn der Dienst alles andere als günstig ist (wobei man hier vielleicht auch noch etwas besseres finden hätte können, wenn man nicht das Messer auf der Brust hat..) bin ich eigentlich sehr zufrieden damit. Und 1-2 Tageseinnahmen für DDOS Schutz auszugeben steht ja auch noch im Verhältnis.

Nachdem also die zweite Angriffswelle vorbei war, hab ich mich intensiver mit dem Bot beschäftigt. Tillmann Werner von Kaspersky hat mir damals auch mitgeteilt, dass es tatsächlich das Minerbot Netz war, dass uns angegriffen hat. Also fing ich an ein bischen zu recherchieren. Dabei enstanden sind dann letztendlich die ganzen Informationen und die Targetlist die ich auf meinem Blog veröffentliche.

Immer wieder Donnerstags...

Der nächste Donnerstag, der nächste Angriff. Diesmal konnte ich praktisch live miterleben, welche Ziele sich der Bot (bzw. der Betreiber) ausgesucht hat. Nachdem es diesmal hauptsächlich Seiten aus der Hotel&Reisebranche waren, war ich zumindest erleichtert. Der Sinn hinter den Angriffen blieb aber weiterhin im unklaren.

Und gleich noch einmal

In der nächsten Woche fing es Dienstags an. Es war aber auch kein Muster der Ziele mehr zu erkennen. Eine Vermutung ist, dass man auf Google Seiten zu bestimmten Keywords gesammelt hat. Langsam wurde aber der Grund bzw. die Motivation für die Angriffe klar:

Your site www.#####.de will be subjected to DDoS attacks 100 Gbit/s.

Pay 100 btc(bitcoin) on the account 1ACFJHoB8Z3KDwDn6XdNTEJb6S7VsQiLZG

Do not reply to this email

Also war es tatsächlich ein Erpressungsversuch.

Kleiner Ausflug zum Thema Bitcoin

Nachdem ich vor einiger Zeit sehr vom Thema Bitcoin begeistert war und sogar einen eigenen Miningpool betrieben habe, gibt's hier noch ein bischen Hintergrundwissen: Bitcoins sind eine elektronische Währung, die man über Tauschbörsen auch wieder für 'echtes' Geld verkaufen kann. Jede Person kann sich beliebig viele Konten (=Bitcoin Adressen) anlegen. Bitcoins sind mehr oder weniger anonym, aber der Geldfluß ist öffentlich. Nachdem eine Person aber beliebig viele Konten haben kann, kann man nie wissen, wieviel BTCs die Person nun aber genau hat. Wenn ich von Konto A, auf dem 5 BTC sind, 3 BTC an Konto B überweise, werden die restlichen 2 Bitcoins an ein neues Konto C überwiesen (Der Inhaber von Konto C ist aber der gleiche wie von Konto A). So kann man also nicht wirklich sagen, was nun eine echte Überweisung ist und was nur ein Geldverschieben zwischen eigenen Konten.

Um nun zu sehen, wieviel Geld auf einem Bitcoin Konto ist, gibt's den Blockexplorer: http://blockexplorer.com/address/1ACFJHoB8Z3KDwDn6XdNTEJb6S7VsQiLZG

Keine Eingänge, wir haben ja auch nicht bezahlt :) Ich hab das zwar noch nicht geprüft, aber theoretisch müsste in jeder Erpressermail ein anderes Bitcoin Konto angegeben sein. Durch die Anonymität weiß man ja auch nicht, wer der Absender ist, folglich muss man für jede erpresste Webseite ein eigenes Konto anlegen um dann zu wissen, welche Seite man nicht mehr angreifen braucht. Falls die Bitcoin Adressen gleich sein sollten (und sei es auch nur, dass eine Adresse für zwei Seiten verwendet wurde..) dann wird der Angreifer das nicht zuordnen können.

Aufgrund der ganzen Anonymität hat Bitcoins auch in den letzten Monaten von der Presse einen etwas schlechten Ruf bekommen. Es wäre das ideale Mittel für Geldwäsche, Drogenkauf (ja, es gab/gibt? sogar Internetseiten auf denen man sich mit Bitcoins Drogen kaufen konnte...) und jetzt eben auch Erpressung.

Wie geht's weiter?

Heute kam Post von FieldFisherWaterhouse bezüglich der ersten beiden Attacken (Nach Absende Datum her würde ich mal sagen, die wussten zu dem Zeitpunkt noch nichts von Welle 3). Kurzzusammenfassung: "DoS Attacke ... offenbar Miner-Botnet ... vermutlich von Russland bzw. Osteuropa aus gesteuert ... Wir begleiten derzeit für eine Gruppe von Mandaten das Ermittlungsverfahren... Sowohl Bundesamt für Sicherheit in der Informationstechnik wie auch die Ermittlungsbehörden...."

Ich bin gespannt wie das ganze weitergeht. Aufgrund der oben beschriebenen Technik von Bitcoins wird's schwierig darüber an die Hintermänner zu kommen. Das Botnetz an sich arbeitet hauptsächlich per P2P, wobei es ein paar zentrale Server bzw. ein paar DNS Einträge gibt, die von jemanden gesteuert werden müssten.