Passive DNS - Erfahrungsbericht Botnet-Domains

Der Breakout

Alarm von der Netzwerkgruppe: An einem Standort hat ein Router Probleme - diverse Tables laufen voll bzw. über. Schnell stellt sich heraus: An einem Institut haben etwa 15 Rechner gleichzeitig mit Scans nach port 445 begonnen. Was ist passiert?

Eine Gemeinsamkeit läßt sich bei all diesen Maschinen finden: Sie haben zwei Domainnamen augerufen, die von vornherein verdächtig klingen, etwa wie ykjzaluthux.net, wimmugmq.biz¹ etc. Manchen dieser Domains waren im DNS auch IP-Adressen zugewiesen.

Weitere Untersuchungen haben gezeigt, daß betroffene Rechner jeden Tag andere, aber stets ähnliche Domains aufgerufen haben, die auch immer zu den selben IP-Adressen geführt haben.

DNS als IDS

Der Gedanke liegt nahe, die rekursiven Nameserver als IDS zu benutzen. Eine Möglichkeit besteht darin, die entsprechenden Domains auf einen Server zeigen zu lassen, der Zugriffe registriert und einen Alarm auslöst. Alternativ kann man auch die entsprechende DNS-Abfrage selbst als Trigger verwenden.

Eines fehlt dem ganzen jedoch: Welche Domainnamen werden von dem Botnet "heute" verwendet? Beim Passive-DNS-Server kann ganz einfach die IP-Adresse auf ihre Domainnamen zurückgeführt werden.

Es konnten tatsächlich weitere befallene Rechner identifiziert werden; es hat sich übrigens herausgestellt, daß der Schädling der Conficker-Wurm war.

¹ Domainnamen von der Redaktion geändert.