Georgien hat einige Erfahrung mit Angriffen aus dem Cyberspace, wird das Land doch immer mal wieder Ziel von mehr oder weniger spektakulären Hacker-Attacken. Inzwischen scheinen die in der Regierung mit der Abwehr dieser Angriffe ihren Job durchaus mit einer gehörigen Portion Humor anzugehen. Dies lässt ein Bericht über die Abwehr von Angriffen aus dem Georbot-Botnet zumindest vermuten, werden dort doch ungewöhnliche Maßnahmen beschrieben.

Die Verantwortlichen setzten einen Labor-PC auf, der eine Zip-Datei namens „Georgian-Nato Agreement“ enthielt. Der Trick dabei: Bei dem Archiv handelte es sich um Malware - und zwar genau die Malware, die der Betreiber von Georbot für seine Attacken auf die Regierungsrechner nutzt.

Das Ganze klingt wie ein schlechter Hollywood-Thriller, war aber erfolgreich: Laut dem Bericht schluckte der Kriminelle den Köder, kopierte sich das Archiv und infizierte seinen Rechner mit seiner eigenen Malware. Dadurch erhielten die Behörden nicht nur den kompletten Zugriff auf seinen PC, sondern konnten zudem die Kontroll-Server für das Botnet übernehmen und Videoaufnahmen des Verdächtigen aufzeichnen.

Dank der Daten konnten die Ermittler im Zeitraum vom September 2010 bis März 2012 zahlreiche Kontroll-Server lahmlegen. Im Bericht finden sich zehn Adressen, die Server standen in Ländern wie Georgien, Deutschland, den USA, Frankreich oder Ungarn. Diese Server kontrollierten 390 infizierte PCs, die meisten davon standen in Georgien. Das liegt auch daran, dass die Malware beim Infizieren die Zeitzone überprüft. Nur wenn diese auf UTC +3 oder UTC + 4 eingestellt ist, verändert der Virus die Datei iexplorer.exe und kommuniziert mit dem Kontroll-Server. Ist die Verbindung erfolgreich, erstellt die Malware die Datei usbserv.exe und schreibt einen Autostart-Eintrag.

Der komplette Bericht steht hier als PDF-Download zur Verfügung. Allerdings ist die Methode, auch wenn sie scheinbar erfolgreich war, gesetzestreuen Administratoren nicht ans Herz zu legen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.