Wie man 16 000 angegriffene Server im Netz identifiziert

Spektrum der Wissenschaft

10.9.2025

Forschende zogen im grossen Massstab kompromittierte Server aus dem Verkehr. Dafür nutzten sie Eigenarten eines weitverbreiteten Internetprotokolls und schlagen die Angreifer so mit ihren eigenen Waffen.

Eines der am häufigsten genutzten Netzwerkprotokolle ist «Secure Shell» (ssH). Es stellt einen verschlüsselten Kanal zwischen Client und Server her, über den man Dateien sicher übertragen oder Systeme aus der Ferne routinemässig warten und konfigurieren kann. Ein zentrales Element des Protokolls sind sogenannte Public Keys, also öffentliche Schlüssel, über die die Server den Client authentifizieren – und hier liegt auch eine Schwachstelle. Beispielsweise erraten Angreifer schwache Passwörter und installieren eigene ssH-Schlüssel. So verschaffen sie sich dauerhaft Zugriff auf den Server. Und damit nicht genug: Legitime Nutzerinnen und Nutzer bekommen davon oftmals gar nichts mit, denn ihr Passwort bleibt trotz des Angriffs unverändert. Derart kompromittierte Server im gesamten Internet zu identifizieren, ist äusserst schwierig.

Hoffnung macht nun ein Ansatz, der das lange bekannte Internetprotokoll auf eine neue Weise nutzt. Ein Team des Max-Planck-Instituts (MPI) für Informatik und der Technischen Universität Delft konnte darüber angegriffene Server im grossen Massstab im Internet identifizieren. Dabei machte es sich eine Eigenart des ssH-Authentifizierungsprotokolls zunutze, die oft übersehen wird. Um sich zu authentifizieren, muss ein Client zuerst den öffentlichen Schlüssel eines Public-Private-Schlüsselpaars an den Server senden. Der Server prüft dann, ob dieser Schlüssel für die Autorisierung zur Verfügung steht. Das spart Rechenleistung, denn bloss wenn der übersandte Schlüssel auch wirklich zur Authentifikation vorgesehen ist, schickt der Server dem Client eine «Challenge-Response», also eine Aufgabe, die der Client nur mithilfe seines öffentlichen Schlüssels lösen kann.

Die Forschenden nutzten diesen Mechanismus nun, um kompromittierte Systeme zu identifizieren. Insgesamt 52 solcher Public Keys, die von früheren Angriffen durch Gruppen wie wie «teamtnt», «mozi» oder «fritzfrog» bekannt sind, haben sie an alle mit dem Internet verbundenen ssH-Server geschickt. Reagiert nun einer dieser Server mit einer Challenge auf einen der Schlüssel, dann ist klar: Angreifer haben einen eigenen Schlüssel auf dem System installiert – der Server wurde kompromittiert.

Insgesamt deckten die Scans mehr als 16 000 kompromittierte Server bei Hosting-Anbietern, in Unternehmen und in Forschungseinrichtungen auf, von denen viele mit bekannter Malware-Infrastruktur verknüpft waren. Nachdem betroffene Netzwerkbetreiber über den Befall informiert wurden, ging die Zahl der kompromittierten Hosts deutlich zurück, wie Folgeuntersuchungen zeigten.

Den Forschenden zufolge macht der neue Ansatz das Internet weltweit sicherer. Angreifer können die Erkennung nämlich nicht ohne Weiteres umgehen, indem sie für jedes kompromittierte System nun individuelle Schlüssel einsetzen. Das sei in der Masse, wie grosse ferngesteuerte Zusammenschlüsse von Geräten Botnetze, es erfordern würden, operativ nicht machbar, sagt Anja Feldmann vom MPI. Damit werde die Strategie der Angreifer, sich langfristig Zugang zu Systemen zu verschaffen, in ein zuverlässiges Signal zur Verteidigung verwandelt.

Originalartikel auf Spektrum.de

Spektrum der Wissenschaft

Wissenschaft aus erster Hand

dirdjaja@spektrum.de

Experten aus Wissenschaft und Forschung berichten über die aktuellen Erkenntnisse ihrer Fachgebiete – kompetent, authentisch und verständlich.

Folgen

---

Security

Folge Themen und erhalte Updates zu deinen Interessen

Thema folgen

---

News & Trends

Vom neuen iPhone bis zur Auferstehung der Mode aus den 80er-Jahren. Die Redaktion ordnet ein.

Alle anzeigen

Diese Beiträge könnten dich auch interessieren