---

---

01.09.2025 14:15

Europäisches Forscherteam für die Entdeckung von mehr als 16.000 kompromittierten Servern ausgezeichnet

Philipp Zapf-Schramm Presse- und Öffentlichkeitsarbeit
Max-Planck-Institut für Informatik

Ein Team des Max-Planck-Instituts (MPI) für Informatik hat zusammen mit der Technischen Universität Delft eine neue Methode entwickelt, die es erlaubt, von Angreifern übernommene Server im großen Maßstab im Internet zu identifizieren. Die Methode basiert darauf, Server mit einer oft übersehenen Mechanik des SSH-Protokolls auf SSH-Public-Keys zu prüfen, die zuvor in Angriffskampagnen beobachtet wurden. Das Team fand so mehr als 16.000 kompromittierte Systeme. Die Ergebnisse wurden auf einer der weltweit führenden Konferenzen für Computer- und Netzwerksicherheit veröffentlicht und dort mit einem „Distinguished Paper Award“ sowie dem renommierten „Internet Defense Prize“ ausgezeichnet.

„Secure Shell“ (SSH) gehört zu den am häufigsten genutzten Netzwerkprotokollen, um Server zu administrieren. SSH stellt einen sicheren, verschlüsselten Kanal zwischen Client und Server bereit und ermöglicht, sich über diese Verbindung sicher anzumelden, um Befehle auszuführen oder Dateien sicher zu übertragen. Systemadministratorinnen und Systemadministratoren und Entwicklerinnen und Entwickler setzen SSH routinemäßig zur Wartung und Konfiguration von Servern ein. Wird ein Server kompromittiert, zum Beispiel dadurch, dass Angreifer ein schwaches Passwort raten, installieren diese oft einen eigenen SSH-Schlüssel (eine Methode zur passwortlosen Authentifikation), um sich dauerhaften Zugriff zu verschaffen. Diese Vorgehensweise ist besonders unauffällig: Da das Passwort der legitimen Nutzer unverändert bleibt, fällt es oft nicht auf, dass ein System kompromittiert wurde. Derartig kompromittierte Server im gesamten Internet zu identifizieren, ist äußerst schwierig.

Auf dem „USENIX Security Symposium 2025“, einer der weltweit führenden Konferenzen für Computer- und Netzwerksicherheit, stellte das Team, bestehend aus Cristian Munteanu, Prof. Dr. Anja Feldmann und Dr.-Ing. Tobias Fiebig vom MPI für Informatik in Saarbrücken sowie Prof. Dr. Georgios Smaragadakis von der TU Delft in den Niederlanden, seine Arbeit „Catch-22: Uncovering Compromised Hosts using SSH Public Keys“ vor.

Der Ansatz nutzt eine oft übersehene Eigenart des SSH-Authentifizierungsprotokolls: Um sich mit einem Public-Key zu authentifizieren, muss ein Client zuerst den öffentlichen Schlüssel des Public-Private-Schlüsselpaars, mit dem er sich authentifizieren möchte, an den Server senden. Dies dient dazu, dass der Server prüfen kann, ob dieser Schlüssel für die Autorisation zur Verfügung steht, um nicht von Angreifern dazu gebracht zu werden, Rechenleistung auf das Generieren und Signieren von für die Authentifikation notwendigen „Challenge Response“-Nachrichten zu verschwenden. Entsprechend antwortet der Server nur dann mit einer „Challenge“, wenn der zuvor übersandte Schlüssel zur Authentifikation vorgesehen ist. Die Forschenden nutzten dies nun dazu, kompromittierte Systeme zu identifizieren, indem sie Public-Keys, welche zuvor bei Angriffen beobachtet wurden, an alle mit dem Internet verbundenen SSH-Server schickten. Wenn nun ein System mit einer „Challenge“ auf einen dieser Schlüssel reagiert, ist dies ein klares Indiz dafür, dass Angreifer einen Schlüssel auf dem System installiert haben, also das System kompromittiert wurde. Dabei ist den Forschenden ein unautorisierter Zugriff auf entdeckte kompromittierte Systeme nicht möglich. „Wichtig ist: Wir schließen die Authentifikation nie ab und haben auch keinen Zugang zu den privaten Schlüsseln – allein die Antwort mit der „Challenge“ genügt“, erklärt Erstautor Cristian Munteanu.

Das Team setzte die Methode im großen Maßstab um, indem sie sowohl den IPv4- als auch den IPv6-Adressraum auf 52 Schlüssel überprüften, die von einem kollaborierenden Unternehmen aus der Sicherheitsindustrie bekannten Gruppen wie „teamtnt“, „mozi“ oder „fritzfrog“ zugeordnet wurden. Um die Genauigkeit zu erhöhen, testeten sie ihre Ergebnisse im Voraus mit verschiedenen SSH-Implementationen und setzten „Canary-Keys“ ein, um fehlerhafte Server, welche immer mit einer „Challenge“ antworten, herauszufiltern. Ein „Canary“-Schlüssel ist ein zufällig erzeugter SSH-Schlüssel, der entsprechend auf keinem Server installiert ist und daher nie einen Treffer erzeugen kann. Reagiert dennoch ein Server auf diesen Schlüssel, wird er aus der Analyse ausgeschlossen, um die Ergebnisse nicht zu verfälschen. Insgesamt deckten die Scans über 16.000 kompromittierte Server bei Hosting-Anbietern, in Unternehmen und in Forschungseinrichtungen auf, von denen viele mit bekannter Malware-Infrastruktur verknüpft waren.

Um über die Messungen hinaus auch einen Beitrag zur Internetsicherheit zu leisten, arbeitete das Team mit der Shadowserver Foundation und dem Bundesamt für Sicherheit in der Informationstechnik sowie dem dort angesiedelten „Computer Emergency Response Team“ für Bundesbehörden (CERT-Bund) zusammen. Die Shadowserver Foundation ist eine gemeinnützige Organisation, die darauf spezialisiert ist, von Sicherheitsvorfällen und Schwachstellen betroffene Netzwerkbetreiber und verantwortliche nationale CERTs zu informieren. Folgeuntersuchungen nach den Meldungen durch die Shadowserver Foundation zeigten, dass die Zahl der kompromittierten Hosts deutlich zurückging.

„Mit Catch-22 zeigen wir, dass selbst ein lange bekanntes Internetprotokoll auf neue Weise genutzt werden kann, um die Sicherheit im Internet global zu verbessern. Angreifer können auch nicht so einfach die Erkennung umgehen, indem sie für jedes kompromittierte System individuelle Schlüssel einsetzen – die Verwaltung von tausenden solcher Schlüssel in großen Botnetzen ist operativ nicht machbar“, betont Anja Feldmann, Wissenschaftliche Direktorin der Abteilung Internetarchitektur am MPI für Informatik.

Dadurch, zu testen, ob Public-Keys von Angreifern akzeptiert werden, erlaubt es die neue Methode, kompromittierte Systeme mit hoher Zuverlässigkeit über das Internet zu identifizieren. Damit wird die Strategie der Angreifer, sich langfristigen Zugang zu Systemen zu verschaffen, in ein zuverlässiges Signal zur Verteidigung verwandelt – und zugleich ein praktisches Werkzeug geschaffen, das die Internetsicherheit stärkt.

Die Arbeit erhielt beim diesjährigen USENIX Security Symposium sowohl einen „Distinguished Paper Award“ als auch den „Internet Defense Prize“. Der Preis wird seit 2014 von Meta finanziert und gemeinsam mit USENIX verliehen. Die Auswahl der Auszuzeichnenden sowie die Preisvergabe erfolgt unabhängig durch das „USENIX Security Awards Committee“.

Pressekontakt:
Philipp Zapf-Schramm
Digital Communications Manager MPI für Informatik
Tel: +49 681 9325 4509
Email: pzs@mpi-inf.mpg.de

---

Wissenschaftliche Ansprechpartner:

Dr.-Ing. Tobias Fiebig
Senior Researcher, Abteilung Internetarchitektur am MPI für Informatik
Email: tfiebig@mpi-inf.mpg.de

---

Originalpublikation:

Munteanu, C., Smaragdakis, G., Feldmann, A., Fiebig, T. (2025). Catch-22: Uncovering Compromised Hosts using SSH Public Keys. In 34th USENIX Security Symposium. USENIX. https://www.usenix.org/system/files/usenixsecurity25-munteanu.pdf

---

Weitere Informationen:

https://edmond.mpg.de/dataset.xhtml?persistentId=doi:10.17617/3.LVPCS6 Open-Access-Zugang zu dem neu entwickelten Detektionswerkzeug
https://www.mpi-inf.mpg.de/de/departments/inet Webseite der Abteilung Internetarchitektur des MPI für Informatik
https://www.shadowserver.org/what-we-do/network-reporting/compromised-ssh-host-s... Shadowserver Special Report

---

<
Cristian Munteanu, Erstautor des nun ausgezeichneten Papers.
Quelle: Philipp Zapf-Schramm
Copyright: MPI für Informatik

---

Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik
überregional
Forschungsergebnisse
Deutsch

---