Fragen und Antworten zu Conficker. Ralf Benzmüller, Leiter G DATA Security Labs. Geschützt. Geschützter. G DATA.

Transkript

1 Fragen und Antworten zu Conficker Ralf Benzmüller, Leiter G DATA Security Labs Geschützt. Geschützter. G DATA.

2 Fragen und Antworten zu Conficker Conficker - auch unter den Namen Downadup, Downad und Kido.ih bekannt - ist der erfolgreichste Wurm der letzten 12 Monate. Hier finden Sie Antworten auf die wichtigsten Fragen. Wie gefährlich ist Conficker wirklich? Conficker nutzt eine Schwachstelle im RPC-Dienst von Windows, die im Oktober von Microsoft durch ein außerordentliches Patch geschlossen wurde. Dazu wird eine präparierte Anfrage an einen Rechner gestellt. Wenn er für die Schwachstelle anfällig ist, wird eine Schaddatei an den Opferrechner geschickt. Es wird ein HTTP-Server installiert und der neu infizierte PC versendet präparierte Anfragen an andere Rechner und liefert ggf. die Schaddateien nach. Zusätzlich verbreitet sich Conficker in lokalen Netzwerkfreigaben, die mit schwachen Passwörtern geschützt sind und nutzt den Autostart-Mechansimus von USB-Wechseldatenträgern, wie Festplatten, Sticks, Fotokameras etc. Diese Kombination macht ihn zum effektivsten Wurm der letzten 12 Monate. So waren etwa 3000 Rechner der Kärntner Landesregierung und zahlreiche Krankenhäuser in Österreich und England befallen, und Teile der französischen Marine waren lahm gelegt. Nach erfolgreicher Infektion werden weitere Schaddateien von verschiedenen Domains heruntergeladen, die u.a. Scareware auf dem Rechner installieren. Um den Kontakt zu den Botnetz-Servern nicht zu verlieren generiert Conficker anhand des Datums täglich ca. 250 neue Domainnamen. Die derzeitige Infektionswelle deutet darauf hin, dass die Urheber des Conficker-Wurmes das Fundament für eine neue Generation von Botnetzen legen. Momentan stehen die infizierten Maschinen quasi Gewehr bei Fuß, möglicherweise werden die Cyber-Kriminellen aber schon bald zum Angriff blasen und das vorbereitete Botnetz in einer konzertierten Aktion losschlagen lassen. Wie viele Rechner sind damit infiziert? Die Schätzungen gehen weit auseinander und reichen von einigen Hunderttausend bis zu über zehn Millionen infizierten Maschinen. Eine genaue Messung gestaltet sich schwierig. Viele infizierte Rechner verbinden sich mit mehreren Control-Servern, so dass sie mehrfach gezählt werden können. Andererseits können hunderte infizierte Rechner in Unternehmensnetzwerken nach außen hin wie ein einzelner infizierter Rechner erscheinen. Aber selbst bei konservativer Schätzung entsteht so eins der leistungsfähigsten Botnetze. 1

3 Wie kann man sich schützen? Am Beispiel Conficker zeigt sich drastisch die essentielle Bedeutung eines funktionierenden Patch-Managements. Die im Betriebssystem zu suchende Sicherheitslücke, die Conficker sich zunutze macht, ist bereits seit Oktober 2008 bekannt. Seitdem bietet Microsoft auch das zugehörige Update an, mit dem sich diese Lücke schließen lässt. Leider haben es viele der verantwortlichen Netzwerkadministratoren versäumt, rechtzeitig zu reagieren, und den bereitstehenden Patch zeitnah einzuspielen. Als weiterer entscheidender Faktor ist die Vergabe geeigneter Passwörter für Netzwerkfreigaben und Benutzerkonten zu nennen. Ein simples Passwort wie oder admin bietet keinerlei Sicherheit, was die Schöpfer von Conficker gnadenlos ausnutzen. Darüberhinaus gibt es in vielen Unternehmen keine festen Richtlinien Bezüglich des Einsatzes von Wechseldatenträgern wie z.b. USB-Sticks, die einen der Hauptverbreitungswege für Conficker darstellen. Der Autostart-Mechanismus ist auf den meisten Rechnern aktiviert und wird nicht nur von Conficker sondern auch von vielen anderen Schädlingen zur Verbreitung genutzt. Die Deaktivierung der Autostartfunktion beeinträchtigt allerdings den Nutzungskomfort von CDs. Einen interessanten Dienst bietet OpenDNS. Sie erkennen mit Conficker infizierte PCs im Netzwerk und blockieren den Zugang zu den 250 täglich neuen Botnetz-Domains. So bleibt der Zombie-PC zwar infiziert - aber ohne Befehle vom Meister auch inaktiv. Wie erkennt man, ob Conficker installiert ist? Ein umfassender Virenschutz mit aktuellen Signaturen ist in der Lage, Conficker zu erkennen. Wer seine Hausaufgaben nicht gemacht hat und systeminterne Hintertüren offenstehen lässt, indem kritische Patches nicht eingespielt werden, wird einige Mühe aufbringen müssen, der Infektion Herr zu werden. Conficker verwendet zufällige Zeichenfolgen als Dateinamen. Dadurch wird es schwierig die Dateien zu finden. Er registriert sich als Systemdienst mit zufälligem Namen. An diesen Stellen wird die Registry modifiziert: HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\ Services\ [Zufälliger Name für den Dienst] Image Path = %System Root%\system32\svchost.exe -k netsvcs HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\ Services\[Zufälliger Name für den Dienst]\Parameters ServiceDll = [Pfad und Dateiname der Malwaredatei] HKEY _ LOCAL _ MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\SvcHost 2

4 Man erkennt ihn daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren: Windows Security Center Windows AutoUpdate Windows Defender Error Reporting Service Der Zugang zu Webseiten mit folgenden Zeichenfolgen wird unterbunden. Darunter die Webseiten der wichtigsten AV-Hersteller (auch G DATA) und Malware-Informationsportale: virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-secure, kaspersky, jotti, f-prot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate Netzwerkadministratoren erkennen infizierte Rechner am erhöhten Traffic auf Port 445. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners durch den Aufruf von einer der folgenden Seiten: Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com baidu.com google.com msn.com yahoo.com Rechner, die auf diese Domains zugreifen, könnten befallen sein. 3

5 Wie kann man Conficker wieder entfernen? Ein umfassender Leitfaden zur manuellen Desinfektion verseuchter Systeme ist bei Microsoft erhältlich: Da der Schädling komplex gestaltet ist und an vielen Stellen gleichzeitig in das befallene System eingreift, kann die manuelle Bereinigung sich sehr mühsam gestalten. G DATA empfiehlt daher die Entfernungsroutinen der installierten Antiviren-Software oder die aktuelle Version des MSRT ( Tool zum Entfernen Bösartiger Software ) zu verwenden. 4