Friedrich-Schiller-Universität Jena. Hausarbeit

Transkript

1 Friedrich-Schiller-Universität Jena Fakultät für Mathematik und Informatik Hausarbeit Seminar - Informatik und Gesellschaft im SS 2010 Gefahr im Internet - Gefahr aus dem Internet Thema: Botnets - Das Stormworm-Botnet Seminarleiter: Prof. Dr. Eberhard Zehendner Jena, 23. August 2010

2 Inhaltsverzeichnis Inhaltsverzeichnis I 1 Einleitung und Botnetze allgemein Funktionsweise Schutzmaßnahmen Allgemeine Schutzmaßnahmen Beispiel: Rechenzentrum Universität Jena Gewinner und Verlierer Das Organisierte Verbrechen Zerschlagene Botnetze Das Storm-Worm-Botnetz allgemein Ursprung und allgemeine Informationen Chronologie des Storm-Worm Größe des Storm-Worm-Botnetzes Hintermänner des Botnetzes Das Storm-Worm-Botnetz im Detail Funktionsweise Betriebsmodi Kommunikation Verbreitung des Bots Spam Internetseiten Exploits Blogs Schutzmaßnahmen Allgemeine Vorgehensweise Microsoft Malicious Software Removal Tool (MSRTT) Walled Gardens Das Tool Stormfucker Manuelle Entfernung Abwehrmechanismus des Bots Aktuelles über das Storm-Worm-Botnetz Aktuelle Neuigkeiten Fazit und Zukunftsprognosen Anhang - Grafiken zum Stormworm 22 Literaturverzeichnis und weiterführende Literatur 26 I

3 1 Einleitung und Botnetze allgemein Das Internet ist aus der heutigen Gesellschaft nicht mehr weg zu denken. Zum einem ist der Zwang und das Bedürfnis nach Kommunikation ein Grundbaustein des Erfolgs des Internets und zum anderen seine riesigen Mengen an Informationen. Aber genau dieses Bedürfnis, oder man kann immer häufiger auch von Abhängigkeit sprechen, macht die Nutzer des Internets so angreifbar und verletzbar. Denn mit dem Internet sind nicht nur vielfältige Kommunikationsmöglichkeiten und eine Fülle an Wissen verbunden sondern auch das Geld. Laut Angaben von EITO (European Information Technology Observatory) nutzten Anfang 2008 über 1,23 Milliarden Menschen das Internet. In der Europäischen Union nutzten zu dieser Zeit mehr als die Hälfte der 500 Millionen EU-Bürger regelmäßig das Internet. Betrachtet man allein genommen die steigendem Umsätze durch Einkäufe auf sogenannten Online-Shops, so wird schnell klar welche Mengen an Geld hier umgesetzt werden. Und wie zu vielen Zeiten der Menschheitsgeschichte gibt es dort Kriminelle wo es auch etwas zu holen gibt, dies gilt besonders für das Geld. Es ist also nicht verwunderlich, dass es im Bereich der Cyberkriminalität eine breite Palette an Verbrechen gibt. Hier seien Spam- s, Trojaner, Phishing-Betrug und Botnetze zu nennen. In der vorliegenden Arbeit soll es speziell um den Aufbau, die Funktionsweise und Schutzmaßnahmen gegen solche Botnetze gehen. Im Detail wird dann in Kapitel 2 bis 4 auf den Storm-Worm und das darauf aufbauende Storm-Worm-Botnetz eingegangen. Unter einem Bot versteht man eine spezielle Art von Schadsoftware (Malware), welche sich oftmals ohne Wissen des Betroffenen auf dessen Computer installiert. Dem Bot stehen dann später die Ressourcen und Daten des Computers zur Verfügung. Ein Zusammenschluss vieler solcher Bots über Medien wie z. B. das Internet bezeichnet man als Botnetz. Die meisten Bots können von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache zutreffend als Command-and-Control-Server bezeichnet [6]. In der vorliegenden Arbeit wird hierfür die Kurzform: C & C- Server verwendet. Die Einsatzgebiete solcher Bots bzw. des Botnetzes sind unter anderem das Versenden von Spam- s, Datendiebstahl und DDos-Attacken. Unter der DDos-Attacke (Denial of Service- Attacke, auf deutsch Dienstverweigerung) versteht man eine Überlastung eines Computers, eines Servers oder eines ganzen Systems durch einen gezielten Angriff durch das Botnetz. Ziel ist es das Opfer in seiner Kommunikation zu beeinträchtigen oder es komplett auszuschalten. Dies kommt z. B. bei der Erpessung von Firmen durch Botnetzbetreiber vor oder beim Versuch Antivirensoftwarehersteller auszuschalten. Hierauf wird später beim Beispiel des Storm-Worm-Botnetzes näher eingegangen. Mit Wachstumsraten von bis zu 500 Prozent stellen Botnetze die größte Bedrohung der Gesamtstruktur des heutigen Internet dar. Es ist von daher wichtig diese Gefahr nicht außer Acht zu lassen und sie im Detail näher zu untersuchen. 1

4 1.1 Funktionsweise Die klassischen Botnetze verwenden zur Kommunikation und zur Koordination der einzelnen Bots die bereits erwähnten C & C - Server. Dieser Server ist in den meisten Fällen ein Computer welcher vom Betreiber des Botnetzes direkt gesteuert wird und mit welchem alle Bots des Botnetzes verbunden sind. Von dort werden die Befehle an alle Mitglieder des Netzes weitergeleitet und dann ausgeführt. Abb. 1: Struktur eines C & C - Server-Netzwerkes Quelle [1] Der Vorteil hierbei ist der unmittelbare Zugriff und der Einfluss auf das gesamte Netzwerk. Der Nachteil allerdings ist, dass bei Deaktivierung dieses Servers das Botnetz faktisch tot ist. Je nach Standpunkt, also ob man ein Betreiber eines solchen Botnetzes ist oder eine Institution im Kampf gegen solche Botnetze, kann man den Vor- und Nachteil auch andersherum auslegen. Modernere Botnetze wie z. B. das Storm-Worm-Botnetz verwenden eine P2P (Peer-To- Peer) Struktur, welche eine Kommunikation zwischen einzelnen Bots ermöglicht. Das Vorhandensein eines C & C - Servers ist somit nicht mehr zwingend notwendig, kann allerdings in modifizierter Form trotzdem vorkommen. Der Vorteil hierbei ist die erschwerte Deaktivierung des gesamten Netzes, da es faktisch kein zentrales Steuerungsorgan gibt. Der Nachteil ist ein erhöhtes Maß an Koordinationsaufwand auf Seiten des Betreibers und die etwas langsamere Ausführung von Befehlen durch das gesamte Botnetz. Auch hier gilt wieder die Auslegung nach Standpunkt. 2

5 Abb. 2: Struktur eines Peer-To-Peer-Netzwerkes Quelle [1] 1.2 Schutzmaßnahmen Allgemeine Schutzmaßnahmen Die allgemeinen Schutzmaßnahmen gegen Botnetze sind nicht so zahlreich wie dessen Einsatzgebiete, doch können sie dennoch sehr effektiv sein. Zum einen wäre da der Einsatz von beliebiger Antivirensoftware. Diese kann unter Umständen in der Lage sein die Schadsoftware vom System zu entfernen. Allerdings wird bei der Vielzahl an Botnetzen und den immer ideenreicheren Umsetzungen dieser, die Wahrscheinlichkeit eines Erfolges immer geringerer. Als zweites wäre der Einsatz von Firewalls zu nennen. Diese entfernen den Bot zwar nicht, können allerdings seine Kommunikation zum Rest des Netzes unterbinden, womit er praktisch nicht als aktiv angesehen werden kann. Der dritte und oftmals unterschätzte Punkt sind Updates des Betriebssystems. Hierdurch werden je nach System von Zeit zu Zeit Sicherheitslücken geschlossen, welche es dem Bot erschweren seine Aktionen auszuführen. Also vierten und letzten Punkt sei der Einsatz von Spezialsoftware zu nennen. Diese ist in den meisten Fällen auf bestimmte Schädlinge zugeschnitten und entfernt diese somit mit einem erhöhten Maß an Effektivität. Als Beispiele für Storm wird in Kapitel 3.3 auf MSRTT und auf Stormfucker eingegangen. Bermerkung: Bei allen Sicherheitsvorkehrungen und allem Einsatz von Schutzsoftware kann diese jedoch nicht das unvorsichtige Verhalten des Benutzers ausgleichen. Von daher besagt die wichtigste Regel, dass man sich im Internet mit Bedacht und Vorsicht bewegt. Denn sehr viele dieser Schädlinge würden mit so einem Verhalten garnicht erst auf das eigene System gelangen können! 3

6 1.2.2 Beispiel: Rechenzentrum Universität Jena Nachdem im vorherigen Abschnitt auf allgemeine Schutzmaßnahmen eingegangen wurde, soll nun kurz auf ein konkretes Beispiel eingegangen werden. Hierzu wurde der Kontakt zum Rechenzentrum der Friedrich-Schiller-Universität Jena aufgenommen, um aufzuzeigen wie ein solches Netzwerk sich gegen Botnetze schützen würde bzw. kann. Der dortige Ansprechpartner war Gunnar Pfeil. Der Provider, welche die Internetanbindung für das Rechenzentrum zur Verfügung stellt, ist das Deutsche Forschungsnetzwerk (DFN). Innerhalb des DFN existieren sogenannte Computer Response Teams, kurz CERT s, welche sich mit Anomalien und Abweichungen innerhalb des Netzes beschäftigen. Dieser Service ist bereits ein Bestandteil der Kosten für die Internetanbindung. Stellt solch ein Team Anomalien fest, so nimmt es Kontakt zu anderen CERT s (auch im Ausland) auf und erfragt ob dort auch ähnliche Aktivitäten festgestellt wurden. Wurde die Quelle der Störung, z. B. die IP-Adresse oder der Standort des Computers festgestellt, so wird der Betreiber / Verwalter dieses Anschluss darüber, im Normalfall, per informiert. Hat das Rechenzentrum nun diesen Hinweis bekommen, oder hat dies bereits durch netzinterne Netflow-Analysen festgestellt, stellt sich die Frage nach der weiteren Vorgehensweise. Zum einen darf die Forschung der an das Netz Angeschlossenen nicht beeinträchtigt werden, aber zum anderen muss auch die Sicherheit gewährleistet sein. Eine Möglichkeit wäre die Drosselung der Geschwindigkeit des Anschluss um die Aktivitäten gering zu halten und somit die Attraktivität für Kriminelle zu senken. Eine andere Möglichkeit wäre es den Anschluss komplett abzuschalten und danach vor Ort das Gerät zu bereinigen. Sollte es sich um einen größeren Befall handeln ist eine Einteilung in Brandschotts möglich, das heißt dass die Firewall wie eine Diode geschaltet werden würde. Bots und Trojaner könnten so nur noch im Subnetz scannen, aber z. B. nicht in anderen Fakultätssubnetzen. Allerdings muss es nicht so sein, dass das Rechenzentrum Hinweise vom DFN erhält oder selbst Auffälligkeiten entdeckt. Hier würde ein Scan des Traffics der am Netzwerk angeschlossen Computer helfen. Dies würde aber eine große Menge an Daten bedeuten, welche von einem zusätzlichen Mitarbeiter analysiert werden müsste. Dies wäre aber zu aufwendig und zu teuer. Zusammenfassend lässt sich hier feststellen, dass es zwar Methoden gibt infizierte Computer innerhalb des Netzes zu erkennen, diese allerdings nicht direkt auf Botnetze zugeschnitten sind und es auch sonst keine speziellen Schutzmechanismen für diese Bedrohung gibt. 4

7 1.3 Gewinner und Verlierer Das Organisierte Verbrechen Jede Schadsoftware und speziell jedes Botnetz braucht einen Urheber bzw. einen Betreiber. Durch die Möglichkeiten der digitalen Medien ist eine Verfolgung dieser Personen nur schwierig möglich. So laufen viele der Transaktionen bzw. Aktionen über Server welche sich überall auf dem Globus befinden können. Eine Rückverfolgung über mehrere solcher Stationen ist oftmals sehr schwer bis aussichtslos. Zum anderen sind gerade bei Botnetzen, die ausführenden Organe die infizierten Computer von meist unwissenden Internetnutzern. Die Urheber bleiben oft verborgen. Hinzu kommt die Tatsache, dass falls es sich um eine Gruppierung von Kriminellen handelt, diese nicht unbedingt lokal beschränkt sein muss. Durch die digitalen Medien ist ein Austausch über Ländergrenzen bzw. Kontinentalgrenzen kein Problem mehr. Für die Behörden ergeben sich hieraus allerdings rechtliche und auch diplomatische Probleme. Selbst für den Fall, dass Verdächtige identifiziert oder Schadsoftware-vertreibende Server entdeckt wurden, kann es sein dass deren Aufenthalts- bzw. Standort in einem Land liegen in welchem es kaum oder garkeine Gesetze gegen Internetkriminalität gibt. Dieser Effekt wird noch verstärkt, indem Länder wie z. B. die USA ihre Gesetze verschärfen. Dies hat nicht in etwa eine Abschreckung von kriminellen Handlungen im Internet zur Folge, sondern dass die Organisationen ihre Basis in Länder verlegen welche in diesem Bereich mehr Lücken aufweisen oder garkeine Gesetze diesbezüglich haben (als Beispiele: Südostasien, Lateinamerika und Teile Europas). Abhilfe hiervon könnten international gültige Gesetze sein bzw. Auslieferungsabkommen für den Fall einer Personenfeststellung oder die Anforderung von Datenmaterial, welches auf den betreffenden Servern liegen. Abschließend sei noch das komplizierte Bankenrecht erwähnt. Es kann möglich sein, dass Urheber solcher Botnetze durch Transaktionen auf ausländischen Konten überführt werden könnten. Hierfür gelten allerdings andere Gesetze welche den Zugriff auf genannte Personen noch weiter erschweren Zerschlagene Botnetze Dem organisierten Verbrechen gegenüber stehen auch eine Reihe von Behörden und Organisation, welche dieses bekämpfen. Trotz der vielen Problemstellungen und Hürden, wie z. B. die erschwerte rechtliche Verfolgung über die Landesgrenzen hinaus, gelingen durch groß angelegte Aktionen auch Erfolge. Im Folgenden soll auf eine Auswahl erfolgreicher Aktionen gegen das organisierte Verbrechen, und speziell gegen Botnetz-Betreiber, eingegangen werden. Ebay und Online-Shops: Am 7. Oktober 2005 gelang es der Polizei drei Verdächtige festzunehmen, welche unter dem Verdacht standen in Benutzerkonten von Ebay und Paypal eingedrungen 5

8 zu sein, sowie diverse Online-Shops erpresst zu haben. Laut Angaben der zuständigen Behörden, soll das dafür verwendete Botnetz aus mehr als Computern bestanden haben. Dies ist, wie sich in den folgenden Beispielen zeigen wird, ein eher kleineres Netzwerk. Quelle [5]. Bekannter Internetkriminieller AKILL : Den US-amerikanischen Behörden gelang es am acht Verdächtige festzunehmen. Der Anführer dieser Gruppe ist ein damals 18-jähriger Neuseeländer mit der bekannten Online-ID AKILL gewesen. Der Bande wird vorgeworfen Spam- s in großem Umfang versendet und eine Reihe von DDos-Attacken ausgeführt zu haben. Laut damaligen Schätzungen belief sich die Größe des Netzwerkes, bestehend aus infiltrierten Computern weltweit, auf ca Computer. Entdeckt wurde das Ganze durch einen 21-jährigen Amerikaner, welcher das Botnetz für einen Angriff auf die Universität von Pennsylvania gemietet hatte. Zuständig für die Aktion war die internationale Antibotnetz- Operation Bot Roast II, bestehend aus FBI, New Zealand Police und dem U.S. Secret Service. Quelle [34] Das Shadow-Botnetz : Im Jahre 2008, genauer am wurden der Betreiber des bekannten Shadow- Botnet von der High Tech Crime Unit der niederländischen Polizei festgenommen. Es handelte sich dabei um einen 19-jährigen Mann. Das Botnetz, bestehend aus ca Computern versendete Spam- s und starte mehrere DDos-Attacken. Beim Versuch das Botnetz an einen Brasilianer zu verkaufen, wurden die Behörden aufmerksam. Quelle [14] Das Waledac-Botnetz : Am 26. Februar 2010 wurde die Nachricht publik, dass die Hintermänner des Waledac- Botnetz aufgespürt wurden. In entsprechenden Kreisen ist dieses Netzwerk bekannt für sein riesiges Spamaufkommen. Werte von bis zu 1,5 Milliarden Spam- s pro Tag waren keine Seltenheit. Schließlich erwirkte ein Zusammenschluss aus Microsoft, Industriepartnern, Universitäten und Behörden vor dem US Bundesgericht in Virginia auch eine Abschaltung von Computern welche unwissentlich Teil des Botnetzes waren. Technisch vollzogen wurde der Schritt, indem die Kommando-Rechner der Internet-Kriminellen von hunderttausenden gekaperten Computern getrennt wurden. Juristisch gedeckt wurde die Aktion durch die einstweilige Verfügung eines Richters, der die Abtrennung der Kommando-Computer bewilligte. Die ganze Aktion lief unter dem Namen Operation b49. Quelle [20] 6

9 Das Mariposa-Botnetz : Das bis Anfang 2010 größte bekannte Virennetzwerk, dass Mariposa-Botnetz, wurde am 3. März 2010 vom FBI und Sicherheitsfirmen entdeckt und die Betreiber festgenommen. Die drei verdächtigen Betreiber, welche im Alter zwischen 25 und 31 Jahren sind, unterhielten ein Netzwerk bestehend aus ca. 13 Millionen Computern. Ihnen wird vorgeworfen die Computer von 500 Großunternehmen und von 40 Banken infiziert zu haben. Allerdings hatten die drei das Netzwerk nicht selbst erschaffen, sondern es gekauft und später dann vermietet. Quelle [30] 2 Das Storm-Worm-Botnetz allgemein 2.1 Ursprung und allgemeine Informationen Der breiten Öffentlichkeit wurde in den Jahren 2007 und 2008 ein neuer Bot bekannt, welcher den Namen Stormbot bekam. Allerdings kann man ihn auch unter den Bezeichnungen Peacomm, Zhelatin, Nuwar@MM, Small.dam und Peed wiederentdecken. Im Januar 2007 war gerade der Wirbelsturm Kyrill in Teilen Europas aktiv und richtete großen Schaden an. Die Betreiber des Botnetzes nutzten dies und verbreiteten per ausgedachte Neuigkeiten über diesen Sturm, z. B. Meldungen über neue Todesopfer. Die Menge und die Häufigkeit dieser s gaben dem Bot seinen charakteristischen Namen. In der vorliegenden Arbeit wird daher unter anderem nur die Kurzbezeichnung Storm zur Beschreibung des sich aus dem Storm-Worm zusammensetzenden Botnetzes verwendet. Zu seinen Höchstzeiten war er für ca. 20 Prozent des globalen Spam-Aufkommens verantwortlich. Laut IBM ISS (IBM Internet Security Systems) wurden gegen Ende des Jahres 2007 damit täglich Millionen Dollar verdient. Somit war das zugehörige Botnetz zwischenzeitlich eines der größten seiner Art. Die Rechenleistung dieses Netzes übertraf, zu dieser Zeit, die der 10 größten Supercomputer zusammengenommen, wenn man die Zombie-Rechner gemeinsam an einer Rechenaufgabe arbeiten ließe. Dies entsprach einem Zusammenschluss von bis zu infizierten Computern. Die Nummer eins der Supercomputer besaß Prozessorkerne und hatte 32 TB Arbeitsspeicher. Es war das erste Mal, dass so viel Rechenleistung in der Hand von Kriminellen lag und nicht unter Kontrolle von Forschungseinrichtungen oder Regierungsorganisationen stand. Dieses Potenzial könnte von der organisierten Kriminalität benutzt werden, um etwa in großem Stil Passwörter zu knacken oder verschlüsselte Daten zu dechiffrieren. Neben der Verwendung aktueller Nachrichten für das Social Engineering (Eingehen auf persönliche Eigenheiten der Opfer) zeichnet sich Storm vor allem durch eine flexible Multi-Komponenten-Technik aus, die durch Neukombination immer neue Verbreitungswege ermöglicht. Die Bestandteile sind in der Lage, sich gegenseitig sukzessive aus dem Internet herunterzuladen, was die Erkennung durch Antiviren-Software erschwert. Storm beschränkt sich auf das Infizieren 7

10 von Windowssystemen, da diese eine höhere Zahl an Sicherheitslücken, im Gegensatz zu Linuxsystemen, aufweisen und die Vermutung nahe liegt, dass Windows-User eine leichter zu beeinflussbare Zielgruppe darstellt (als dies bei Linux-Usern zu erwarten wäre). Eingesetzt wurde das Storm-Worm-Botnetz zum Versand von Spam- s, zum Datendiebstahl, zum knacken von Passwörtern, für DDoS-Angriffe, zur -Adresssammlung und zur Weiterverbreitung des Bot-Codes selbst. Auf die Besonderheiten, wie z. B. Selbstschutz, P2P-Struktur und verschlüsselte Kommunikation, von Storm sowie zu seiner Funktionsweise wird in den folgenden Kapiteln eingegangen. 2.2 Chronologie des Storm-Worm Eine Besonderheit welche das Storm-Worm-Botnetz auszeichnet ist seine Vielfältigkeit und sein Umfang an verschiedenen Aktivitäten. In der Anfangsphase dieses Botnetzes, also im Jahre 2006, bestand die Aufgabe der infizierten Computer des Botnetzes lediglich im Versenden von E-Cards, d.h. elektronischen Post- und Glückwunschkarten. Der Storm-Worm selbst befand sich im Anhang dieser s. Beim Öffnen der wurde der Wurm aktiv und das betreffende System infiziert. Anfang 2007 wurde der Bot bekannt durch die Verbreitung von fiktiven Nachrichten, den Sturm Kyrill betreffend. Hierauf folgten im gleichen Jahr weitere Spam-Wellen mit immer kreativeren falschen Schlagzeilen. Als die Resonanz hierauf immer geringer wurde, warben die Betreiber mit einer angeblichen Antiviren- und Schutzsoftware, welche sich im Anhang der befand. Durch die große Beliebtheit von sogenannten Web 2.0 Internetseiten wie z. B. Youtube, eröffneten sich dem Storm-Worm ganz neue Möglichkeiten. In den Spam- s wurde nun mit gefälschten Youtube- und mit Pornoseiten geworben. Um diese Videos anschauen zu können war ein spezieller Video-Codec nötig, welchen man auch gleich downloaden und installieren konnte. Allerdings landete weniger der Codec als der Storm-Worm selbst auf dem Computer. Dies war die Hochphase des Wurms, denn dem folgten auch Angebote von kostenlosen bzw. kostengünstigen Eintrittskarten, so z. B. für die amerikanische NFL-Saison. Dies verdeutlicht die Abstimmung und Bezogenheit auf die Mentalität und die Vorlieben der US-amerikanischen Bevölkerung. Nachdem diese Aktivitäten immer weniger Anklang bei den Internetnutzern fand und die Anzahl der Schutzmaßnahmen gegen den Storm-Worm zunahmen, wurde er im Oktober 2008 für tot erklärt. Allerdings stellte sich heraus, dass dies nur vorübergehend der Fall war. Laut eingehender Expertenmeinung begannen im April 2010 wieder Aktivitäten, welche sehr große Ähnlichkeiten zum Storm-Worm aufweisen (siehe Kapitel 4.1). Zusammenfassend sind in Tabelle 1 alle wesentlichen Stationen des Storm-Worm noch einmal chronologisch aufgeführt. 8

11 Jahr Monat Aktivität 2006 Dezember s verbreitet, Glückwünsche für das bevorstehende Jahr 2007 Januar neue Nachrichten zu Sturm Kyrill falsche Schlagzeilen: Saddam Hussein alive! April falsche Schlagzeilen Israel Just Have Started World War III Virenwarnung, angebliche Schutzsoftware im Anhang Juni Grußkarten, You ve received a postcard from a family member August Kontaktaufnahme Membership Details gefälschte YouTube Websites, oft Pornobilder versprochen September NFL Saison, Angebot kostenloser Karten und Videos Angebot kostenloser Spieledownload Oktober angebliches neues Filesharing-Programm zum Download 2008 Februar weitere vielfältige e-cards Oktober Stormbotnet wird für tot erklärt 2010 April wieder zahlreiche Spam- s mit Stormcharakteristika Tabelle 1: Zeitlicher Ablauf der Aktivitäten des Storm-Worm-Botnetzes 2.3 Größe des Storm-Worm-Botnetzes Die Größe eines Botnetzes ist einer der ausschlaggebenden Indikatoren um die Bedrohung durch dieses Botnetz abschätzen zu können. Allerdings ist es schwierig hier verlässliche Zahlen zu erhalten. Zum einen hängt es von den verwendeten Methoden der prüfenden Person/Institution ab und zum anderen von der Definition wann ein Computer von der entsprechenden Schadsoftware befallen ist. Gerade bei neu entdeckten Schädlingen kann es vorkommen, dass man sich nicht einig ist was zuverlässige Kriterien für eine Infektion eines Computers sind. Zudem kann ein bestimmtes Verhalten von zwei unterschiedlichen Schädlingen hervorgerufen werden. Um letztendlich brauchbare Daten zu erhalten benötigt man unter anderem folgende Indikatoren: Menge an gezähltem Spamaufkommen Meldungen über definitiv infizierte Computer das Netz durchsuchende Crawler. 9

12 Da dies besonders in der Anfangszeit der Neuentdeckung von Schadsoftware fehleranfällig oder garnicht möglich ist, variieren die Zahlen stark von Zeitabschnitt zu Zeitabschnitt sowie zwischen den prüfenden Personen. Tabelle 2 gibt einen beispielhaften Auszug über Meldungen, verschiedener Interseiten und Institutionen, über die aktuelle Größe des Storm-Worm-Botnetzes. Jahr Monat Größe Quelle 2007 August Infizierte Tecchannel Infizierte Washington Post September Infizierte MessageLabs Infizierte seclists.org Oktober Infizierte theregister.co.uk 2008 April Infizierte Universität Mannheim Mai Infizierte Tecchannel Oktober Stormbotnet wird für tot erklärt Tabelle 2: Zeitlicher Ablauf über die Größe des Storm-Worm-Botnetzes 2.4 Hintermänner des Botnetzes In Abschnitt 2.4 wurde bereits auf das organisierte Verbrechen eingegangen, welches oftmals hinter den Botnetzen steckt. Im Falle des Storm-Worm-Botnetzes gelang es unter anderem durch die Analyse der Zielgruppe der angebotenen Fallen Rückschlüsse auf die Urheber zu ziehen. So waren unter anderem die Spamaktionen sehr auf die amerikanische Kultur und den Lebensstil ausgelegt. Dies, verbunden mit der Analyse von gesammelten Daten (IP-Adressen, -Adressen und Serverstandorte), ermöglichte es Server in Russland zu lokalisieren, welche letztendlich zum Aufenthaltsort (St. Petersburg) der Betreiber führten. St. Petersburg gilt in den Augen vieler Experten als eine Hochburg bzw. ein Zentrum für Cyberkriminelle. Als Urheber des Storm-Worm-Botnetzes wurde schließlich, im Januar 2008, die Zhelatin-Gang identifiziert. Das Aufspüren dieses Zusammenschlusses von Internetkriminellen gelang durch eine enge Kooperation der US-Behörden mit dem russischem Security Service. Allerdings blieb die Anzahl und Identität der Täter von den russischen Behörden gesperrt. Ein weiterer Punkt, auf der Suche nach den Betreibern des Botnetzes, war die Untersuchung der Vorgehensweise der Zhelatin-Gang Geld zu verdienen. Bereits ein paar Monate nach dem ersten Auftauchen des Storm-Worms fiel auf, dass zu sehr vielen unterschiedlichen Themen Spam verbreitet wurde. Da dies nicht nur zur Verbreitung des Wurms dienen 10

13 sollte, kam die Vermutung auf das dies für eine eigene Vermarktung von Produkten zu breit gefächert sein könnte. Laut Expertenmeinung wurde das Botnetz an Interessierte vermietet, welche dann ihre Produkt anwerben konnten. So wurde Ende 2007 entdeckt, dass Storm den Overnet-Traffic nun verschlüsselt. Umgesetzt wurde dies durch 40-Byte- Verschlüsselungen, welche nun ermöglichten, dass nur Bots mit demselben Code miteinander kommunizieren konnten. Dadurch war es nun möglich einen genau bestimmten Anteil des infizierten Netzes an Dritte (kriminelle Gruppen) zu vermieten bzw. zu verkaufen. Dies bedeutete für die Zhelatin-Gang ein Millionengeschäft, welches vermutlich rentabler war als die alleinige Selbstnutzung. 3 Das Storm-Worm-Botnetz im Detail 3.1 Funktionsweise In diesem Abschnitt soll es um die Funktionsweise von Storm gehen. Zunächst wird die Infektion eines Computers beschrieben, bevor danach auf das gesamte Botnetz eingegangen werden soll. Wie bereits in Abschnitt 2.2 erwähnt, gelangt Storm unter anderem durch anhänge und Links zu gefälschten Internetseiten auf das System. Befindet sich der Bot einmal auf dem System entfernt er sich aus der Liste der aktiven Prozesse. Als nächstes werden die von Storm verwendeten Dateien vor einem direktem Zugriff versteckt. Nachdem dann Systemdienste, Schutzsoftwares und Firewalls deaktiviert wurden verhält sich der Schädling vergleichsweise ruhig bis er weitere Instruktionen erhält. An dieser Stelle sei noch zu erwähnen, dass die Aktivierung der Schutzsoftware auch Tür und Tor für andere Schädlinge öffnet. Ist Storm mit seiner ersten Phase fertig, das heißt dem Infiltrieren des Systems, geht er in Phase zwei über, welche das Scannen der Festplatte nach adressen und Passwörtern beinhaltet. Diese werden verwendet um z. B. Spam zu verschicken welcher zu diesem Zeitpunkt der reinen Vermehrung des Bots dient. Ist dies geschehen startet Phase drei. In dieser Phase wird der Kontakt zu anderen Bots und somit zum Botnetz hergestellt. Am Anfang der Infektion hat jeder Bot eine feste Liste von anderen Bots (Stichwort Routingtabelle), zu welchen er Kontakt aufnimmt und den Ort eines C & C-Servers erfragt. Anders als bei den üblichen Botnetzen sind diese C & C-Server ebenfalls normale Zombie-Computer, die allerdings Befehle erhalten und erteilen können (siehe Betriebsmodi in Abschnitt 3.1.1). Außer dem Standort mindestens eines C & C-Servers erhält der Bot noch die Aufenthaltsorte anderer Knoten (Bots) mit welchen er sich verbinden kann. Diese koordinierte Verbindung ist später beispielsweise für eine gezielte DDos-Attacke von Bedeutung. In einigen Varianten von Storm war auch eine systeminterne Synchronisierung der Uhren vorhanden, welche die Effizienz der Attacken noch erhöhte. Der Code des Bots mutiert ähnlich wie bei einem polymorphen Virus, ist 11

14 jedoch nicht Bestandteil des Programms, sondern liegt auf einem speziellen Webserver. Dieser Mechanismus wird als Server-Polymorphismus (server-side-polymorphism) bezeichnet. Storm lässt sich auf Grund seiner vielfältigen Aufgaben wie folgt charakterisieren: Rootkit manipuliert Kerneltreiber versucht Dateien und Prozesse zu verstecken Spyware sammelt persönliche Daten, z. B. adressen Trojaner durch heruntergeladene Schadsoftware wird PC zum Zombie Bot führt Befehle aus und steuert damit den infizierten Computer Betriebsmodi Bei Storm existieren zwei Betriebsmodi, welche großen Einfluss auf die Funktionsweise des Bots haben. Den ersten Modus kann man als Slavemodus bezeichnen. Hierbei befindet sich der Computer, welcher vom Bot infiltriert wurde, hinter einem Router. Zu den Aufgaben, gehört z. B. das Sammeln von Daten auf dem infizierten Computer. Hier fungiert der Bot als Spam-Bot und verteilt eine Großzahl an s. Desweiteren kann er eingesetzt werden um an einer gezielten DDos-Attacke teilzunehmen. Der Bot ist in diesem Modus also ein reiner Befehlsempfänger. Der zweite Modus würde im Gegensatz zum ersten als Mastermodus bezeichnet werden. Dieser ist aktiv falls alle Ports am Anschluss frei sind. In diesem Fall fungiert der Bot als Gateway oder C & C-Server. Im ersten Schritt würde der Bot Kontakt aufnehmen zu einer Website, welche der Betreiber des Botnetzes führt, und würde sich von dort Updates herunterladen. Je nach Variante von Storm war die Quelle für die Updates auch ein Server. In den Updates enthalten sind neue Befehle zur weiteren Vorgehensweise bzw. Informationen für koordinierte DDos-Attacken und Modifikationen für den Bot selbst. Die Bots haben in beiden Modi eines gemeinsam, nämlich dass sie die Zeit auf den infizierten Computern synchronisieren. Bots welche sich im zweiten Modus befinden synchronisieren ihre interne Uhr zusammen mit den Updates vom Server des Betreibers. Diese wiederum geben diese Zeit an alle mit ihnen verbundenen Bots im ersten Modus weiter. Dies dient dem Zwecke einer Aktionsausführung mit minimaler Verzögerungszeit bzw. mit möglichst schneller Umsetzung Kommunikation Die Kommunikationen zwischen den einzelnen Bots bzw. einem Bot und dem Botnetzbetreiber fand in klassischen Botnetzen über die C & C - Server statt. Dies hatte den Nachteil, dass bei Abschaltung dieses Servers alle mit ihm verbunden Bots faktisch inaktiv waren. Auch eine nachträgliche Wiederherstellung der Verbindungen zwischen einem 12

15 neuen C & C - Server und allen vorher verbundenen Bots war nicht ohne weiteres bzw. ohne größeren Aufwand möglich. Storm benutzt, wie bereits erwähnt, die Peer-To-Peer- Netzwerktechnik und ermöglicht somit die Kommunikation zwischen zwei einzelnen Bots. Das Vorhandensein eines C & C - Servers, im klassischen Sinne, entfällt hiermit. Dieser dient nun lediglich als Datenserver bzw. Website, welche Befehle in Form von Updates bereit halten. Eine ständige Kontrolle durch den Betreiber ist somit nicht zwingend notwendig. Die Kommunikation zwischen den einzelnen Bots erfolgt über ein verschlüsseltes edonkey-protokoll. EDonkey, oftmals auch als Overnet bezeichnet, war ein Filesharing- Programm (Programm zum Datenaustausch zwischen zwei oder mehr Computern über das Internet) bei dem sowohl das Peer-to-Peer-Prinzip als auch das Client-Server-Prinzip zum Einsatz kam. Damit stellte es eine ideale Grundlage für Storm dar. Gegen Ende 2007 wurde diese Art der Kommunikation noch weiter verfeinert, indem der Traffic (Datenverkehr) so verschlüsselt wurde, dass nicht wie zuvor alle Bots des Botnetzes die gleiche Verschlüsselung verwenden, sondern nun nur ein Teil der Bots dieselbe Verschlüsselung (40-Byte-Verschlüsselungen). Ziel dieser Aktion war es, immer nur einen bestimmten Teil des Botnetzes bzw. eine bestimmte Anzahl an Bots für eine Aufgabe einsetzen zu können. Dies ermöglichte nun Folgendes: eine festgelegte Anzahl an Bots soll nur für eine bestimmte Aufgabe eingesetzt werden, z. B Bots sollen Spam- s für Potenzmittel versenden es sollen nur Bots, welche sich auf einem Computer mit einer IP-Adresse aus einem bestimmten IP-Adressbereich befinden, für eine DDos-Attacke eingesetzt werden (z. B. nur Computer aus Russland greifen Server von Regierungsorganisationen Estlands an) ein Teil des Botnetzes mit einer Größe von X Computern wird an Dritte verkauft, ohne dass der Betreiber des Botnetzes die Kontrolle über den Rest des Netzes verliert zudem würde nur ein Teil des Botnetzes, nämlich die Bots welche die selbe Verschlüsselung benutzen, deaktiviert werden können, falls andere Hacker oder Schutzsoftwarehersteller dies knacken würden. 3.2 Verbreitung des Bots In diesem Abschnitt soll es um die Verbreitungsmöglichkeiten von Storm gehen. Wie in der Chronologie in Abschnitt 2.2 bereits zu erkennen, änderte Storm seine Vorgehensweise und seine Taktik von Zeit zu Zeit. Dies beschränkte sich aber nicht nur auf den reinen Vermarktungsaspekt. Auch die Art und Weise wie Storm sich vermehrt bzw. sich ausbreitet änderte sich im Laufe der Zeit. 13

16 3.2.1 Spam Die erste und zudem effektivste Variante der Verbreitung war die durch Spam- s. Der Storm-Worm versendete in der Anfangszeit seines Auftretens eine große Anzahl an s, welche allerdings nicht nur zum Zwecke der Vermarktung und des Betruges eingesetzt wurden. Im Anhang der Grußkarten, Glückwunschkarten, Nachrichten, Softwareangebote,... befand sich oftmals auch der Bot selbst, welcher sich beim Öffnen bzw. Anklicken des des Anhangs der auf dem System installierte Internetseiten Eine neue Art der Verbreitung stellten infizierte Websites dar. Diese variierten von Websites welche Produkte verschiedenster Art anboten bis hin zu gefälschten Nachrichtenseiten. Besonders effektiv waren Internetportale wie z. B. YouTube, was mit deren steigender Popularität zu begründen ist. Auf diese Internetseiten gelangte man wiederum durch Links, welche durch Spam- s verbreitet wurden oder durch Hyperlinks auf unseriösen oder gehackten Websites Exploits Unter Exploits (englisch to exploit, auf deutsch ausnutzen) versteht man eine Sammlung von PHP-Skripten welche versuchen in Hilfs- und Anwendungsprogrammen Sicherheitslücken und Schwachstellen auszunutzen. Bei Storm geschah dies speziell über den Browser. In der Sammlung von Skripten wird das passende für die verwendete Browserversion ausgewählt, so dass gezielt derren Sicherheitslücken ausgenutzt werden können. Bei Firefox war es unter anderem das Windows-Media-Plugin. Manche Skripte werden beim Starten des Browsers aktiv und führen Befehle aus, andere können erst durch Aktionen des Nutzers aktiviert werden Blogs Als vierte und letzte Variante nutzte Storm die Beliebtheit von Blogs aus. Unter einem Blog versteht man eine Art Journal oder Log- bzw. Tagebuch, welches meist öffentlich im WWW geführt wird. Durch das Sammeln von Daten auf den Festplatten der infizierten Computer, unter denen sich auch adressen sowie Benutzer- und Zugangsdaten befinden, war es möglich sich auf Blog-Sites mit einem echten Account einzuloggen und dort den gleichen Inhalt wie in den Spam- s zu verbreiten. Darunter befanden sich natürlich auch Links zu den gefälschten Internetseiten. 14

17 3.3 Schutzmaßnahmen Allgemeine Vorgehensweise In diesem Abschnitt soll es um Möglichkeiten des Schutzes vor dem Storm-Worm gehen. Die größte Bedrohung des Bots ging von seinem reichhaltigen Angebot aus. Wie in der Chronologie in Tabelle 2 in Kapitel 2.2 zu erkennen, variierte die Vorgehensweise des Bots beziehungsweise der Inhalt seiner aktuell verwendeten Falle. Dies stellte eine große Verlockung für die Internetnutzer durch ansprechende Spam- s dar. Für den Fall dass die Opfer auf den Betrugsversuch eingestiegen sind, verlassen sich viele von ihnen darauf dass sie für den Fall der Fälle von ihrer Schutzsoftware geschützt werden, vorausgesetzt sie haben überhaupt eine installiert. Durch häufige Mutationen des Storm-Worm ist eine Mustererkennung für Antivirenprogramme sehr erschwert. Von daher konnte es durch aus vorkommen, dass Variante B des Bots von Software X erkannt wird, Variante C allerdings schon nicht mehr. Zudem besaß der Bot in seiner Version von August 2007 auch die Möglichkeit systemintern Antivirenprogramme und Firewalls zu deaktivieren. Anstatt einen Sicherheitsprozess unmittelbar zu zerstören, manipuliert der Storm die Einsprungstabellen des Prozesses. Dadurch bemerkt der Nutzer keine bzw. kaum Veränderungen am System und der Bot kann sich nun trotzdem frei auf dem System bewegen. In der folgenden Übersicht sind die damals 20 effektivsten / bekanntesten Schutzprogramme zu sehen, welche vom Storm-Worm deaktiviert werden konnten. Zonealarm Firewall Outpost Firewall McAfee AntiSpyware F-Secure Blacklight AVZ Antivirus Symantec Norton Antivirus Bitdefender Antivirus Microsoft AntiSpyware Antivir Antivirus Jetico Personal Firewall McAfee Personal Firewall McAfee Antivirus F-Secure Anti-Virus Kaspersky Antivirus Symantec Norton Internet Security Norman Antivirus Sophos Antivirus NOD32 Panda Antivirus Desweiteren fehlte bei diesem Bot ein zentraler Server, so dass eine gezielte Deaktivierung des gesamten Botnetzes nahezu unmöglich war. Die einzige Möglichkeit bestand darin einzelne infizierte Computer vom Netz zu nehmen. Allerdings hatte dies wenig Auswirkung auf das gesamte Botnetz, da dieses sich einfach neu organisieren würde. Führt man sich diese beunruhigenden Sachverhalte vor Auge, so wird deutlich, dass nach Alternativen gesucht werden musste. In den folgenden vier Unterkapiteln soll auf eine Reihe von Möglichkeiten eingegangen werden, welche erfolgreich gegen den Storm-Worm eingesetzt wurden. 15

18 3.3.2 Microsoft Malicious Software Removal Tool (MSRTT) Die erste, und wie sich im Nachhinein herausgestellt hat auch erfolgreichste, Variante zum Schutz gegen den Storm-Worm, ist das Microsoft Malicious Software Removal Tool, kurz MSRTT. Zum Zeitpunkt als dieses Tool von Microsoft entwickelt wurde war es Storm bereits möglich Schutzsoftware und Firewalls zu deaktivieren. Auch das Installieren von neuer Schutzsoftware war entweder nicht möglich oder sie war nach der Installation inaktiv. Da Storm an sich versuchte möglichst unauffällig auf dem infizierten System zu agieren, ließ es viele Sache auf dem System unberührt. Hauptsächlich Aktionen welche die Schutzsoftware und Firewalls betrafen wurden gestört. Diesen Fakt nutzte Microsoft als es das Tool in eines seiner regelmäßigen Updates integrierte. Auf diese Weise gelangte das Tool auf das betroffene System und konnte gestartet werden ohne dass Storm dies verhinderte. Nach der automatischen Ausführung des Tools war das infiltrierte System wieder bereinigt. Laut Angaben von Microsoft gab es innerhalb der ersten Woche (September 2007) registrierte Entfernungen des Bots. Betrachtet man sich diese Zahl genauer ist sie je nach Auslegungssache entweder ein Beweis für effektive Programmierung seitens Microsofts oder ein erschreckendes Zeichen für die riesige Zahl an infizierten Computern weltweit Walled Gardens Eine andere, aber kostenpflichtige, Herangehensweise um Storm zu entfernen stellen sogenannte Walled Gardens dar. Eine Initiative der Messaging Anti-Abuse Working Group, kurz MAAWG empfiehlt Providern den Einsatz von Walled Gardens. Sinn und Zweck des Ganzen ist es den Kunden, genauer gesagt seinen Browser beim Zugriff auf das WWW, in eine sichere geschlossene Online-Umgebung zu führen, in welcher dann Selbstbereinigungstools heruntergeladen werden können. Allerdings ist dies nur für Abonnenten dieses Services möglich, weshalb es dann nur zu einer wenig bis selten genutzten Alternative wurde Das Tool Stormfucker Als eine besonders kreative Variante, Storm zu bekämpfen, sei das Programm Stormfucker zu nennen. Die Idee hinter dieser Software gab es bereits zu Zeiten des bekannten Sasser- Wurms und beinhaltete dass Übernehmen des Botnetzes durch einen gutartigen Bot. Das Tool wurde erstmals auf der 25C3 (25. Chaos Communication Congress) am in Berlin in einem Vortrag mit dem Titel Stormfucker: Owning the Storm Botnet vorgestellt. Der vollständige Vortrag, inklusive einer Live-Vorführung der Übernahme eines der Bots ist unter [3] zu finden. Zu dieser Zeit wurde die Größe des Botnetzes auf circa Computer geschätzt. Die Forscher, bestehend aus Studenten und Mitarbeitern des Honeynet Project (1999 gegründet mit dem Ziel die Werkzeuge, Taktiken und Motive der talentierten Hacker zu erforschen) untersuchten detailiert die Vorgehensweise und nach 16

19 Knacken der Verschlüsselungen (es handelte sich anfangs nur um eine Art der Komprimierung und eher weniger um eine echte Verschlüsselung) auch den Quellcode des Bots. Verwendet wurde hierfür das sogenannte Reverse-Engineering. Hierfür beobachteten sie Kommunikation und Speicherabbilder von Storm. Der Trick bei ihrer Herangehensweise ist es die Bots nicht der Reihe nach zu bekämpfen, sondern einen Bot auf einem der infizierten Computer zu übernehmen und sich selbst als C & C -Server auszugeben. Da dieser, wie bereits in Kapitel erwähnt, sich nun im Mastermodus befindet, kann er an ihn angeschlossene Bots Befehle erteilen. In diesem Fall würde er den Befehl der Selbstlöschung geben nachdem er den Befehl erhalten hat einen modifizierten Bot auf den Computer herunterzuladen und zu installieren. Dieser modifizierte Bot soll dann möglichst alle Veränderungen am System wieder rückgängig machen. Zum Schluss würde sich dieser gutartige modifizierte Bot wiederum selbst löschen oder sich zumindest deaktivieren. Da auch C & C - Server sich untereinander austauschen und aktuelle Befehle miteinander vergleichen, ist es möglich diesen neuen Befehl an andere C & C - Server und somit an deren angeschlossene Bots weiterzugeben. Damit ließe sich theoretisch das ganze Botnetz von einem Computer aus abschalten. Allerdings ist dies nur eine theoretische Idee, da dies nur mit einem koordinierten Angriff möglich wäre und eine Ausführung von einem einzigen Computer aus zu langsam und ineffektiv wäre. Die Wahrscheinlichkeit, dass den Botnetzbetreibern dieses Vorgehen relativ schnell auffällt und diese dann eine DDos-Attacke gegen den ausschlaggebenden C & C - Server einleiten, ist sehr hoch. Zudem gibt es noch eine zweite, weitaus größere Hürde. Um die Computer, welche von Storm bereits infiziert sind, zu bereinigen, müsste man sich Zugriff auf diese verschaffen. Rein rechtlich gesehen wäre dies ein unberechtigter Zugriff auf fremdes Eigentum, auch wenn dieses schon infiziert ist und man es nur von Schadsoftware befreien möchte. Um diese und andere juristische Folgen, z. B. durch Veröffentlichung des kompletten Quellcodes von Stormfucker, zu vermeiden, blieb dies offiziell nur ein theoretischer Ansatz. Es ist allerdings nicht eindeutig geklärt, ob der vollständige Quellcode doch an Dritte weitergegeben wurde. Diese könnten dann das Botnetz übernehmen und es für ihre Zwecke missbrauchen, statt es wie angedacht du deaktivieren. Dieser Ansatzpunkt kam unter anderem auf, da im Frühjahr 2010 erneut Aktivitäten des Storm-Worm-Botnetzes gemeldet wurden (siehe Kapitel 4.1) Manuelle Entfernung Als vierte und letzte gängige Methode um den Storm-Worm zu entfernen ist die manuelle Entfernung. Dies ist allerdings nur Nutzern mit etwas Erfahrung zu empfehlen und ist somit für den Durchschnitts-Computernutzer eher unpraktisch. Im Folgenden ist eine schrittweise Anleitung zur Entfernung des Bots zu finden, welche sich allerdings auf die Urversion des Bots bezieht und unter Umständen nicht bei späteren Ablegern zum Erfolg führt. 1. Entfernung der API-Hooks mittels RootKit UnHooker 17

20 Hooks werden entfernt versteckte Dateien wieder sichtbar 2. Löschen der von Storm angelegten Dateien anhand ihres eindeutigen Musters (spooldr.*, noskrnl.*,... ) 3. Löschen der von Storm angelegten Registry-Einträge wieder anhand ihres eindeutigen Musters 4. Wiederherstellung modifizierter Systemtreiber Treiber wie z. B. tcpip.sys durch Originale ersetzen 5. Löschen der von Storm angelegten Firewall-Regeln 6. zum Schluss das Betriebssystem neustarten 3.4 Abwehrmechanismus des Bots Eine der Neuerung welche den Storm-Worm von seinen Kollegen abhebt, ist sein integrierter Selbstschutz. Der Ausgangspunkt hierbei ist, dass der Schadcode des Bots (In- halte, Prüfsummen,...) sich ständig ändert und eine signatur-basierte Erkennung durch Schutzsoftware dadurch sehr erschwert wird. Um dieses Problem zu beheben sind viele Schadcode-Varianten nötig. Um an diese zu gelangen versuchen Antivirenhersteller sehr häufig diesen Bot immer wieder herunterzuladen. Der Bot erwartet aber das solch eine Aktion nur von bekannten Computern des Betreibers oder von neu zu infizierenden Computer aus stattfindet. Die Vorgehensweise von Antivirenherstellern entspricht allerdings nicht diesem Muster, da von einer fremden IP-Adresse aus dieser häufige Download stattfindet. Im Programminneren des Bots wird somit eine Art Verteidigung aktiviert, da ein Verdacht auf einen Antivirenhersteller besteht. Diese wiederum leitet eine DDos-Attacke ein und sendet zudem einen Befehl an einen Teil oder an alle mit ihm verbundenen Bots dies ebenfalls zu tun. Das Ziel ist, wie bei einer DDos-Attacke typischerweise, den Zielrechner zu überlasten und das System zum Absturz zu bringen beziehungsweise es für eine Zeit lahmzulegen. Unter den Opfern des Storm-Worm aus dem Jahre 2007 sind bekannte Sicherheits-Websites wie z. B. 419eaters.com, Scamwarners und spamhouse.org zu finden, sowie der Software-Riese IBM / ISS. 4 Aktuelles über das Storm-Worm-Botnetz 4.1 Aktuelle Neuigkeiten Nachdem das Storm-Worm-Botnetz nach mehrmonatiger Aktivität im Oktober 2008 offiziell für tot erklärt wurde, war nicht damit zu rechnen dass sich dieser Zustand noch einmal 18

21 ändern könnte. In diesem Abschnitt folgt nun eine Auswahl von Nachrichtenberichten welche sich, oder sehr wahrscheinlich, auf das wieder aktiv gewordene Storm-Worm-Botnetz beziehen. [ Die nachfolgenden Textabschnitte sind teilweise zu großen Teilen wörtliche Zitate und werden aufgrund der offensichtlichen Deklarierung als Nachrichten mit Angabe der Quelle nicht als solche extra gekennzeichnet ] Nachricht vom Laut der Aussage von IT-Sicherheitsforschern versendet das seit 18 Monaten inaktive Storm-Botnet wieder Spam- s. Zu dieser Überzeugung kamen sie, als bei der Untersuchung des Botnetzes Charakteristika von Storm entdeckt wurden. Von C & C -Servern aus werden den Clients Base64-verschlüsselte Anweisungen und Mailvorlagen geschickt. Storm scheint primär Werbe- s für Kontaktagenturen sowie Penispillen und andere Medikamente zu verschicken. Allerdings war zu diesem Zeitpunkt nicht klar ob es sich wirklich und das Storm-Worm-Botnetz handelt oder eher um Nachahmer des Ganzen. Für weitere Details siehe auch [23]. Nachricht 1 vom Nachdem ein neues Botnetzes entdeckt wurde, kamen die Forscher Mark Schlösser, Tillmann Werner und Felix Leder vom Honeynet Project, welche unter anderem auch das Tool Stormfucker geschrieben haben, nach einer Analyse des Codes zu dem Schluss, dass es sich wohl wieder um Storm handelt. Während das Botnet früher auf Peer-to-Peer- Funktionen setzte und über TCP kommunizierte, fehlen die Peer-to-Peer-Funktionen nun vollständig und die Kommunikation wird über HTTP abgewickelt. Der Verzicht auf die Peer-to-Peer-Funktionen könnte auf die Existenz des Tools Stormfucker zurückzuführen sein. Für weitere Details siehe auch [9]. Nachricht 2 vom Laut Forschern von CA und dem Honeynet-Projekt ist kürzlich eine neue Variante der Malware, genauer des Storm-Worm aufgetaucht. Diese nutzt einmal infizierte Systeme, um darüber SpamLexikon zu verschicken. Dazu lädt der Schädling verschiedene Spam- Templates herunter, die er anschliessend für den Aufbau der unerwünschten Werbe- s nutzt. Um die Links zu verbergen, verwendet die neue Storm-Worm-Variante URL-Verkürzer wie beispielsweise bit.ly. In der neuen Version haben die Botnetz-Betreiber scheinbar die P2P-Funktionen komplett abgeschafft und setzen nun auf HTTP, um Anweisungen und Daten zu übertragen. Die Denial-of-Service-Funktion scheint dagegen immer noch im Code enthalten zu sein, melden die Analysten von HoneynetLexikon. Für weitere Details siehe auch [17]. Nachricht vom Nach Beobachtungen verschiedener Sicherheitsexperten scheint der Trojaner Storm-Worm 19

22 jetzt in einer neuen Version aufgetaucht zu sein. Zudem ist Storm-Worm-Botnetz offenbar wieder aktiv. Nach einem Bericht des Analysten Felix Leder im Blog des Honeynet- Projekts, besteht die neue Storm-Variante zu etwa zwei Dritteln aus Code, der aus dem ursprünglichen Schädling kopiert worden ist. Allerdings fehlt der P2P-Code für die Kommunikation der Bots untereinander. Die Kommandostruktur des Botnetzes wird nunmehr über HTTP unterhalten. Unklar ist noch, ob die damaligen Programmierer der Storm- Malware den Quelltext verkauft haben oder selbst wieder aktiv geworden sind. Die Verantwortlichen, von denen die neue Version in Umlauf gebracht wurde, haben zwar den von dem Schädling bislang benutzen Dateinamen in asam.exe geändert, nicht jedoch den der Konfigurationsdatei. Diese heißt immer noch herjek.config und taucht bei einer Infektion im Windows-Verzeichnis auf. Zudem ist die Kommandostruktur hervorzuheben, denn diese verlässt sich offensichtlich auf einen einzelnen Server in den Niederlanden. Wie bereits in der ersten Variante von Storm werden die Aktivitäten des Storm-Botnetzes zum Versenden von Spam- s eingesetzt. Die unerwünschten Nachrichten werben für Dating-Websites sowie für dubiose Online-Shops, in denen vielfach gefälschte Medikamente und Potenzmittel verkauft werden. Für weitere Details siehe auch [12]. Nachricht vom Sicherheitsexperten haben eine Neuauflage des Storm-Wurms entdeckt, der zwei Jahre lang nicht aktiv war. In seiner stärksten Phase war der Wurm für 20 Prozent des Spam- Versands verantwortlich. Wie das australische Magazin Securecomputing berichtet, haben Sicherheitsexperten eine Neuauflage des Spam-Versenders entdeckt. Ende 2008 schwand sein Einfluss, unter anderem auch, weil man einen Service-Provider vom Netz nahm, der die Kommandoserver des Wurms unterhielt. Forschern gelang es zudem, das Storm- Botnetz zu infiltrieren. Schließlich wurde das Botnetz durch das heute aktive Waledac- Botnetz ersetzt( siehe hierzu Kapitel ). Nun tritt Storm erneut auf den Plan. Wie Experten der Sicherheitsfirma CA berichten, scheint er zu seiner Verbreitung auf Techniken zurückzugreifen, die er bereits vor drei Jahren erfolgreich einsetzte. Der Wurm versende zur Zeit eine große Anzahl Spam-Nachrichten mit Partnersuch-Seiten, Medikamentenhandel oder Videos von bekannten Persönlichkeiten. Den Forschern zufolge ist der Wurm bereits sehr erfolgreich. Da man aber in das Botnetz noch nicht habe eindringen können, sei man noch nicht in der Lage, die ganze Dimension des neuen Storm-Ausbruchs abzuschätzen. Für weitere Details siehe auch [15]. 4.2 Fazit und Zukunftsprognosen Abschließend sollen noch einmal kurz die Informationen der vorliegenden Arbeit zusammengefasst und ein Fazit gezogen werden. Es wurde aufgezeigt, dass Botnetze eine Bedrohung sind in Folge der Modernisierung der Gesellschaft. Ohne den Drang und zum Teil auch Zwang zur Technisierung des Lebens oder des Alltags allgemein, würde eine solche von Menschen selbst geschaffene Gefahr 20