|
|
Seit zwei Jahren ist der Sturmwurm das Paradebeispiel für die
technischen Fähigkeiten organisierter, krimineller Banden im
Internet. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus
mehr als einer Million infizierter Rechner, die den Befehlen
eines Kontrollservers folgten und Peer-to-Peer-Techniken
einsetzten, um neue Server zu finden. Selbst nach einer großen
Reinigungsaktion durch Microsofts Malicious Software Removal
Tool dürften noch grob geschätzt 100.000 Drohnen übrig sein.
Damit ist das Sturmwurm-Botnetz für einen beträchtlichen Teil
der Spam-Flut und viele verteilte Denial-of-Service-Angriffe
verantwortlich.
 (1)
|
Die Forscher haben
einen eigenen Client entwickeln, der sich derart in die Peer-to-Peer-Struktur
des Sturmwurm-Netzes einklinkt, dass Anfragen anderer Zombies
nach neuen Kommando-Servern ziemlich sicher an ihn geschickt
wurden. Damit ist er in der Lage, den Zombies einen neuen Server
unterzuschieben. Im zweiten Schritt analysierten die Forscher
das Protokoll für die Befehlsübergabe. Dabei stellten sie fest,
dass sich der Server erstaunlicherweise nicht bei den Clients
authentifizieren muss und sie mit ihren Informationen in der
Lage waren, einen einfachen Server aufzusetzen. Der konnte ihren
Sturmwurm-Drohnen im Testlabor dann tatsächlich Befehle geben,
die diese ausführten, etwa ein bestimmtes Programm von einem
Server nachzuladen und auszuführen – zum Beispiel ein spezielles
Reinigungsprogramm. Ein solches haben die Forscher dann auch
gleich geschrieben.
(1)
|
|
 Das
 Botnetz
des
Sturmwurms hat gezeigt, dass die eingesetzte Botsoftware sehr
behutsam mit den infizierten Zombies umgeht, um sie sich möglichst lange
zu erhalten. Zuletzt ist es
sehr
ruhig um ihm geworden und die
Überlebensfähigkeit anderer Botnetze scheint es nicht zu haben.
Ein Forscherteam aus Aachen und Bonn hat das Verhalten der
Malware
auf einem infizierten Rechner genauer untersucht und festgestellt, dass
sich die verbliebenen Zombies sehr einfach abschalten ließen
(1).
Dazu müssten sie jedoch selber eine Malware verbreiten, deren
Schadfunktion darin bestände, die Botsoftware zu entfernen, und sie
befürchten, dass dabei auch Schäden entstehen könnten, für die sie
zivil- und strafrechtlich haften müssten
Das ist wohl wahr.
Die Meldung
bringt die Hoffnung, dass der Kampf gegen die Botnetze erfolgreich
geführt werden kann. Das Sturmwurmnetz verfügt, obwohl es bereits zwei
Jahre alt ist, schon über die Möglichkeit, sich durch Updates gegen neue
Signaturen der Virenscanner zu tarnen und neue Funktionen zu
installieren.
Der Sturmwurm hat mächtige Gegner gegen sich aufgebracht und nicht
zuletzt den Software-Giganten Microsoft selber, der schließlich das
kostenlose
Malicious Software Removal Tool entwickelte
(2), das
inzwischen mehr als 100 Malware-Varianten erkennt und bekämpft
(3).
|
Die
Entwickler von Botsoftware sind kenntnisreich und professionell. Ihre
modernen Versionen benötigen zur Infektion nur kleine
Kommandosequenzen (Starter), die die Grundkomponenten aus dem Internet
laden. Die eingenistete Malware lädt Updates und passt die Zombies neuen
Aufgaben und gegen aktuelle Virenscanner an, wobei auch immer wieder
neue Tarntechniken zum Einsatz kommen.
Für die nahe Zukunft erwarten Experten
multitaskingfähige Botnets und chirurgisch anmutende Angriffe gegen
Personengruppen mit speziellen Interessen und Neigungen
(4).
Ein fehlgeschlagenes Beispiel dafür hat Ende 2007 stattgefunden und war
gegen die Schweizer Bundesverwaltung gerichtet
(5).
Die Fälle der Datenspionage, die sich gegen Verwaltungen und Unternehmen
richten, werden mit Sicherheit zunehmen. Der neue Markt ist die
Industriespionage und der Verkauf von Geheimnissen. Damit werden die
modernen Hacker richtig Geld machen können.
Interessant
an der Heise-Meldung [siehe
(1)]
ist ein Nebenaspekt: Sie spricht von
organisierte(n), kriminelle(n) Banden im Internet. Das ist dort
bislang nicht so deutlich gesagt und von mir aus anderen Quellen
geschlossen worden
(6).
Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die
jährlich viele Millionen durch Betrug und Erpressung abkassieren.
|
Januar 2009
(1)
Sturmwurm-Botnetz sperrangelweit offen