Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Januar 2009
11.01.2009 Sturmwurm-Botnetz
     
zurück zum Verweis zur nächsten Überschrift einfach abschalten
   
 
Seit zwei Jahren ist der Sturmwurm das Paradebeispiel für die technischen Fähigkeiten organisierter, krimineller Banden im Internet. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner, die den Befehlen eines Kontrollservers folgten und Peer-to-Peer-Techniken einsetzten, um neue Server zu finden. Selbst nach einer großen Reinigungsaktion durch Microsofts Malicious Software Removal Tool dürften noch grob geschätzt 100.000 Drohnen übrig sein. Damit ist das Sturmwurm-Botnetz für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. (1)
 
 
Die Forscher haben
einen eigenen Client entwickeln, der sich derart in die Peer-to-Peer-Struktur des Sturmwurm-Netzes einklinkt, dass Anfragen anderer Zombies nach neuen Kommando-Servern ziemlich sicher an ihn geschickt wurden. Damit ist er in der Lage, den Zombies einen neuen Server unterzuschieben. Im zweiten Schritt analysierten die Forscher das Protokoll für die Befehlsübergabe. Dabei stellten sie fest, dass sich der Server erstaunlicherweise nicht bei den Clients authentifizieren muss und sie mit ihren Informationen in der Lage waren, einen einfachen Server aufzusetzen. Der konnte ihren Sturmwurm-Drohnen im Testlabor dann tatsächlich Befehle geben, die diese ausführten, etwa ein bestimmtes Programm von einem Server nachzuladen und auszuführen – zum Beispiel ein spezielles Reinigungsprogramm. Ein solches haben die Forscher dann auch gleich geschrieben. (1)
 
 

 
Das Botnetz des Sturmwurms hat gezeigt, dass die eingesetzte Botsoftware sehr behutsam mit den infizierten Zombies umgeht, um sie sich möglichst lange zu erhalten. Zuletzt ist es sehr ruhig um ihm geworden und die Überlebensfähigkeit anderer Botnetze scheint es nicht zu haben.

Ein Forscherteam aus Aachen und Bonn hat das Verhalten der Malware auf einem infizierten Rechner genauer untersucht und festgestellt, dass sich die verbliebenen Zombies sehr einfach abschalten ließen (1). Dazu müssten sie jedoch selber eine Malware verbreiten, deren Schadfunktion darin bestände, die Botsoftware zu entfernen, und sie befürchten, dass dabei auch Schäden entstehen könnten, für die sie zivil- und strafrechtlich haften müssten

Das ist wohl wahr.

Die Meldung bringt die Hoffnung, dass der Kampf gegen die Botnetze erfolgreich geführt werden kann. Das Sturmwurmnetz verfügt, obwohl es bereits zwei Jahre alt ist, schon über die Möglichkeit, sich durch Updates gegen neue Signaturen der Virenscanner zu tarnen und neue Funktionen zu installieren.

Der Sturmwurm hat mächtige Gegner gegen sich aufgebracht und nicht zuletzt den Software-Giganten Microsoft selber, der schließlich das kostenlose Malicious Software Removal Tool entwickelte (2), das inzwischen mehr als 100 Malware-Varianten erkennt und bekämpft (3).
 

 
Die Entwickler von Botsoftware sind kenntnisreich und professionell. Ihre modernen Versionen benötigen zur Infektion nur kleine Kommandosequenzen (Starter), die die Grundkomponenten aus dem Internet laden. Die eingenistete Malware lädt Updates und passt die Zombies neuen Aufgaben und gegen aktuelle Virenscanner an, wobei auch immer wieder neue Tarntechniken zum Einsatz kommen.

Für die nahe Zukunft erwarten Experten multitaskingfähige Botnets und chirurgisch anmutende Angriffe gegen Personengruppen mit speziellen Interessen und Neigungen (4). Ein fehlgeschlagenes Beispiel dafür hat Ende 2007 stattgefunden und war gegen die Schweizer Bundesverwaltung gerichtet (5). Die Fälle der Datenspionage, die sich gegen Verwaltungen und Unternehmen richten, werden mit Sicherheit zunehmen. Der neue Markt ist die Industriespionage und der Verkauf von Geheimnissen. Damit werden die modernen Hacker richtig Geld machen können.

Interessant an der Heise-Meldung [siehe (1)] ist ein Nebenaspekt: Sie spricht von organisierte(n), kriminelle(n) Banden im Internet. Das ist dort bislang nicht so deutlich gesagt und von mir aus anderen Quellen geschlossen worden (6).

Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die jährlich viele Millionen durch Betrug und Erpressung abkassieren.
 

zurück zum Verweis Anmerkungen
 


(1) Sturmwurm-Botnetz sperrangelweit offen, Heise online 09.01.2008

(2) Microsoft® Windows®-Tool zum Entfernen bösartiger Software

(3) Download: Malicious Software Removal Tool 2.5, PC-Welt 10.12.2008

(4) Perspektiven. Cybercrime

(5) filigraner Angriff

(6) kriminelle Unternehmer
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 29.07.2009