Seminar Informatik und Gesellschaft
Transcrição
Seminar Informatik und Gesellschaft
Seminar Informatik und Gesellschaft Seminar Informatik und Gesellschaft Thema: Botnet Thomas Köhler und Stefan Jäger Teil 1 : Botnetze, Aufbau und Funktionsweise 17.05.2010 1 / 26 Seminar Informatik und Gesellschaft Inhaltsverzeichnis 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 2 / 26 Seminar Informatik und Gesellschaft Einführung 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 3 / 26 Seminar Informatik und Gesellschaft Einführung Bot Software die selbstständig sich wiederholende Aufgaben übernimmt Suchmaschinen Bots IRC Bots Netz Verbindung der Netzteilnehmer Internet Botnetz Über das Internet verbundene Bots zu einem Botnetz Prim95 SETI@home illegale Botnetze 4 / 26 Seminar Informatik und Gesellschaft Einführung Schäden für den Nutzer Verlust von Rechenleistung Traffic persönlichen Daten Nutzen für den Schädiger Gewinn von Rechenleistung Traffic persönlichen Daten 5 / 26 Seminar Informatik und Gesellschaft Arbeitsweise 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 6 / 26 Seminar Informatik und Gesellschaft Arbeitsweise Zielgruppe unwissende(naive) Anwender weit verbreitete Hard- und Softwarestrukturen unsichere Systeme Verbreitung klassische Verbreitung Exploits (Internet-Software) Patch-Angebote auf Fake-Seiten 7 / 26 Seminar Informatik und Gesellschaft Arbeitsweise 8 / 26 Seminar Informatik und Gesellschaft Arbeitsweise Funktionen Befehle Update böse Taten 9 / 26 Seminar Informatik und Gesellschaft Arbeitsweise Typische Verwendung eines Botnetzes DDoS Attacken Spam verschicken Proxydienste (illegales) File-hosting Phishing-Hosting (Black-List) Brute Force Angriff auf Passwörter und Schlüssel Daten verschlüsseln um Lösegeld zu erpressen Verkauf und Vermietung Werbung Spyware Page-Hits Telefon Spam ... 10 / 26 Seminar Informatik und Gesellschaft Arbeitsweise DDoS Distributed Denial-of-service Attack Bandbreitensättigung Traffic verursachen andere Verbindungen erhalten Time-out Ressourcensättigung Verbindungen besetzen (alle) neue Verbindungen werden vom Server abgelehnt Programm-fehler Programmabstürze provozieren z.B. durch Endlos-Schleifen 11 / 26 Seminar Informatik und Gesellschaft Arbeitsweise Sommerloch “Finde niemandem, über den ich eine DDoS-Attacke ordern kann. Sind alle irgendwohin verschwunden Brauche eine DDoS-Attacke für 2-4 Wochen werktags ab diesem Montag (möglich auch nur zwischen 9 und 21 Uhr). Zur Not auch späterer Start. Helfe, wer kann, bitte. Bezahlung über Garanten. P.S.: Ihre DDoS-Attacke hilft der russischen Automobilindustrie. Das ist kein Scherz .-) ” 12 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 13 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur C&C Abbildung: Zentrale Topologie Command and Control-Center 14 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur C&C Steuerungszentrum grafisches Remote-Programm aktualisiert Bot-Datenbank alle Bots sichtbar einfach zu entwickeln, verwalten und zu deaktivieren 15 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur P2P Abbildung: Dezentralisierte Topologie Peer to Peer 16 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur P2P P2P-Botnetz Bots haben Nachbarliste mit denen sie sich verbinden eingehende Befehle werden weiter gereicht neue Bots einfügen ist nicht einfach kein zentraler Knoten zum Zerschlagen des Netzes 17 / 26 Seminar Informatik und Gesellschaft Verbindungs Struktur Netzwerk-Protokolle IRC einfach zu handhaben IRC-Bots und allgemeine Clients bereits vorhanden Bot-Net-Piraten Instant Messanger jeder Bot braucht eigenen Account Web-orientiert Bot verbindet sich mit Server, erhält so Befehl und sendet Daten einfach aufzubauen, mehrere Web-Server möglich TCP/IP 18 / 26 Seminar Informatik und Gesellschaft Schutzmöglichkeiten 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 19 / 26 Seminar Informatik und Gesellschaft Schutzmöglichkeiten Privat Prävention aktuelles Betriebssystem (Sicherheitsupdates) Browser und eMail-Client aktuell halten (Exploits) Antiviren Software NAT-Firewall oder Software-Firewall kritischer Umgang mit Software aus dem Internet Erkennen eines Infizierten Systems Systemlastanstieg Router LEDs blinken ohne ’Grund’ Paketüberprüfung mittels Whireshark (extern, Bild) 20 / 26 Seminar Informatik und Gesellschaft Schutzmöglichkeiten 21 / 26 Seminar Informatik und Gesellschaft Schutzmöglichkeiten Wirtschaft Aufklärungsarbeit Honeypots und gefangene Bots disassemblen 1&1 informiert befallene Rechner via eMail Schritt für Schritt Anleitung in weniger Fällen sogar Abschaltung des Anschlusses, zum Schutz der Infrastruktur 22 / 26 Seminar Informatik und Gesellschaft Rechtlicher Standpunkt 1 Einführung 2 Arbeitsweise 3 Verbindungs Struktur 4 Schutzmöglichkeiten 5 Rechtlicher Standpunkt 23 / 26 Seminar Informatik und Gesellschaft Rechtlicher Standpunkt StGB §202a Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. 24 / 26 Seminar Informatik und Gesellschaft Rechtlicher Standpunkt StGB §303b Computersabotage (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, [...] wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die fr einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1 einen Vermögensverlust großen Ausmaßes herbeiführt, 2 gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3 durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt §202c entsprechend. 25 / 26 Seminar Informatik und Gesellschaft Rechtlicher Standpunkt Quellen 3 Kaspersky Lab “Botnetze - Geschäfte mit Zombies“ Kaspersky Lab “Schattenwirtschaft Botnetze ein Millionengeschäft für Cyberkriminelle” http://de.wikipedia.org/wiki/Botnet 4 http://en.wikipedia.org/wiki/Botnet 5 www.fh-trier.de/index.php?id=4365 “Botnetze“ http://blog.botnetzprovider.de/ 1 2 6 7 http://www.computerwoche.de/security/557828/index9.html ”Wie sich Bot-Netze enttarnen lassen“ 8 http://www.gulli.com/privacy/rechtliches 26 / 26 Seminar Informatik und Gesellschaft Seminar Informatik und Gesellschaft Thema: Botnet Thomas Köhler und Stefan Jäger Teil 2 : Das Storm-Worm-Botnet 17.05.2010 1 / 46 Seminar Informatik und Gesellschaft Inhaltsverzeichnis 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 2 / 46 Seminar Informatik und Gesellschaft Der Storm-Worm 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 3 / 46 Seminar Informatik und Gesellschaft Der Storm-Worm Allgemeines über den Storm-Worm Allgemeine Informationen (1) • 2007 und 2008 ging der sogenannte Stormbot durch alle Medien • auch Peacomm, Zhelatin, Nuwar@MM, Small.dam, Peed • bekam Namen durch Sturm Kyrill • zu Höchstzeiten 20 Prozent des globalen Spam-Aufkommens • laut IBM ISS wurden Ende 2007 damit täglich Mio. Dollar verdient • Botnet war zwischenzeitlich eines der gröÿten seiner Art • 2007 : Rechenleistung > als Top 10 Supercomputer zusammen • entspricht bis zu 10.000.000 inzierten Computern • Nr. 1 Supercomputer : 128.000 Prozessorkerne, 32 TB RAM 4 / 46 Seminar Informatik und Gesellschaft Der Storm-Worm Allgemeines über den Storm-Worm Allgemeine Informationen (2) • hieran erkennt man die Macht der Erschaer von Storm • war erste Mal dass so viel Power nicht in Hand von Uni's / Behörden • für DDos-Attacken, Spam, Passwort-Knacken, . . . • zudem einige Neuerungen gegenüber bisherigen Botnets • Selbstschutz, P2P-Struktur, verschlüsselte Kommunikation • Storm hat sich auf Windowssysteme spezialisiert • viele Sicherheitslücken • zudem beeinussbare Zielgruppe verwendet eher Windows 5 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 6 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet Aktivitäten des Storm-Worm-Botnets Dezember '06 E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr 7 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 8 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet Aktivitäten des Storm-Worm-Botnets Dezember '06 Januar '07 E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr neue Nachrichten zu Sturm Kyrill falsche Schlagzeilen: Saddam Hussein alive! April '07 falsche Schlagzeilen Israel Just Have Started World War III Virenwarnung, angebliche Schutzsoftware im Anhang Juni '07 August '07 Gruÿkarten, You've received a postcard from a family member Kontaktaufnahme Membership Details gefälschte YouTube Websites, oft Pornobilder versprochen 9 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 10 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 11 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet Aktivitäten des Storm-Worm-Botnets Dezember '06 Januar '07 E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr neue Nachrichten zu Sturm Kyrill falsche Schlagzeilen: Saddam Hussein alive! April '07 falsche Schlagzeilen Israel Just Have Started World War III Virenwarnung, angebliche Schutzsoftware im Anhang Juni '07 August '07 Gruÿkarten, You've received a postcard from a family member Kontaktaufnahme Membership Details gefälschte YouTube Websites, oft Pornobilder versprochen September '07 NFL Saison, Angebot kostenloser Karten und Videos Angebot kostenloser Spieledownload 12 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 13 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet Aktivitäten des Storm-Worm-Botnets Dezember '06 Januar '07 E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr neue Nachrichten zu Sturm Kyrill falsche Schlagzeilen: Saddam Hussein alive! April '07 falsche Schlagzeilen Israel Just Have Started World War III Virenwarnung, angebliche Schutzsoftware im Anhang Juni '07 August '07 Gruÿkarten, You've received a postcard from a family member Kontaktaufnahme Membership Details gefälschte YouTube Websites, oft Pornobilder versprochen September '07 NFL Saison, Angebot kostenloser Karten und Videos Angebot kostenloser Spieledownload Oktober '07 angebliches neues Filesharing-Programm zum Download 14 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 15 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet Aktivitäten des Storm-Worm-Botnets Dezember '06 Januar '07 E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr neue Nachrichten zu Sturm Kyrill falsche Schlagzeilen: Saddam Hussein alive! April '07 falsche Schlagzeilen Israel Just Have Started World War III Virenwarnung, angebliche Schutzsoftware im Anhang Juni '07 August '07 Gruÿkarten, You've received a postcard from a family member Kontaktaufnahme Membership Details gefälschte YouTube Websites, oft Pornobilder versprochen September '07 NFL Saison, Angebot kostenloser Karten und Videos Angebot kostenloser Spieledownload Oktober '07 Bis Februar '08 Oktober '08 April '10 angebliches neues Filesharing-Programm zum Download weitere vielfältige e-cards Stormbotnet wird für tot erklärt wieder zahlreiche Spam-mails mit Stormcharakteristika 16 / 46 Seminar Informatik und Gesellschaft Aktivitäten des Storm-Worm-Botnet 17 / 46 Seminar Informatik und Gesellschaft Gröÿe des Botnets 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 18 / 46 Seminar Informatik und Gesellschaft Gröÿe des Botnets Gröÿe des Botnets - Wie wird die Gröÿe festgestellt? Gröÿe feststellen • Zahlen sind hier schwer zu erfassen • man kann inzierte Computer nicht einfach identizieren und zählen • benötigt Indikatoren zur Bestimmung • diese Schätzungen beruhen auf • Menge an gezähltem Spamaufkommen • Meldungen über denitiv inzierte Computer + suchende Crawler • deshalb kaum Schätzungen aus der ersten Hälfte des Jahres 2007 19 / 46 Seminar Informatik und Gesellschaft Gröÿe des Botnets Gröÿe des Botnets - Verschiedene Zeiten, verschiedene Gröÿen August 2007 September 2007 Oktober 2007 April 2008 Mai 2008 Oktober 2008 rund 2.000.000 Inzierte [Tecchannel] 1.000.000 - 10.000.000 Inzierte [Washington Post] rund 50.000.000 Inzierte [MessageLabs] 1.000.000 - 10.000.000 Inzierte [seclists.org] 250.000 - 1.000.000 Inzierte [theregister.co.uk] 5.000 - 40.000 Inzierte [Universität Mannheim] rund 100.000 Inzierte [Tecchannel] Stormbotnet wird für tot erklärt 20 / 46 Seminar Informatik und Gesellschaft Funktionsweise des Botnets 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 21 / 46 Seminar Informatik und Gesellschaft Funktionsweise des Botnets Wie funktioniert Storm? Was macht Storm auf dem Computer? • gelangt über Emailanhänge oder über Browser auf das System • auf dem System entfernt Storm sich aus Liste der aktiven Prozesse • von Storm verwendete Dateien werden vor direktem Zugri versteckt • Systemdienste, Schutzsoftware, Firewalls werden deaktiviert • ansonsten verhält Storm sich sehr unauällig • scannt Festplatte nach Emailadressen • verschickt damit Spam, hier nur zum Zwecke der Vermehrung • jeder Bot hat von Anfang an Liste über andere Bots • nimmt Kontakt auf und erfragt Ort eines C & C-Servers • zudem geben diese Knoten noch andere Knoten bekannt 22 / 46 Seminar Informatik und Gesellschaft Funktionsweise des Botnets Wie funktioniert Storm? Wie funktioniert das Storm-Botnet? • existieren 2 Betriebsmodi von Storm 1) hinter Router ⇒ Spam-Bot, Teilnehmer an DDoS-Angri 2) alle Ports frei ⇒ ist Gateway oder C & C-Server • verbindet sich mit dem Server und läd Updates herunter • in Updates benden sich Modikationen und neue Befehle • C & C-Server laden Befehle von einer Internetseite • alle Bots synchronisieren die Zeit auf allen inzierten Computern • alle Bots kommunizieren über verschlüsseltes eDonkey-Protokoll • zudem Mutation von Storm alle 30 Minuten • fast unmöglich für signaturbasierte Antiviren-Programme 23 / 46 Seminar Informatik und Gesellschaft Funktionsweise des Botnets Wie verbreitet sich der Bot? (1) Spam • anfangs nur durch Emails: Gruÿkarten, Nachrichten, . . . (2) Internetseiten • Mails mit Internetlinks ⇒ dort Codec, Gruÿkarte, . . . (3) Exploits • Sammlung von PHP-Skripten • sucht Schwachstellen im Browser und wählt Exploit aus (4) Blogs • Blogs deren Inhalt den Spam-Mails entspricht • Authentizierung durch gestohlene Benutzerdaten 24 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 25 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot Wie sicher war man vor dem Bot? Allgemein • groÿe Verlockung für Anwender durch ansprechende Spam-Mails • durch häuge Mutationen erschwerte Mustererkennung • ab August 2007 : Antivirenprogramme / Firewalls deaktivierbar ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ Zonealarm Firewall Outpost Firewall McAfee AntiSpyware F-Secure Blacklight AVZ Antivirus Symantec Norton Antivirus Bitdefender Antivirus Microsoft AntiSpyware Antivir Antivirus ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ ⊲ Jetico Personal Firewall McAfee Personal Firewall McAfee Antivirus F-Secure Anti-Virus Kaspersky Antivirus Symantec Norton Internet Security Norman Antivirus Sophos Antivirus NOD32 Panda Antivirus 26 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot Schutzmaÿnahmen Allgemein • installieren einer Schutzsoftware • es fehlt ein zentraler Server • daher nicht ausreichend einzelne Computer vom Netz zu nehmen • System organisiert sich in diesem Fall einfach neu • daher wurde nach anderen Herangehensweisen gesucht ⇒ sofortige Deaktivierung (1) - Microsoft Malicious Software Removal Tool (MSRTT) • • im September 2007 wurde Storm-Worm in das Tool aufgenommen • • vom Storm-Worm nicht explizit als Antiviren-Programm erkannt Tool dann durch Windows Update installiert 274.372 Entfernungen innerhalb der ersten Woche 27 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot Schutzmaÿnahmen (2) - Walled Gardens • Initiative der Messaging Anti-Abuse Working Group (MAAWG) • empehlt Providern / Kunden den Einsatz von Walled Gardens • führt Kunden in diese sichere Online-Umgebung • dort können dann Selbstbereinigungstools heruntergeladen werden Dies ist aber fast immer eine kostenpichtige Lösung ! 28 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot Schutzmaÿnahmen (3) - Manuelle Entfernung des Bots 1. 2. 3. 4. 5. 6. Entfernung der API-Hooks mittels RootKit UnHooker Hooks werden entfernt ⇒ versteckte Dateien wieder sichtbar Löschen der von Storm angelegten Dateien anhand ihres eindeutigen Musters (spooldr.*, noskrnl.* , . . . ) Löschen der von Storm angelegten Registry-Einträge wieder anhand ihres eindeutigen Musters Wiederherstellung modizierter Systemtreiber Treiber wie z. B. tcpip.sys durch Originale ersetzen Löschen der von Storm angelegten Firewall-Regeln Systemneustart 29 / 46 Seminar Informatik und Gesellschaft Schutz vor dem Bot Schutzmaÿnahmen (4) - Das Tool Stormfucker • bei Sasser gab es Idee das Netz durch gutartigen Bot zu übernehmen • Vorstellung von Stormfucker am 30.12.08 auf der 25C3 • • Forscher kennen Quellcode und Vorgehensweise von Storm • verbreiten Befehl dass die Bots sich selbst löschen sollen geben sich selbst als C & C -Server aus • theoretisch lässt sich ganze Netz von einem Computer aus abschalten • ABER ein Angri auf das Botnet hat juristische Folgen • • da unberechtigter Zugri auf fremdes Eigentum • da er Möglichkeit zur Kontrolle über das Botnet bietet nicht ganzer Quellcode von Stormfucker veröentlichbar ⇒ Hier ein kleiner Blick in die Veranstaltung ⇐ 30 / 46 Seminar Informatik und Gesellschaft Verteidigungsmodus des Storm-Worm 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 31 / 46 Seminar Informatik und Gesellschaft Verteidigungsmodus des Storm-Worm Der Storm-Worm wehrt sich Problem • Schadcode des Bots ändert sich ständig (Inhalte, Prüfsummen) • dadurch erschwerte signatur-basierte Erkennung • für Mustererkennung aber viele Schadcode-Varianten nötig Verteidigungsmodus • häuger Bot-Download von fremder IP aktiviert Verteidigung • dieser Bot leitet DDos-Attacke ein + Befehl an verbundene Bots Opfer • September 2007 : 419eaters.com, Scamwarners, spamhouse.org • Oktober 2007 : IBM / ISS 32 / 46 Seminar Informatik und Gesellschaft Wer steckt hinter dem Botnet? 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 33 / 46 Seminar Informatik und Gesellschaft Wer steckt hinter dem Botnet? Wer steckt hinter dem Botnet? Problem • nicht einfach die Hintermänner zu identizieren • oft internationale bzw. interkontinentale Gruppierungen • dadurch ergeben sich diplomatische und rechtliche Probleme • USA verschärft Gesetze ⇒ Südostasien, Lateinamerika, Europa • manche Länder haben kaum/keine Internetgesetze • Art des Spams auf amerikanische Kultur und Lebensstil ausgelegt viele Spuren führen zu russischen Servern 30.1.2008 : Zhelatin-Gang identiziert • durch US-Behörden und russischem Security Service • Anzahl und Identität der Täter von russischen Behörden gesperrt • Täter in St. Petersburg ⇒ Zentrum für Cyberkriminelle • • ABER 34 / 46 Seminar Informatik und Gesellschaft Wer steckt hinter dem Botnet? Verkauf von Teilen des Botnets Wie verdienen die Storm-Betreiber ihr Geld? • • • • • • • • Storm-Worm verbreitet zu vielen Themen Spam scheint zu breit gefächert für eigene Vermarktung Vermutung: Betreiber vermieten das Botnet 2007 entdeckt dass Storm den Overnet-Trac nun verschlüsselt dies geschieht durch 40-Byte-Verschlüsselungen nur Bots mit demselben Code kommunizieren nun möglich Netzwerk in Teilen an kriminelle Gruppen zu verkaufen dies bedeutet Millionengeschäft, vermutlich rentabler 35 / 46 Seminar Informatik und Gesellschaft Zerschlagene Botnetze 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 36 / 46 Seminar Informatik und Gesellschaft Zerschlagene Botnetze Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge (1) Wann? : 7.10.2005 Wer? : 3 Verdächtige Was? : eingedrungen in Benutzerkonten von Ebay und Paypal → Quelle [4] Erpressung von Online-shops (2) Wie groÿ? : Botnet aus mehr als 100.000 Computern Wann? : 30.11.2007 Wer? : 8 USA-Amerikaner verhaftet und 3 bereits verurteilt → Quelle [23] Anführer 18-jähriger Neuseeländer: Online-ID AKILL Was? : Spam-Emails, DDos-Attacken Wie groÿ? : Botnet aus ca. 1.300.000 Computern Wie entdeckt? : entdeckt wegen 21-jährigen Amerikaner mietete Botnet für Angri auf Universität Behörden? : Internationale Antibotnet-Operation : Bot Roast II FBI, New Zealand Police, U.S. Secret Service 37 / 46 Seminar Informatik und Gesellschaft Zerschlagene Botnetze Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge (3) (4) Wann? : 13.8.2008 Wer? : 19-jähriger Mann festgenommen, Shadow-Botnet Was? : Spam-Emails, DDos-Attacken Wie groÿ? : Botnet aus bis zu 100.000 Computern Wie entdeckt? : versuchte Botnet an einen Brasilianer zu verkaufen Behörden? : High Tech Crime Unit der niederländischen Polizei Wann? : 25.11.2009 Wer? : 3 Täter verhaftet, 15 - 26 Jahre alt, Elite Crew-Botnet Was? : Kredikartendaten gestohlen, Malware verbreitet Wie groÿ? : Botnet aus ca. 100.000 Computern Wie entdeckt? : 50 Hausdurchsuchungen in D und Ö, 200 Polizisten Behörden? : Bundeskriminalamt → → Quelle [9] Quelle [15] 38 / 46 Seminar Informatik und Gesellschaft Zerschlagene Botnetze Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge (5) Wann? : 26.2.2010 Wer? : Waledac-Botnet Was? : über 1,5 Milliarden Spam-Mails pro Tag Behörden? : US Bundesgericht in Virginia erlaubt Zombiesabschaltung → Quelle [13] Microsoft, Industriepartner, Universitäten, Behörden (6) Wann? : 3.3.2010 Wer? : 3 Täter, 25 - 31 Jahre alt, Mariposa-Botnet Was? : Computer von 500 Groÿunternehmen und 40 Banken inziert Wie groÿ? : Botnet aus ca. 13.000.000 Computern Behörden? : FBI und Sicherheitsrma → Quelle [12] gröÿtes bekanntes Virennetzwerk Netzwerk nicht erschaen sondern gekauft, dann vermietet 39 / 46 Seminar Informatik und Gesellschaft Storm-Worm-Botnet aktuell 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 40 / 46 Seminar Informatik und Gesellschaft Storm-Worm-Botnet aktuell Ist das Storm-Worm-Botnet wirklich tot? 27.4.2010 → Quelle [16] • Botnet mit den Charakteristika von Storm entdeckt • versendet zahlreiche Spam-Mails, vor allem für Potenzmittel • von C &C-Servern 29.4.2010 → Anweisungen und Mailvorlagen verschickt Quelle [6] • • neues Botnet verschickt Spam-Mails • ABER Code von den Stormfuckers analysiert 1.5.2010 ⇒ wieder Storm keine P2P-Verbindung über TCP mehr, sondern über HTTP → Quelle [8] • neues Botnet laut Stormfuckers zu 2/3 aus Code von Storm • Kommandostruktur anscheinend anfällig, nur ein Server in Holland 41 / 46 Seminar Informatik und Gesellschaft Quellen 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 42 / 46 Seminar Informatik und Gesellschaft Quellen Quellen (1) http://pi1.informatik.uni-mannheim.de/filepool/theses/diplomarbeit-2008-dahl.pdf (2) http://www.kaspersky.com/de/downloads/pdf/vkamluk_botnetsbusiness_0508_de_pdf.pdf (3) ftp://ftp.ccc.de/congress/25c3/video_h264_720x576/25c3-3000-en-stormfucker_owning_the_storm_botnet.mp4 (4) http://bmsdm.de/2.html (5) http://de.wikipedia.org/wiki/Storm_Botnet (6) http://it-republik.de/php/news/Virtualisierung-wird-sicherer-das-Storm-Botnet-ist-zurueck-und-andere-Auffaelligkeiten -055208.html (7) http://spamtrackers.eu/wiki/index.php?title=Storm (8) http://windowsblog.freenet.de/2010/05/01/sturm-wurm-come-back/ (9) http://www.cleanport.com/?p=NXwx&id=155 (10) http://www.computerbild.de/artikel/cb-Aktuell-Sicherheit-Storm-Bot-Zombie-Netzwerk-sagt-Olympiade-ab-3117888.html (11) http://www.dailynet.de/InternetWeb/16928.php (12) http://www.focus.de/digital/computer/computerkriminalitaet-polizei-sprengt-riesen-botnet_aid_486367.html (13) http://www.focus.de/digital/internet/kriminalitaet-microsoft-sprengt-botnetz_aid_484543.html (14) http://www.golem.de/0812/64333.html 43 / 46 Seminar Informatik und Gesellschaft Quellen Quellen (15) http://www.gulli.com/news/bka-f-hrte-razzia-wegen-carding-durch-2009-11-25 (16) http://www.gulli.com/news/ist-das-storm-botnet-zur-ck-2010-04-27 (17) http://www.internetnews.com/ent-news/article.php/3724966 (18) http://www.reconstructer.org/ (19) http://www.tecchannel.de/sicherheit/news/1728071/stormathome_botnet_als_supercomputer/ (20) http://www.tecchannel.de/sicherheit/news/1737083/storm_worm_schlaegt_zurueck_it_security_forscher_angegriffen/ (21) http://www.tecchannel.de/sicherheit/news/1756652/storm_botnetz_von_forschern_infiltriert/ (22) http://www.tecchannel.de/sicherheit/news/1758362/derzeitige_top_it_risiken_storm_wurm_und_phisher_schwaecheln/index3.html (23) http://www.tecchannel.de/sicherheit/news/1740492/bot_roast_ii_behoerden_schlagen_gegen_botnetze_zurueck/ (24) http://www.tecchannel.de/sicherheit/spam/1748581/report_der_sturmwurm_die_evolution_der_malware/index6.html (25) http://www.wienerzeitung.at/DesktopDefault.aspx?TabID=4249&Alias=Dossiers&cob=322819&Page13164=5 (26) http://www.zdnet.de/news/wirtschaft_sicherheit_security_hacker_zeigen_botnet_uebernahme_auf_dem_25c3_story-39001024 -39200745-1.htm (27) http://www.zdnet.de/news/wirtschaft_sicherheit_security_sicherheitsexperten_storm_botnet_wird_bald_verkauft_story -39001024-39158434-1.htm (28) http://seclists.org/fulldisclosure/2007/Aug/0520.html (29) http://www.theregister.co.uk/2007/10/15/storm_trojan_balkanization/ (30) http://www.bankkaufmann.com/a-96315-MAAWG-attackiert-BotNets-mit-Best-Practices-fuer-Walled-Gardens-zum-Schutz-von -Benutzern.html 44 / 46 Seminar Informatik und Gesellschaft Diskussion 1 Der Storm-Worm 2 Aktivitäten des Storm-Worm-Botnet 3 Gröÿe des Botnets 4 Funktionsweise des Botnets 5 Schutz vor dem Bot 6 Verteidigungsmodus des Storm-Worm 7 Wer steckt hinter dem Botnet? 8 Zerschlagene Botnetze 9 Storm-Worm-Botnet aktuell 10 Quellen 45 / 46 Seminar Informatik und Gesellschaft Diskussion Vielen Dank für die Aufmerksamkeit ! Fragen? Diskussion Wie schützt sich das Uni-Rechenzentrum Jena? 46 / 46