Seminar Informatik und Gesellschaft

Сomentários

Transcrição

Seminar Informatik und Gesellschaft
Seminar Informatik und Gesellschaft
Seminar Informatik und Gesellschaft
Thema: Botnet
Thomas Köhler und Stefan Jäger
Teil 1 : Botnetze, Aufbau und Funktionsweise
17.05.2010
1 / 26
Seminar Informatik und Gesellschaft
Inhaltsverzeichnis
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
2 / 26
Seminar Informatik und Gesellschaft
Einführung
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
3 / 26
Seminar Informatik und Gesellschaft
Einführung
Bot
Software die selbstständig sich wiederholende Aufgaben übernimmt
Suchmaschinen Bots
IRC Bots
Netz
Verbindung der Netzteilnehmer
Internet
Botnetz
Über das Internet verbundene Bots zu einem Botnetz
Prim95
[email protected]
illegale Botnetze
4 / 26
Seminar Informatik und Gesellschaft
Einführung
Schäden für den Nutzer
Verlust von
Rechenleistung
Traffic
persönlichen Daten
Nutzen für den Schädiger
Gewinn von
Rechenleistung
Traffic
persönlichen Daten
5 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
6 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
Zielgruppe
unwissende(naive) Anwender
weit verbreitete Hard- und Softwarestrukturen
unsichere Systeme
Verbreitung
klassische Verbreitung
Exploits (Internet-Software)
Patch-Angebote auf Fake-Seiten
7 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
8 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
Funktionen
Befehle
Update
böse Taten
9 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
Typische Verwendung eines Botnetzes
DDoS Attacken
Spam verschicken
Proxydienste
(illegales) File-hosting
Phishing-Hosting (Black-List)
Brute Force Angriff auf Passwörter und Schlüssel
Daten verschlüsseln um Lösegeld zu erpressen
Verkauf und Vermietung
Werbung
Spyware
Page-Hits
Telefon Spam
...
10 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
DDoS
Distributed Denial-of-service Attack
Bandbreitensättigung
Traffic verursachen
andere Verbindungen erhalten Time-out
Ressourcensättigung
Verbindungen besetzen (alle)
neue Verbindungen werden vom Server abgelehnt
Programm-fehler
Programmabstürze provozieren
z.B. durch Endlos-Schleifen
11 / 26
Seminar Informatik und Gesellschaft
Arbeitsweise
Sommerloch
“Finde niemandem, über den ich eine DDoS-Attacke ordern kann. Sind
alle irgendwohin verschwunden Brauche eine DDoS-Attacke für 2-4
Wochen werktags ab diesem Montag (möglich auch nur zwischen 9 und
21 Uhr). Zur Not auch späterer Start. Helfe, wer kann, bitte. Bezahlung
über Garanten. P.S.: Ihre DDoS-Attacke hilft der russischen
Automobilindustrie. Das ist kein Scherz .-) ”
12 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
13 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
C&C
Abbildung: Zentrale Topologie Command and Control-Center
14 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
C&C
Steuerungszentrum
grafisches Remote-Programm
aktualisiert Bot-Datenbank
alle Bots sichtbar
einfach zu entwickeln, verwalten und zu deaktivieren
15 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
P2P
Abbildung: Dezentralisierte Topologie Peer to Peer
16 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
P2P
P2P-Botnetz
Bots haben Nachbarliste mit denen sie sich verbinden
eingehende Befehle werden weiter gereicht
neue Bots einfügen ist nicht einfach
kein zentraler Knoten zum Zerschlagen des Netzes
17 / 26
Seminar Informatik und Gesellschaft
Verbindungs Struktur
Netzwerk-Protokolle
IRC
einfach zu handhaben
IRC-Bots und allgemeine Clients bereits vorhanden
Bot-Net-Piraten
Instant Messanger
jeder Bot braucht eigenen Account
Web-orientiert
Bot verbindet sich mit Server, erhält so Befehl und sendet Daten
einfach aufzubauen, mehrere Web-Server möglich
TCP/IP
18 / 26
Seminar Informatik und Gesellschaft
Schutzmöglichkeiten
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
19 / 26
Seminar Informatik und Gesellschaft
Schutzmöglichkeiten
Privat
Prävention
aktuelles Betriebssystem (Sicherheitsupdates)
Browser und eMail-Client aktuell halten (Exploits)
Antiviren Software
NAT-Firewall oder Software-Firewall
kritischer Umgang mit Software aus dem Internet
Erkennen eines Infizierten Systems
Systemlastanstieg
Router LEDs blinken ohne ’Grund’
Paketüberprüfung mittels Whireshark (extern, Bild)
20 / 26
Seminar Informatik und Gesellschaft
Schutzmöglichkeiten
21 / 26
Seminar Informatik und Gesellschaft
Schutzmöglichkeiten
Wirtschaft
Aufklärungsarbeit
Honeypots und gefangene Bots disassemblen
1&1
informiert befallene Rechner via eMail
Schritt für Schritt Anleitung
in weniger Fällen sogar Abschaltung des Anschlusses, zum Schutz
der Infrastruktur
22 / 26
Seminar Informatik und Gesellschaft
Rechtlicher Standpunkt
1 Einführung
2 Arbeitsweise
3 Verbindungs Struktur
4 Schutzmöglichkeiten
5 Rechtlicher Standpunkt
23 / 26
Seminar Informatik und Gesellschaft
Rechtlicher Standpunkt
StGB §202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht
für ihn bestimmt und die gegen unberechtigten Zugang besonders
gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird
mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2)
Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind
oder übermittelt werden.
24 / 26
Seminar Informatik und Gesellschaft
Rechtlicher Standpunkt
StGB §303b Computersabotage
(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher
Bedeutung ist, dadurch erheblich stört, [...] wird mit Freiheitsstrafe bis zu
drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine
Datenverarbeitung, die fr einen fremden Betrieb, ein fremdes
Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die
Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch
ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die
Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein
besonders schwerer Fall liegt in der Regel vor, wenn der Täter
1 einen Vermögensverlust großen Ausmaßes herbeiführt,
2 gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur
fortgesetzten Begehung von Computersabotage verbunden hat,
3 durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen
Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik
Deutschland beeinträchtigt.
(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt §202c
entsprechend.
25 / 26
Seminar Informatik und Gesellschaft
Rechtlicher Standpunkt
Quellen
3
Kaspersky Lab “Botnetze - Geschäfte mit Zombies“
Kaspersky Lab “Schattenwirtschaft Botnetze ein Millionengeschäft
für Cyberkriminelle”
http://de.wikipedia.org/wiki/Botnet
4
http://en.wikipedia.org/wiki/Botnet
5
www.fh-trier.de/index.php?id=4365 “Botnetze“
http://blog.botnetzprovider.de/
1
2
6
7
http://www.computerwoche.de/security/557828/index9.html ”Wie
sich Bot-Netze enttarnen lassen“
8
http://www.gulli.com/privacy/rechtliches
26 / 26
Seminar Informatik und Gesellschaft
Seminar Informatik und Gesellschaft
Thema: Botnet
Thomas Köhler und Stefan Jäger
Teil 2 : Das Storm-Worm-Botnet
17.05.2010
1 / 46
Seminar Informatik und Gesellschaft
Inhaltsverzeichnis
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
2 / 46
Seminar Informatik und Gesellschaft
Der Storm-Worm
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
3 / 46
Seminar Informatik und Gesellschaft
Der Storm-Worm
Allgemeines über den Storm-Worm
Allgemeine Informationen (1)
•
2007 und 2008 ging der sogenannte Stormbot durch alle Medien
•
auch Peacomm, Zhelatin, [email protected], Small.dam, Peed
•
bekam Namen durch Sturm Kyrill
•
zu Höchstzeiten 20 Prozent des globalen Spam-Aufkommens
•
laut IBM ISS wurden Ende 2007 damit täglich Mio. Dollar verdient
•
Botnet war zwischenzeitlich eines der gröÿten seiner Art
•
2007 : Rechenleistung > als Top 10 Supercomputer zusammen
•
entspricht bis zu 10.000.000 inzierten Computern
•
Nr. 1 Supercomputer : 128.000 Prozessorkerne, 32 TB RAM
4 / 46
Seminar Informatik und Gesellschaft
Der Storm-Worm
Allgemeines über den Storm-Worm
Allgemeine Informationen (2)
• hieran erkennt man die Macht der Erschaer von Storm
• war erste Mal dass so viel Power nicht in Hand von Uni's / Behörden
• für DDos-Attacken, Spam, Passwort-Knacken, . . .
• zudem einige Neuerungen gegenüber bisherigen Botnets
• Selbstschutz, P2P-Struktur, verschlüsselte Kommunikation
• Storm hat sich auf Windowssysteme spezialisiert
• viele Sicherheitslücken
• zudem beeinussbare Zielgruppe verwendet eher Windows
5 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
6 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
Aktivitäten des Storm-Worm-Botnets
Dezember '06
E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr
7 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
8 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
Aktivitäten des Storm-Worm-Botnets
Dezember '06
Januar '07
E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr
neue Nachrichten zu Sturm Kyrill
falsche Schlagzeilen: Saddam Hussein alive!
April '07
falsche Schlagzeilen Israel Just Have Started World War III
Virenwarnung, angebliche Schutzsoftware im Anhang
Juni '07
August '07
Gruÿkarten, You've received a postcard from a family member
Kontaktaufnahme Membership Details
gefälschte YouTube Websites, oft Pornobilder versprochen
9 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
10 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
11 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
Aktivitäten des Storm-Worm-Botnets
Dezember '06
Januar '07
E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr
neue Nachrichten zu Sturm Kyrill
falsche Schlagzeilen: Saddam Hussein alive!
April '07
falsche Schlagzeilen Israel Just Have Started World War III
Virenwarnung, angebliche Schutzsoftware im Anhang
Juni '07
August '07
Gruÿkarten, You've received a postcard from a family member
Kontaktaufnahme Membership Details
gefälschte YouTube Websites, oft Pornobilder versprochen
September '07
NFL Saison, Angebot kostenloser Karten und Videos
Angebot kostenloser Spieledownload
12 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
13 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
Aktivitäten des Storm-Worm-Botnets
Dezember '06
Januar '07
E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr
neue Nachrichten zu Sturm Kyrill
falsche Schlagzeilen: Saddam Hussein alive!
April '07
falsche Schlagzeilen Israel Just Have Started World War III
Virenwarnung, angebliche Schutzsoftware im Anhang
Juni '07
August '07
Gruÿkarten, You've received a postcard from a family member
Kontaktaufnahme Membership Details
gefälschte YouTube Websites, oft Pornobilder versprochen
September '07
NFL Saison, Angebot kostenloser Karten und Videos
Angebot kostenloser Spieledownload
Oktober '07
angebliches neues Filesharing-Programm zum Download
14 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
15 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
Aktivitäten des Storm-Worm-Botnets
Dezember '06
Januar '07
E-Mails verbreitet, Glückwünsche für das bevorstehende Jahr
neue Nachrichten zu Sturm Kyrill
falsche Schlagzeilen: Saddam Hussein alive!
April '07
falsche Schlagzeilen Israel Just Have Started World War III
Virenwarnung, angebliche Schutzsoftware im Anhang
Juni '07
August '07
Gruÿkarten, You've received a postcard from a family member
Kontaktaufnahme Membership Details
gefälschte YouTube Websites, oft Pornobilder versprochen
September '07
NFL Saison, Angebot kostenloser Karten und Videos
Angebot kostenloser Spieledownload
Oktober '07
Bis Februar '08
Oktober '08
April '10
angebliches neues Filesharing-Programm zum Download
weitere vielfältige e-cards
Stormbotnet wird für tot erklärt
wieder zahlreiche Spam-mails mit Stormcharakteristika
16 / 46
Seminar Informatik und Gesellschaft
Aktivitäten des Storm-Worm-Botnet
17 / 46
Seminar Informatik und Gesellschaft
Gröÿe des Botnets
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
18 / 46
Seminar Informatik und Gesellschaft
Gröÿe des Botnets
Gröÿe des Botnets - Wie wird die Gröÿe festgestellt?
Gröÿe feststellen
• Zahlen sind hier schwer zu erfassen
• man kann inzierte Computer nicht einfach identizieren und zählen
• benötigt Indikatoren zur Bestimmung
• diese Schätzungen beruhen auf
• Menge an gezähltem Spamaufkommen
• Meldungen über denitiv inzierte Computer + suchende Crawler
• deshalb kaum Schätzungen aus der ersten Hälfte des Jahres 2007
19 / 46
Seminar Informatik und Gesellschaft
Gröÿe des Botnets
Gröÿe des Botnets - Verschiedene Zeiten, verschiedene Gröÿen
August 2007
September 2007
Oktober 2007
April 2008
Mai 2008
Oktober 2008
rund 2.000.000 Inzierte
[Tecchannel]
1.000.000 - 10.000.000 Inzierte
[Washington Post]
rund 50.000.000 Inzierte
[MessageLabs]
1.000.000 - 10.000.000 Inzierte
[seclists.org]
250.000 - 1.000.000 Inzierte
[theregister.co.uk]
5.000 - 40.000 Inzierte
[Universität Mannheim]
rund 100.000 Inzierte
[Tecchannel]
Stormbotnet wird für tot erklärt
20 / 46
Seminar Informatik und Gesellschaft
Funktionsweise des Botnets
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
21 / 46
Seminar Informatik und Gesellschaft
Funktionsweise des Botnets
Wie funktioniert Storm?
Was macht Storm auf dem Computer?
• gelangt über Emailanhänge oder über Browser auf das System
• auf dem System entfernt Storm sich aus Liste der aktiven Prozesse
• von Storm verwendete Dateien werden vor direktem Zugri versteckt
• Systemdienste, Schutzsoftware, Firewalls werden deaktiviert
• ansonsten verhält Storm sich sehr unauällig
• scannt Festplatte nach Emailadressen
• verschickt damit Spam, hier nur zum Zwecke der Vermehrung
• jeder Bot hat von Anfang an Liste über andere Bots
• nimmt Kontakt auf und erfragt Ort eines C & C-Servers
• zudem geben diese Knoten noch andere Knoten bekannt
22 / 46
Seminar Informatik und Gesellschaft
Funktionsweise des Botnets
Wie funktioniert Storm?
Wie funktioniert das Storm-Botnet?
• existieren 2 Betriebsmodi von Storm
1) hinter Router ⇒ Spam-Bot, Teilnehmer an DDoS-Angri
2) alle Ports frei ⇒ ist Gateway oder C & C-Server
• verbindet sich mit dem Server und läd Updates herunter
• in Updates benden sich Modikationen und neue Befehle
• C & C-Server laden Befehle von einer Internetseite
• alle Bots synchronisieren die Zeit auf allen inzierten Computern
• alle Bots kommunizieren über verschlüsseltes eDonkey-Protokoll
• zudem Mutation von Storm alle 30 Minuten
• fast unmöglich für signaturbasierte Antiviren-Programme
23 / 46
Seminar Informatik und Gesellschaft
Funktionsweise des Botnets
Wie verbreitet sich der Bot?
(1) Spam
• anfangs nur durch Emails: Gruÿkarten, Nachrichten, . . .
(2) Internetseiten
• Mails mit Internetlinks ⇒ dort Codec, Gruÿkarte, . . .
(3) Exploits
• Sammlung von PHP-Skripten
• sucht Schwachstellen im Browser und wählt Exploit aus
(4) Blogs
• Blogs deren Inhalt den Spam-Mails entspricht
• Authentizierung durch gestohlene Benutzerdaten
24 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
25 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
Wie sicher war man vor dem Bot?
Allgemein
• groÿe Verlockung für Anwender durch ansprechende Spam-Mails
• durch häuge Mutationen erschwerte Mustererkennung
• ab August 2007 : Antivirenprogramme / Firewalls deaktivierbar
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
Zonealarm Firewall
Outpost Firewall
McAfee AntiSpyware
F-Secure Blacklight
AVZ Antivirus
Symantec Norton Antivirus
Bitdefender Antivirus
Microsoft AntiSpyware
Antivir
Antivirus
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
⊲
Jetico Personal Firewall
McAfee Personal Firewall
McAfee Antivirus
F-Secure Anti-Virus
Kaspersky Antivirus
Symantec Norton Internet Security
Norman Antivirus
Sophos Antivirus
NOD32
Panda Antivirus
26 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
Schutzmaÿnahmen
Allgemein
•
installieren einer Schutzsoftware
•
es fehlt ein zentraler Server
•
daher nicht ausreichend einzelne Computer vom Netz zu nehmen
•
System organisiert sich in diesem Fall einfach neu
•
daher wurde nach anderen Herangehensweisen gesucht
⇒
sofortige Deaktivierung
(1) - Microsoft Malicious Software Removal Tool (MSRTT)
•
•
im September 2007 wurde Storm-Worm in das Tool aufgenommen
•
•
vom Storm-Worm nicht explizit als Antiviren-Programm erkannt
Tool dann durch Windows Update installiert
274.372 Entfernungen innerhalb der ersten Woche
27 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
Schutzmaÿnahmen
(2) - Walled Gardens
• Initiative der Messaging Anti-Abuse Working Group (MAAWG)
• empehlt Providern / Kunden den Einsatz von Walled Gardens
• führt Kunden in diese sichere Online-Umgebung
• dort können dann Selbstbereinigungstools heruntergeladen werden
Dies ist aber fast immer eine kostenpichtige Lösung !
28 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
Schutzmaÿnahmen
(3) - Manuelle Entfernung des Bots
1.
2.
3.
4.
5.
6.
Entfernung der API-Hooks mittels RootKit UnHooker
Hooks werden entfernt ⇒ versteckte Dateien wieder sichtbar
Löschen der von Storm angelegten Dateien
anhand ihres eindeutigen Musters (spooldr.*, noskrnl.* , . . . )
Löschen der von Storm angelegten Registry-Einträge
wieder anhand ihres eindeutigen Musters
Wiederherstellung modizierter Systemtreiber
Treiber wie z. B. tcpip.sys durch Originale ersetzen
Löschen der von Storm angelegten Firewall-Regeln
Systemneustart
29 / 46
Seminar Informatik und Gesellschaft
Schutz vor dem Bot
Schutzmaÿnahmen
(4) - Das Tool Stormfucker
•
bei Sasser gab es Idee das Netz durch gutartigen Bot zu übernehmen
•
Vorstellung von Stormfucker am 30.12.08 auf der 25C3
•
•
Forscher kennen Quellcode und Vorgehensweise von Storm
•
verbreiten Befehl dass die Bots sich selbst löschen sollen
geben sich selbst als C & C -Server aus
• theoretisch lässt sich ganze Netz von einem Computer aus abschalten
• ABER ein Angri auf das Botnet hat juristische Folgen
•
•
da unberechtigter Zugri auf fremdes Eigentum
•
da er Möglichkeit zur Kontrolle über das Botnet bietet
nicht ganzer Quellcode von Stormfucker veröentlichbar
⇒
Hier ein kleiner Blick in die Veranstaltung
⇐
30 / 46
Seminar Informatik und Gesellschaft
Verteidigungsmodus des Storm-Worm
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
31 / 46
Seminar Informatik und Gesellschaft
Verteidigungsmodus des Storm-Worm
Der Storm-Worm wehrt sich
Problem
• Schadcode des Bots ändert sich ständig (Inhalte, Prüfsummen)
• dadurch erschwerte signatur-basierte Erkennung
• für Mustererkennung aber viele Schadcode-Varianten nötig
Verteidigungsmodus
• häuger Bot-Download von fremder IP aktiviert Verteidigung
• dieser Bot leitet DDos-Attacke ein + Befehl an verbundene Bots
Opfer
• September 2007 : 419eaters.com, Scamwarners, spamhouse.org
• Oktober 2007 : IBM / ISS
32 / 46
Seminar Informatik und Gesellschaft
Wer steckt hinter dem Botnet?
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
33 / 46
Seminar Informatik und Gesellschaft
Wer steckt hinter dem Botnet?
Wer steckt hinter dem Botnet?
Problem
• nicht einfach die Hintermänner zu identizieren
• oft internationale bzw. interkontinentale Gruppierungen
• dadurch ergeben sich diplomatische und rechtliche Probleme
• USA verschärft Gesetze ⇒ Südostasien, Lateinamerika, Europa
• manche Länder haben kaum/keine Internetgesetze
• Art des Spams auf amerikanische Kultur und Lebensstil ausgelegt
viele Spuren führen zu russischen Servern
30.1.2008 : Zhelatin-Gang identiziert
• durch US-Behörden und russischem Security Service
• Anzahl und Identität der Täter von russischen Behörden gesperrt
• Täter in St. Petersburg ⇒ Zentrum für Cyberkriminelle
•
•
ABER
34 / 46
Seminar Informatik und Gesellschaft
Wer steckt hinter dem Botnet?
Verkauf von Teilen des Botnets
Wie verdienen die Storm-Betreiber ihr Geld?
•
•
•
•
•
•
•
•
Storm-Worm verbreitet zu vielen Themen Spam
scheint zu breit gefächert für eigene Vermarktung
Vermutung: Betreiber vermieten das Botnet
2007 entdeckt dass Storm den Overnet-Trac nun verschlüsselt
dies geschieht durch 40-Byte-Verschlüsselungen
nur Bots mit demselben Code kommunizieren
nun möglich Netzwerk in Teilen an kriminelle Gruppen zu verkaufen
dies bedeutet Millionengeschäft, vermutlich rentabler
35 / 46
Seminar Informatik und Gesellschaft
Zerschlagene Botnetze
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
36 / 46
Seminar Informatik und Gesellschaft
Zerschlagene Botnetze
Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge
(1)
Wann?
: 7.10.2005
Wer?
: 3 Verdächtige
Was?
: eingedrungen in Benutzerkonten von Ebay und Paypal
→
Quelle [4]
Erpressung von Online-shops
(2)
Wie groÿ?
: Botnet aus mehr als 100.000 Computern
Wann?
: 30.11.2007
Wer?
: 8 USA-Amerikaner verhaftet und 3 bereits verurteilt
→
Quelle [23]
Anführer 18-jähriger Neuseeländer: Online-ID AKILL
Was?
: Spam-Emails, DDos-Attacken
Wie groÿ?
: Botnet aus ca. 1.300.000 Computern
Wie entdeckt?
: entdeckt wegen 21-jährigen Amerikaner
mietete Botnet für Angri auf Universität
Behörden?
: Internationale Antibotnet-Operation : Bot Roast II
FBI, New Zealand Police, U.S. Secret Service
37 / 46
Seminar Informatik und Gesellschaft
Zerschlagene Botnetze
Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge
(3)
(4)
Wann?
: 13.8.2008
Wer?
: 19-jähriger Mann festgenommen, Shadow-Botnet
Was?
: Spam-Emails, DDos-Attacken
Wie groÿ?
: Botnet aus bis zu 100.000 Computern
Wie entdeckt?
: versuchte Botnet an einen Brasilianer zu verkaufen
Behörden?
: High Tech Crime Unit der niederländischen Polizei
Wann?
: 25.11.2009
Wer?
: 3 Täter verhaftet, 15 - 26 Jahre alt, Elite Crew-Botnet
Was?
: Kredikartendaten gestohlen, Malware verbreitet
Wie groÿ?
: Botnet aus ca. 100.000 Computern
Wie entdeckt?
: 50 Hausdurchsuchungen in D und Ö, 200 Polizisten
Behörden?
: Bundeskriminalamt
→
→
Quelle [9]
Quelle [15]
38 / 46
Seminar Informatik und Gesellschaft
Zerschlagene Botnetze
Zerschlagene Botnetze - Eine Auswahl bisheriger Erfolge
(5)
Wann?
: 26.2.2010
Wer?
: Waledac-Botnet
Was?
: über 1,5 Milliarden Spam-Mails pro Tag
Behörden?
: US Bundesgericht in Virginia erlaubt Zombiesabschaltung
→
Quelle [13]
Microsoft, Industriepartner, Universitäten, Behörden
(6)
Wann?
: 3.3.2010
Wer?
: 3 Täter, 25 - 31 Jahre alt, Mariposa-Botnet
Was?
: Computer von 500 Groÿunternehmen und 40 Banken inziert
Wie groÿ?
: Botnet aus ca. 13.000.000 Computern
Behörden?
: FBI und Sicherheitsrma
→
Quelle [12]
gröÿtes bekanntes Virennetzwerk
Netzwerk nicht erschaen sondern gekauft, dann vermietet
39 / 46
Seminar Informatik und Gesellschaft
Storm-Worm-Botnet aktuell
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
40 / 46
Seminar Informatik und Gesellschaft
Storm-Worm-Botnet aktuell
Ist das Storm-Worm-Botnet wirklich tot?
27.4.2010
→
Quelle [16]
•
Botnet mit den Charakteristika von Storm entdeckt
•
versendet zahlreiche Spam-Mails, vor allem für Potenzmittel
•
von C
&C-Servern
29.4.2010
→
Anweisungen und Mailvorlagen verschickt
Quelle [6]
•
•
neues Botnet verschickt Spam-Mails
•
ABER
Code von den Stormfuckers analysiert
1.5.2010
⇒
wieder Storm
keine P2P-Verbindung über TCP mehr, sondern über HTTP
→
Quelle [8]
•
neues Botnet laut Stormfuckers zu 2/3 aus Code von Storm
•
Kommandostruktur anscheinend anfällig, nur ein Server in Holland
41 / 46
Seminar Informatik und Gesellschaft
Quellen
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
42 / 46
Seminar Informatik und Gesellschaft
Quellen
Quellen
(1)
http://pi1.informatik.uni-mannheim.de/filepool/theses/diplomarbeit-2008-dahl.pdf
(2)
http://www.kaspersky.com/de/downloads/pdf/vkamluk_botnetsbusiness_0508_de_pdf.pdf
(3)
ftp://ftp.ccc.de/congress/25c3/video_h264_720x576/25c3-3000-en-stormfucker_owning_the_storm_botnet.mp4
(4)
http://bmsdm.de/2.html
(5)
http://de.wikipedia.org/wiki/Storm_Botnet
(6)
http://it-republik.de/php/news/Virtualisierung-wird-sicherer-das-Storm-Botnet-ist-zurueck-und-andere-Auffaelligkeiten
-055208.html
(7)
http://spamtrackers.eu/wiki/index.php?title=Storm
(8)
http://windowsblog.freenet.de/2010/05/01/sturm-wurm-come-back/
(9)
http://www.cleanport.com/?p=NXwx&id=155
(10)
http://www.computerbild.de/artikel/cb-Aktuell-Sicherheit-Storm-Bot-Zombie-Netzwerk-sagt-Olympiade-ab-3117888.html
(11)
http://www.dailynet.de/InternetWeb/16928.php
(12)
http://www.focus.de/digital/computer/computerkriminalitaet-polizei-sprengt-riesen-botnet_aid_486367.html
(13)
http://www.focus.de/digital/internet/kriminalitaet-microsoft-sprengt-botnetz_aid_484543.html
(14)
http://www.golem.de/0812/64333.html
43 / 46
Seminar Informatik und Gesellschaft
Quellen
Quellen
(15)
http://www.gulli.com/news/bka-f-hrte-razzia-wegen-carding-durch-2009-11-25
(16)
http://www.gulli.com/news/ist-das-storm-botnet-zur-ck-2010-04-27
(17)
http://www.internetnews.com/ent-news/article.php/3724966
(18)
http://www.reconstructer.org/
(19)
http://www.tecchannel.de/sicherheit/news/1728071/stormathome_botnet_als_supercomputer/
(20)
http://www.tecchannel.de/sicherheit/news/1737083/storm_worm_schlaegt_zurueck_it_security_forscher_angegriffen/
(21)
http://www.tecchannel.de/sicherheit/news/1756652/storm_botnetz_von_forschern_infiltriert/
(22)
http://www.tecchannel.de/sicherheit/news/1758362/derzeitige_top_it_risiken_storm_wurm_und_phisher_schwaecheln/index3.html
(23)
http://www.tecchannel.de/sicherheit/news/1740492/bot_roast_ii_behoerden_schlagen_gegen_botnetze_zurueck/
(24)
http://www.tecchannel.de/sicherheit/spam/1748581/report_der_sturmwurm_die_evolution_der_malware/index6.html
(25)
http://www.wienerzeitung.at/DesktopDefault.aspx?TabID=4249&Alias=Dossiers&cob=322819&Page13164=5
(26)
http://www.zdnet.de/news/wirtschaft_sicherheit_security_hacker_zeigen_botnet_uebernahme_auf_dem_25c3_story-39001024
-39200745-1.htm
(27)
http://www.zdnet.de/news/wirtschaft_sicherheit_security_sicherheitsexperten_storm_botnet_wird_bald_verkauft_story
-39001024-39158434-1.htm
(28)
http://seclists.org/fulldisclosure/2007/Aug/0520.html
(29)
http://www.theregister.co.uk/2007/10/15/storm_trojan_balkanization/
(30)
http://www.bankkaufmann.com/a-96315-MAAWG-attackiert-BotNets-mit-Best-Practices-fuer-Walled-Gardens-zum-Schutz-von
-Benutzern.html
44 / 46
Seminar Informatik und Gesellschaft
Diskussion
1
Der Storm-Worm
2
Aktivitäten des Storm-Worm-Botnet
3
Gröÿe des Botnets
4
Funktionsweise des Botnets
5
Schutz vor dem Bot
6
Verteidigungsmodus des Storm-Worm
7
Wer steckt hinter dem Botnet?
8
Zerschlagene Botnetze
9
Storm-Worm-Botnet aktuell
10
Quellen
45 / 46
Seminar Informatik und Gesellschaft
Diskussion
Vielen Dank für die Aufmerksamkeit !
Fragen?
Diskussion
Wie schützt sich das Uni-Rechenzentrum Jena?
46 / 46

Documentos relacionados