Ein Overlay Network für Bots

Was ist ein Overlay Network? Unter solch einem Netzwerk versteht man ein weiteres in sich geschlossenes Netzwerk, das über dem Ganzen schwebt. Das Ganze ist in diesem Falle das Internet selbst. Das Overlay Network ist dann im Falle der Trojaner ein Verbund aus Proxys, IRC Servern und http Servern. Diese werde so dicht miteinander verwoben, das wenn einer mal auffällt es keinen großen Abbuch tut. Dazu sind die Trojaner selbst mit einem Fall-Back-Mechanismus bestückt. Geht etwas nicht, probiert er das andere. Und nur dann, wenn der Normalweg nicht funktioniert.

Solch ein Bot-Overlay Network ist häufig zentralisiert. Das bedeutet, es gibt Dienste, die auf einer Maschine laufen, die an einem bestimmten Punkt der Erde sich befinden. Das heißt auch, fällt dieser Punkt komplett aus, steht alles. Daher ist die Redundanz auch das A und O. Also mehrere Controller, die die Aufgaben des anderen übernehmen können, sollte ein System zufällig aus dem Verbund ausscheiden.

Allerdings ist dies nicht die einzige Form. Einige dieser Overlay Netze sind selbst organisierend. Das ist so etwas Ähnliches wie Peer-2-Peer. Das Netz organisiert sich selbst. Jeder infizierte Rechner übernimmt eine Teilrolle im Internet. Er kann als Arbeiter (Worker) oder als Proxy (Vermittler) seinen Betrieb aufnehmen. Dieses Betriebsmodus wird er von Zeit zu Zeit ändern. Auf diese Weise lassen sich sogenannte Multi-Level-Architekturen bilden. Die eigentlichen Controller-Server werden nie wirklich in Aktion treten, da sie immer über mehrere Distanzen über die Proxysysteme kommunizieren werden. Auf diese Weise ist solch ein Netz schwer abzuschalten.

Drive-By-Downloads und ihre Tücken

Das Prinzip besteht darin, dass bei dem Durchlaufen einer Internetseite ein Schadprogramm in das Zielsystem eingeschleust wird. Die Methoden sind unterschiedlich. Der Angreifer verändert oder platziert eine Internetseite, die sich aktiv auf ein Plug-In im Webbrowser richtet. Ebenso kann eine Schwachstelle im Browser selbst ausgenutzt werden, um die Schadsoftware eindringen zu lassen.

Verwendet werden gerne clientseitige Scripts, wie JavaScript oder VBScript. Das Verhalten dieser ist allerdings unterschiedlich. Eine Möglichkeit ist eine SQL Injektion. Diese wird meist bei einer legitimen Webseite durchgeführt. Auf diese Weise wird das Datenbanksystem dazu gebracht sensible Informationen dem Endbenutzer zurückzugeben. Das können Kennwörter, Login-Daten sein oder vielmehr sogar teils sogar die ganze Datenbank. Doch wie gelangt diese auf das System?

Die Software verarbeitet beispielsweise an einer Stelle einen String nicht korrekt, der einen SQL Befehl führt. Steuerzeichen werden nicht gefiltert, bzw. Aussortiert, sondern fließen komplett mit in die Verarbeitung mit ein. Was ich damit sagen will ist, dass über ein Parameter ein SQL Befehl entsprechend erweitert werden kann. Mit dem Semikolon kann einfach ein neuer Befehl angefügt werden. Werden diese vom Benutzer übergebenen Parameter nicht überprüft, so kann ein Angreifer direkt einen eigenen Befehl absetzen.

Weiter ist es möglich eine URL über Spam zu verbreiten. Je mehr, desto besser, ein Benutzer wird schon drauf klicken. Es passiert immer wieder und viele Leute lassen sich durch Fake-Mails hinter das Licht führen. Ebenso ist es möglich diese Exploits in Ad‘s, die ausgeführt werden anzuhängen.

Jedoch sind Script nicht nur das A und O sich etwas Unangenehmes einzufangen. Auch eine Umleitung in einem iframe kann den Benutzer auf eine Schadseite locken. Diese wird direkt durch die Ursprungsseite geladen. Dieser Vorgang lässt sich nicht so ohne weiteres überblicken. Ebenso kann damit für jeden Browser selbst eine entsprechende Attacke formuliert werden, damit möglichst viele Computer ins Netz gehen.

Wie geschieht die Infektion von Systemen mit Trojanern?

Im Prinzip gibt es unzählige Varianten, die einen Benutzer dazu bewegen eine Datei zu öffnen. Dies ist auch schon der einfachste der Wege. Mail senden, seltsames Attachement und schon machen einige Benutzer aus Neugier diese Datei auf. Es wird etwas belangloses gezeigt und der Trojaner befindet sich im System. Auch gerade, weil viele Benutzer mit direkten Administratorrechten sich im Internet bewegen.

Ein weiterer Weg ist die Infektion über Würmer. Diese bewegen sich autonom durch das Internet, indem sie das System durch Schwachstellen befallen. Meist wurden diese System nicht ausreichend gepatcht oder haben keine ausreichende Firewall aktiv. Von diesen Computern aus, verbreiten sich diese Programme weiter und arbeiten sonst ebenso auch, wie andere Malware.

Nächste Möglichkeit ist, dem Benutzer ein Programm anzubieten, welches den Trojaner beinhaltet und ihm etwas Nützliches bringt. Einfache Shareware und Freeware, von seltsamen Quellen kann durchaus einen Trojaner beinhalten. Auch Cracks können damit versehen worden sein. Der Benutzer installiert sozusagen höchst persönlich sein Schadprogramm, ohne es wirklich zu melden.

Aktuell recht im Trend sind die Drive-By-Downloads. Meist werden Webseiten gehackt und entsprechend mit einem Browser-Exploit versehen. Auf diese Weise wird unsichtbar ein Code im Browser ausgeführt und dieser lädt die Schadsoftware nach. Es gibt unterschiedliche Exploits, viele sind gepatcht, viele auch nicht. Auffallend sind viel PDF Exploits, die aktuell kursieren. Neue Versionen des PDF Betrachtern können Abhilfe schaffen, doch viele Benutzer aktualisieren oft ihre Software nicht.

Die nächste Version ist die Infektion über eine bereits existierende Sicherheitslücke im System des Opfers. Eine bereits vorliegende Infektion mit einer Schadsoftware führt dazu, das diese Software eine andere in das System lässt. Auf diese Weise kann eine entsprechende Gruppe neue Versionen ihre Schadsoftware weiter verbreiten.

Botnetze – Woher kamen sie, wohin gehen sie?

In den früheren 90iger Jahren entwickelte sich das IRC rasant und wurde zur größten Community der Welt. Möglicherweise ist dies heute noch so. Tausende von Gruppen tummelten sich in Channels, Hacker und Cracker tauschten Programme aus und verteilten so ihre Daten. Die Zeiten ändern sich. Die ersten IRC Bots wurden in dieser Zeit entwickelt, um automatisiert sich um die Verwaltung von IRC Channeln zu kümmern. Sie waren sozusagen ein Werkzeug der Operator.

So im Jahre 1999 bis 2000 kam eine neue Generation in diese Welt. Die DDoS Tools. Dies steht für Distributed Denial of Service. Diese Bots waren dazu geschaffen in einer Art digitalen Armee einzelne Systeme oder Netzwerke anzugreifen. Im Prinzip wurde an dieser Stelle der Grundstein des automatisierten Cyberwars gelegt. Schöne Beispiele sind der Trinoo, TFN2k und Stacheldraht.

Natürlich gab es auch weitere Entwicklungszweige. Die Trojaner wurden größer, besser und vielseitiger, als andere einfache Malware. Im Jahre 1998 bis 2000 wurden weitere Trojanische Pferde entwickelt, die entsprechend die Kontrolle des infizierten Systems übernehmen konnten. Dazu gehören BackOrifice, BackOrifice2k und SubSeven.

Die Entwickler schlafen nicht und weitere Generationen wurden entwickelt. Würmer wurden geboren, im Prinzip ebenfalls Trojaner. Sie breiteten sich über Sicherheitslücken in Betriebssystemen aus, erkannten Firewallkonfigurationsfehler und verteilten sich damit sehr rasch quer durch das Internet. Einige Beispiele an dieser Stelle sind Code Red, Blaster und Sasser.

Die heutigen Trojaner stehlen Zugangsdaten, Passwörter mit hingebungsvollen Tricks aus dem System des infizierten, leiten Webseiten um, verstecken sich von aktuellen Anti-Virus Programmen, patchen Teile des Betriebssystems im Speicher beim Bootup. Sie schreiben sich auf schlecht erreichbare Teile der Festplatte und arbeiten völlig unsichtbar im Hintergrund. Daten werden per Mail oder IRC versendet, vielleicht auch in Datenbanken abgelegt. Kommandos werden empfangen und machen damit das System zu einem Zombierechner. Eine Armee von Seelenlosen, für Cyberwar, Phishing und allerlei, was letztendlich Geld einbringt.

Doch wer steuert diese Zombies? Als Hexenmeister kann leicht der Begriff Bot Master oder Bot Herder genannt werden. Diese Hauptadministratoren geben die eigentlichen Kommandos und steuern die gesamte Maschenerie. Diese legen ihre Befehle auf einen gut geschützten Command and Control Server. Dieser kommuniziert natürlich niemals direkt mit den aktiven Trojanern. Geschicktes Versteckspiel von Proxynetzen verhindern ein direktes Auftreten und Verschleiern somit teils sogar die Existenz der Hauptserver.

IRC Bots – Wächter, Diener und Krieger

Dann gibt es noch die „Benign bots“. Diese finden sich öfters im IRC. Die reagieren auf bestimmte Events im Channel. Sie stellen einige Dienste zur Verfügung. Zum Beispiel posten sie alle 2 Minuten einen Trigger in den Channel. Sei der Tricker „show your files“. Spricht man diese virtuelle Person in diesem Channel mit diesem Wortlaut an, so sendet der Bot einem eine TXT Datei, die entsprechend weitere Kommandos beinhaltet. Jedes dieser Kommandos fordert entsprechend eine Datei an. Ein schönes weiteres Beispiel ist der NickServ.

Es gibt im IRC auch einen weiteren Bot. Der Eggdrop Bot. Dieser wird immer noch auf eggheads.org gepflegt. Dieser Bot verwaltet einen Channel, wenn der Operator, also sowas wie der Besitzer oder Administrator nicht anwesend ist. Natürlich lassen sich diese Bots auch für negative Sachen verwenden. Flooding ist nur ein Begriff. Bots wurden entsprechend entwickelt, um Netsplits zu verursachen. Es wurden ebenso auch IRC Proxies entwickelt, die dazu verwendet werden, den Ursprung eines IRC Benutzers zu verschleiern.

Bots, digitale Kleinstroboter

Tjo, was ist eigentlich ein Bot? Unter einem Bot versteht der ITler ein Programm, das autonom Aufgaben auf einem System verrichtet. Ein schönes Beispiel ist die Rückantwort auf eine Mail, „ich bin im Urlaub“, sobald jemand sich in seinem Unternehmen entsprechend abmeldet. An dieser Stelle ist eine Art Bot aktiv, er sieht eine eingehende Mail und macht etwas mit ihr. Vielleicht weiterleiten, wenn es sich um eine externe Mailaddy handelt. Vielleicht auch Rückantwort zusenden und Mail abspeichern. Der Bot betrachtet eine Eingabe, in diesem Fall eine Mail, schaut woher sie kam und sendet entsprechend dorthin eine neue E-Mail. Das geht auch im IRC und ICQ Netz. Es gibt einige Bots für ICQ, die einen beschäftigen sollen. Sie verwickeln den anderen Benutzer in oft seltsame Dialoge. Manche dieser Bot sind recht weit entwickelt, diese Dialoge sind dann zumindest noch mit etwas Sinn belegt.

Google, Eis, Holzfeuer und etwas Rauch

Google ist dein Freund. Naja, diese Aussage sollte jeder Nutzer doch mal überdenken. Aber: Gute Suchmaschine. Obwohl: Bing ist auch sehr gut. Wiedermal kann man sich es aussuchen. Nunja. Ich habe heute Google bemüht und habe die Taktik „Hölzchen und Stöckchen ergeben ein Feuer“ probiert. Wie? Sammeln, Lesen und Freuen. Jawohl. Mein Morgen begann so mäßig, das ich bevor ich in das Büro kam einen echten Hals hatte und am liebsten gleich wieder heim gegangen wäre. Durch meine längere Anfahrt ein völlig utopisches Unterfangen. Exakt. Die Bahn kam zu spät. Nur: Diesmal konnte sie dafür nichts. Personenbeschädigung, nicht Personenschaden, da die Person noch lebt. Wunderbar. Dennoch ging mir die Hetze aufs Schwein. Da hilft weder die Schweinegrippe, noch ein Ringelschwänzchen aus Haribo-Gummibärchen. Grmpf.

Aber der Tag erhellt sich. Der ausgefallene Vodafone UMTS Mast fing wieder an zu funken und ich kam aus der GPRS Hölle heraus. Leider funkte der nicht durchgehend, aber weitestgehend. Leider ist die Empfangsqualität auch echt mies. Die war mal besser. Ob jemand den Mast geklaut hat? Ich hab schon meinen Adlerblick ausgepackt und geguckt, ob oben etwas fehlt. Sieht nicht so aus. Störungen? Hab leider kein Funkscanner mit einem Frequenzspektrogramm. Sowas wäre mal was für Weihnachten! Vorher steht das 19 Zoll ATX Gehäuse auf dem Zettel fürs Christkindlein. Der Weihnachtsmann bringt meine Geschenke auch meist mit der Ares Rakete anstatt mithilfe des Schlittens. Obwohl, sone rote Fahne an die Kufe gebunden, man will ja kein Ticket bekommen, wegen Überbeladung, herausragende Gehäuse und los… 10 Renntiere auf 100km ist doch ein guter Verbrauch? Ob dann hier im ICE von Lamm auf Rehntier umgestellt wird? Man erinnere sich an den hohen Verbrauch von Schafen. 100 Schafe pro 10 Meter. Der ICE Train ist aber auch schwerer, gutgut. Rehntiere haben einen besseren Brennwert (kcal).

Nachdem mein Augenmerk auf einen tollen Artikel gefallen ist, war das Mittagessen und diese Lektüre ein kleines Highlight. Das kann ich ja meinen Lesern nicht vorenthalten. Es geht um die Zukunft, soviel kann ich verraten. Der Link:Search for Effect of Influence from Future in Large Hadron Collider by Holger B. Nielsen and Masao Ninomiya

Nunja, die heutige Basisliteratur ein kleines PDF Feuerwerk, mit ein wenig gerollten PPT dazu, ergab nach und nach ein kleines Feuerchen und mir ist in einiger Hinsicht ein Lichtlein aufgegangen. Gut, es kann auch ein herannahender Zug sein, ich drifte wieder zu den Schafen…. Schnell wieder weg, bevor noch der Boardcomputer abstürzt. Ich graste also oberflächlich durch die Sachen und zog mir erstmal die essenziellen Dinge heraus. Jetzt nur noch etwas Luft hinein, aufschlagen, Eischnee dazu und etwas weißes Pulver… fertig ist ein kleiner Kuchen…Y.E.S. Yes, Encrypted Spam. Törtchen für das digitale Örtchen.

Nachdem jetzt wirklich jeder aufgehört hat zu lesen – im Prinzip versuche ich die tiefere Stukturen zu verstehen, einmal woher kommen die Kommandos und vor allem nach welchen Schema sichern sich diese Systeme ab, falls doch mal ein CC Server filitiert wird. Ich habe noch nicht sonderlich große Details herausbekommen, habe entschieden, das ein Praxisexperiment dafür hinhalten kann. Wenn es schon keine Doku gibt, hilft der DASM und ein Rechner, der den Trojaner fahren darf. Wireshark und TCPdump helfen hoffentlich einige brauchbare Ergebnisse zu liefern. Naja. Das Mebroot Netz kann eh alles nachladen….. hach woher komme ich bloß an die Binaries? Zwei Varianten: Entweder ich surfe mal ne Weile auf dubiosen Seiten und fange mir was ein… oder ich bitte den Clan der Hexenmeister in ihren Kessel zu greifen. Dafür habe ich schon fleißig Kräuter gesammelt und vorgekocht. Das Rezept läßt sich universell einsetzen. Nachdem ich den Zaubertrank zusammengemixt habe und rote, grüne, lila und gelbe Wolken produziere, muss man nur mit dem Holzlöffel an den Kessel hauen, damit die Luft aufsteigt und schon codiert man mit seiner Jacke oder einer Decke entsprechende Morsezeichen über dem Kessel. Und immer in einer Richtung rühren, sonst fliegt es einem um die Ohren.

So, erklärt mich ruhig für verrückt. Ich genieße es grade so einen Scheiß zu schreiben. 🙂 Ahhhh, das tat gut.

Weiter im Thema. Hier ein sehr lesenswertes Werk von Microsoft. Es handelt sich um den Bericht „Microsoft-Analyse zur IT-Sicherheit – Ausgabe 7 (Januar bis Juni 2009)“. Der entsprechend Link zur Seite ist unterhalb abgebildet. Ich habe die beiden Dateien, das PDF und das XPS File entsprechend als Backups hier ebenfalls als Link abrufbar gemacht.

Microsoft: „Die 7. Ausgabe der Microsoft®-Analyse zur IT-Sicherheit bietet umfassende Einblicke in die Verbreitung von schädlicher und potenziell unerwünschter Software, Software-Exploits, Sicherheitsverletzungen und Software-Sicherheitsschwachstellen (sowohl bei Microsoft-Software als auch bei Software von Drittanbietern). Microsoft hat diese Einblicke auf der Basis ausführlicher Analysen in den letzten Jahren entwickelt, wobei der Schwerpunkt auf dem ersten Halbjahr 2009.“
Die 7. Ausgabe der Microsoft®-Analyse zur IT-Sicherheit
Die Dateien lassen sich hier auch als Backup herunterladen:
Microsoft Security Intelligence Report – Volume 7 Jan-Jun 2009 (PDF)
Microsoft Security Intelligence Report – Volume 7 Jan-Jun 2009 (XPS)

Dropper, Trojaner – Streichelzoo.

Interessant. Ich habe damit begonnen mich ein wenig der Funktionalität von Malware zu widmen. Im Prinzip besteht dieser Streichelzoo aus einer gewissen Menge an Baukastenprodukten, die später andere Module aus dem Internet nachladen. Na klar, das ist alles nichts Neues. Neu finde ich die aktuelle Entwicklung, dass die Tierchen sich auch auf dem MBR einnisten und hinten herum einige windows-interne Komponenten im Speicher patchen. Natürlich ist dagegen das Betriebssystem recht machtlos. Bevor ich es vergesse, so muss an dieser Stelle gesagt werden, dass ich mich selbst vorerst einmal mit der Windows-Malware auseinandersetze. Natürlich sind die anderen Betriebssysteme in gleicher Weise anfällig. Es gibt hier und da kleine Unterschiede, aber ein Patch ist ein Patch.

Nunja, der Infektionsweg ist aktuell auch meist der gleiche. Der Benutzer denkt meist tatsächlich noch als Mails. Aber im Ernst: Wer wurde wirklich mal per Mail infiziert? Bisher passierte mir das nicht. Anderen auch nicht. Vielleicht lag es auch an der Arbeitsweise meines Anti-Virus Programms zusammen mit meinem Mailclient. Vielleicht ist untertrieben, das war der Hauptgrund. Dazu kam einfach die Tatsache, das ich Zeug, was ich nicht kenne, nicht anklicke. Also, liebe Benutzer. Auch wenn einem die tollsten Sexbilder versprochen werden, Attachment löschen. Und schon sind so ziemlich alle Mailwürmer gebannt. Alle? Nein, nicht alle. Nur noch die HTML Interpretation deaktivieren, so dass sich nichts über die Webseiteninterpretation einnistet und keinerlei anderes Zeug, wie ActiveX und Javascript in Mails ausführen lassen. Das reicht. Schlussendlich haben auch die Provider mit ihren Mailscans viele einfach ausgerottet. Dazu kommt, das Virenspam auch einfach teurer ist, als die Installation eines Drive-By-Downloads.

Aktuell ist das Wort Drive-By-Download ja mehr oder weniger in aller Munde und eigentlich sollte sich jeder Benutzer darüber im Klaren sein, das er sich jederzeit so etwas einfangen kann. Das nicht nur auf Erotikseiten oder Seite mit einem fragwürdigen Inhalt. Auch völlig normale Seiten können geknackt und infiziert worden sind. Doch was tun? Wie geht sowas eigentlich?

Das ganze Hexenwerk eines Driveby basiert immer auf den Schwächen des Nutzercomputers gepaart mit einem Exploit. Der Exploit ist eigentlich so das A und O. Schließlich muss das Programm ja erstmal geladen werden. Meist handelt es sich um einen PDF Exploit. Über Fehler in der PDF Betrachtung wird ein Programmcode auf dem System ausgeführt. Dabei handelt es sich öfters um einen Dropper. Etwas zur Erklärung. Der PDF Betrachter ist ein Teilstück, welches im Browser läuft. Schließlich möchte der Benutzer schnell und einfach ein PDF Dokument öffnen und das gleich im Browser lesen. An dieser Stelle setzen einige der Angriffe an. Dem Programm wird ein Dokuemnt untergeschoben, also es wird geöffnet, das entsprechend dieses Teilstück angreift. Das geschieht durch einen Fehler im Betrachter selbst, der sich am Dokument verschluckt und plötzlich Teile davon als Programmcode ausführt. Viel kann dort nicht übertragen werden, aber es reicht, um einen Dropper zu übermitteln. Schon läuft etwas im Speicher des Browsers, das dort eigentlich nichts verloren hat. Doch was tut dieser Dropper? Er lädt andere Teile, oft die eigentliche Malware nach und schreibt sie in das Betriebssystem und führt sie natürlich auch aus. Poff. Der Trojaner wird nachgeladen und installiert sich in das System. Ich gebe zu, die Erklärung ist sehr dünn und sehr grob. Aber so ungefähr läuft das.

Was kann man machen? Zuerst reicht es oft, dem Browser das PDF-sichten abzugewöhnen. Es sollte statt dessen ein downloade-mich-mal Knopf erscheinen. Dazu deinstalliert man einfach das handelsübliche PDF Programm und installiert etwas einfaches, welches Browser nicht unterstützt. Unbequem, oder? Der andere Weg ist, entsprechend das Browserplugin zu löschen. Händisch. Das erfordert etwas mehr Geschick. Schon sind PDF basierende Drive-by-downloads gebannt. Es geht ein Fensterchen auf, das man doch eine PDF Datei öffnen oder herunterladen soll. An dieser Stelle dann entsprechend Abbrechen. Natürlich wird dies nicht für alles reichen. Es gibt noch unzählige andere Exploits. Allerdings generell hilft diese Vorgehensweise ganz gut weiter.

Kaffeekränzchen mit weiteren Erkenntnissen

Heute gab es einen weiteren kleinen Ausflug. Diesmal blieben wir an unserem Standort und liefen nur zu unserem globalen Koorperationspartner. Nettes Gespräch, ebenso Kaffee und ein paar doch sehr nützliche Informationeen. Hier und da konnte mein Gesamtbild vom Internet der Moderne und die Zusatzfeatures weiter ausgebaut werden.

Weiter habe ich an dem Webserver die Logfiles abgespeichert und diese analysiert. Ein paar Pakete herausgezogen und entsprechend festgestellt, das leider sich mit den Detailinfos sich wenig anfangen läßt. Schön ist, das generell das soweit funktioniert hat. Immerhin. Leider konnte ich nicht zu meinem gewünschten Ergebnis kommen. Aber vielleicht klappt es später einmal.

Ausflug, Kaffeefreuden und Informationen

Der heutige Ausflug war sehr interessant. Es ging zu ein paar Computerspezialisten zum Kaffeekränzchen. Ja, ich nenne das so liebevoll. Unter anderem, weil sie einmal einen Kaffeeautomat in ein Reck eingebaut haben. Imposant. Auf diese Weise muss der Admin nicht zu weit zum Automaten laufen. Schließlich liefert der Rechner dann die ausreichende Menge von Kaffee. Sonst hatten sie einen riesigen Automaten der alle Sorten von Kaffee lieferte. Sehr lecker.

Wir durften das Herz betrachten, den Hauptrechner und bekamen alles weitere gezeigt. Dazu ein paar hochinteressante Präsentationen. Ich konnte sehr viel mitnehmen. Auch an Tips und anderen Kleinigkeiten. Das Gebäude hat allerlei kleine Spezialanfertigungen drin, die das Arbeiten sehr sicher und angenehm gestalten. Einige kleinere Tools wurden in den Präsentationen vorgestellt, die eine innovative Arbeitsweise hatten.