GlasBlog

Jeder bekommt sie: Spam-Mails. Die wenigsten wissen jedoch, was hinter diesem Übel wirklich steckt. In den letzten Monaten hat das Spamaufkommen wieder drastisch zugenommen. An allen Ecken und Enden sprießen Firmen die auf Spam-Bekämpfung spezialisiert sind aus dem Boden. Die Branche ist lukrativ, der Kunde legt immer mehr Wert auf ein sauberes Postfach. Doch wie kommt nun Spam in unser Postfach? Bis 2006 ging der Großteil über SMTP-Relais, die konnte man blockieren und damit die Flut einschränken. Doch das war Schnee von gestern. Immer mehr werden so genannte Bot-Netze verwendet. Hierfür wird ein Rechner mit einem Trojaner infiziert der zum einen nach E-Mail Adressen scannt und zum anderen als Mail-Server fungiert. Hat man nun eine ganze Armee solcher Rechner, ist man in der Lage innerhalb kürzester Zeit eine wahre Sinnflut von Spam-Mails zu versenden. Konnte man früher noch ein Solches Netz durch ausfindig machen und abschalten des Steuer-Servers unschädlich machen, steht man heute vor dem Problem, dass die Netze immer mehr auf dezentrale Lösungen setzen. So muss man erst über viele Instanzen gehen um an das Herz des Netzes zu kommen.

Die Methode der vielen Bot-Drohnen hat einen entschiedenen Vorteil, konnte man früher die Flut über das Sperren von IP-Adressen und das Anlegen so genannter Blacklists eindämmen, so hat dieses Vorgehen heute kaum noch Wirkung. Das wird noch dadurch erschwert, dass viele Bot-Drohnen über DSL und damit dynamische IP-Adressen mit dem Internet verbunden sind.
Doch von solchen Netzen geht nicht nur das Übel Spam aus. Der Enorme Traffic, der solch ein Netz verursachen kann, eignet sich hervorragend für DDoS. Dabei wird ein Server durch eine sehr hohe Anzahl von Anfragen bis zur Aufgabe überlastet.

Wie bekämpft man nur ein solches Bot-Netz? Ein Beispiel für eine Möglichkeit gibt uns der low interaction Honeypot Nepenthes.

Funktionsweise:

Nepenthes emuliert verschiedene bekannte Schwachstellen. Dringt nun ein Wurm in unser virtuelles System, können wir ihn uns genauer anschauen. Dafür bietet uns Nepenthes jede Menge Module:

- DNS resolving
- Emulation verschiedener Schwachstellen
- Download von Daten die durch den Wurm angefordert werden
- Shellcode handler
- Eine Möglichkeit spezielle Aktionen auszulösen
- Versenden der gesammelten Dateien

Nepenthes verwendet nun diese Module um dem Angreifer eben genug Feedback zu geben, damit er nicht spitz bekommt, dass er hochgenommen wird. Dafür müssen die Module genau wissen, was ein gewisses Exploit von einer Schwachstelle erwartet und entsprechend reagieren.
Auch kann man neue Exploits sammeln um so weitere Informationen zu den Vorgehensweisen der Angreifer zu bekommen. Hierfür werden genaue Informationen in den Logfiles abgelegt. Hat man nun die neuen Informationen zu einem unbekannten Exploit, ist man in der Lage ein neues Modul für Nepenthes zu schreiben um nun auch in Zukunft auf Anfragen durch dieses Exploit zu reagieren.

Hat man nun einen Wurm erwischt, kann Nepenthes die gesammelten Informationen an Norman’s Sandbox versenden. Norman’s Sandbox ist keine gewöhnlicher Virenscanner. Er ist in der Lage Schadcode auszuführen und über dessen Vorgehensweise ein Protokoll zu erstellen. Dieses kann an sich dann per Mail zusenden lassen.
In solch einem Protokoll können dann Verbindungsdaten, IP’s und Passwörter für IRC Channels stehen. Also eine gute Ausgangsinformation zur Bekämpfung von Bot-Netzen.
Ein solcher Report könnte dann zum Beispiel so aussehen:

Norman Scanner Engine 5.82. 1
Sandbox 05.82, dated 29/03-2005

Your message ID (for later reference): 20050517-649

nepenthes-daf98501557e99f8831b4a31a0f0b517-gta.exe : [SANDBOX] contains a security risk – W32/Backdoor (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO – REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* **Locates window “NULL [class mIRC]” on desktop.
* File length: 100378 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\gta.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value “Gta San Andreas”=”gta.exe” in key “HKLM\Software\Microsoft\Windows\CurrentVersion\Run”.
* Creates value “Gta San Andreas”=”gta.exe” in key “HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices”.
* Creates value “Gta San Andreas”=”gta.exe” in key “HKCU\Software\Microsoft\Windows\CurrentVersion\Run”.

[ Network services ]
* Looks for an Internet connection.
* Connects to “asyabot.flashirc.org” on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses password lol.
* IRC: Uses nickname ASYA-803400.
* IRC: Uses username ezkieyac.
* IRC: Joins channel #asya with password asya.
* IRC: Sets the usermode for user ASYA-803400 to +n+U.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex BoT.
* Will automatically restart after boot (I’ll be back…).

(C) 2004 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.
Sent by removed@email.com to sandbox.

Wie man selbst als Laie sehen kann, enthält diese Information viele Anhaltspunkte für weitere Schritte.

Ich selbst habe Nepenthes auf meinem Desktop-Rechner installiert. Noch habe ich keine Würmer an den Haken bekommen, ob es an meiner dynamischen IP oder die geringe Uptime liegt, weiß ich nicht, doch wird das Programm bei mir in Zukunft immer mitlaufen.

Die Installation unter Debian ist denkbar einfach. Für andere Betriebssysteme gibt es auf der Homepage von Nepethes ausführliche Informationen.

Quellen:
c’t 2/2007
nepenthes.mwcollect.org

Dieser Eintrag wurde am 12:04 AM, den 3 March 2007 um 12:04 AM veröffentlicht und in der Kategorie Honeypot, Internet, Malware, Sicherheit abgelegt. Du kannst alle Antworten zu diesem Eintrag via RSS 2.0 verfolgen. Du kannst eine Antwort hinterlassen oder einen Trackback von deiner Seite senden.