Conficker entmystifiziert
Mit ihrer Analyse des Conficker-Wurms decken die Spezialisten des Honeynet-Projekts gezielt Ansatzpunkte für Gegenmaßnahmen auf. Die reichen vom Aufspüren bis hin zur gezielten Reinigung.
Felix Leder und Tillmann Werner von der Universität Bonn stellen heute die Ergebnisse ihrer Analyse des Conficker-Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms, sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm immunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Conficker sogar direkt angreifen könnte.
Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Conficker aus dem Shellcode und lädt das Wurm-Programm dann selber.
Doch damit nicht genug. Conficker testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Conficker auf diesem Weg etwas unterzuschieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.
Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überprüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des Weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Conficker glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.
Und schließlich haben die Honeynet-Experten dann doch noch eine Schwachstelle in Conficker entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Conficker Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Conficker Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.
Damals beim Sturmwurm haben die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Conficker: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Conficker Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Conficker.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.
Siehe dazu auch:
- Know Your Enemy: Containing Conficker, das Paper des Honeynet-Projekts
- Containing Conficker, Tools and Infos von Felix Leder und Tillmann Werner
Zum Umgang mit Viren und Würmern und zum Schutz vor den digitalen Schädlingen siehe:
- Antiviren-Seiten von heise Security
Zum Conficker-Wurm siehe auch
- Deutsche Forscher entwickeln Netzwerk-Scan für Conficker-Wurm
- Conficker-Wurm lädt nach – vielleicht
- Tools zum Entfernen von Conficker
- Conficker-Wurm rüstet auf
- Conficker-Wurm stört legitime Domains im März
- Der Conficker-Wurm wird flexibler
- ICANN-Arbeitsgruppe soll Maßnahmen gegen Conficker-Wurm finden
- Hunderte Bundeswehr-Rechner von Conficker befallen
- Microsoft bietet 250.000 Dollar für Hinweise auf Conficker-Verbreiter
- F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen
- Studie: 2,5 Millionen PCs mit Conficker-Wurm infiziert
- Conficker in Kärnten: Nach der Landesregierung nun die Spitäler
- Conficker schlägt bei Kärntner Regierung zu
(ju)
