Mysterium 55808

Seit mehreren Tagen beobachten Sicherheitsexperten ungewöhnlichen hohen Traffic. Der Grund dafür sind offenbar Varianten eines bislang unbekannten Programmes mysteriöser Herkunft.

In Pocket speichern vorlesen Druckansicht 621 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Patrick Brauch

Seit mehreren Tagen beobachten Sicherheitsexperten ungewöhnlichen hohen Traffic. Der Grund dafür sind offenbar Varianten eines Programms aus unbekannter Herkunft. Bemerkt wurden die Aktivitäten des Programms durch eine plötzlich ansteigende Netzlast, wobei die versendeten TCP-Pakete eine auffallend große Window Size von 55.808 aufweisen. Mehrere Postings auf der Mailingliste Full-Disclosure beschreiben die beobachteten Phänomene.

Die Sicherheitsunternehmen Lanscope, Intrusec und ISS haben den "Trojaner" bereits analysiert -- wobei noch diskutiert wird, ob es sich tatsächlich um ein trojanisches Pferd, eine Backdoor oder einen Wurm handelt.

Das Sample, das ISS und Intrusec vorliegt und Stumbler getauft wurde, ist ein Linux-Binary, das Netzwerkkarten in den Promiscous Mode setzt -- dadurch werden sämtliche Pakete von der Karte an das System weitergereicht, nicht nur diejenigen, die für die eigene MAC-Adresse bestimmt sind. Fortan versendet das Programm offenbar an willkürliche IP-Adressen TCP-Pakete mit der Window Size 55.808. Dabei benutzt Stumbler gespoofte Absenderadressen, die alle aus einem nicht zugewiesenen Adressbereich stammen. Moderne Rootkits verwenden eine ähnliche Technik; sie lauschen auf Pakete mit speziellen Merkmalen wie einer ungewöhnlichen Window Size, um Befehle entgegenzunehmen. Über den Sinn von Stumbler sind sich die Experten noch nicht ganz einig: ISS und Intrusec vermuten, dass es sich um einen Distributed Portscanner handelt, der noch nicht völlig ausgereift ist. Eine andere Vermutung geht dahin, dass es sich bei Stumbler um ein neues Tool für DDoS-Attacken (Distributed Denial of Service) handelt.

Ziemlich sicher ist nur, dass die erste Aktivität von Stumbler am 16. Mai aufgefallen ist, seitdem erhöhte sich das Aufkommen der speziellen TCP-Pakete langsam, aber stetig. Laut ISS ist kaum zu schätzen, auf wie vielen Rechnern Stumbler bereits läuft -- man geht aber mindestens von einigen Hundert aus; Anfang der Woche wurden über 3.000 solcher "Portscans" registriert.

Interessant in diesem Zusammenhang ist das Auftauchen eines neuen Windows-Schädlings, den Network Associates Randex getauft hat. Auch dieser verschickt TCP-Pakete mit der gleichen Window Size. Während einige Experten das für Zufall halten, spekulieren andere über einen gezielten Tarnmechanismus: Bestimmte Varianten schicken quasi sinnlose Pakete mit der gleichen Window Size wie der richtige Schädling, der so aber gezielt kommuniziert. In diesem Sperrfeuer der TCP-Pakete ist es schwierig zu ermitteln, welche Pakete nun tatsächlich einen Zweck erfüllen und welche nicht.

Da das Linux-Binary neben dem Versand der TCP-Pakete an scheinbar zufällige IP-Adressen keine eigentliche Schad- oder Verbreitungsroutine besitzt, ist der Verdacht eines Ablenkungsmanövers nicht von der Hand zu weisen. Die Samples werden momentan von Antiviren-Hersteller noch genauer analysiert. (pab)