mwcollect-3.0 für Honeypots erschienen
Die vollständig überarbeitete Version 3.0 des Programms zum Einsammeln von Schadcode aus dem Netz wurde unter GPL veröffentlicht und bietet ein modulareres Konzept und verbesserte Performance.
Das Programm zum Sammeln von Würmern und sich selbst verbreitendem Schadcode mwcollect (kurz für Malware Collect) ist in der vollständig überarbeiteten Version 3.0 erschienen. Dabei ist das Honeynet-Projekt von der bisherigen BSD-Lizenz abgerückt und hat den wesentlich besser dokumentierten Quellcode nun unter der GNU Public License (GPL) veröffentlicht. Das Konzept von mwcollect ist zur leichteren Erweiterbarkeit modularer gestaltet worden. Sollte das Nachladen von Schadprogrammen aus dem Netz erforderlich sein, erfolgt dies zur Parallelisierung des Programmflusses nun in einem eigenen Thread. Außerdem werden vorgefertigte Module zur Simulation der immer noch aktiv ausgenutzten Windows-Sicherheitslücken MS03-26 (Buffer Overflow im RPC-Dienst), MS04-11 (Buffer-Overflow im LSASS-Service) und MS05-39 (Buffer Overflow im Plug&Play-Dienst) mitgeliefert. Leider lässt sich die aktuelle Version derzeit nur unter Linux kompilieren.
In so genannten Honeypots wird mwcollect häufig direkt im Zusammenspiel mit dem honeyd eingesetzt. Dieser ist selbst mit nur einer Netzwerkkarte in der Lage, umfangreiche Netzwerke zu simulieren und mit Hilfe geeigneter Skripte komplexe Netzwerkdienste zu emulieren. Dabei kümmert sich mwcollect als Backend um das Herausfiltern und Analysieren von Schadcode und gegebenenfalls um das Nachladen darin referenzierter Schadprogramme aus dem Netz, um sie für eine tiefer gehenden Analyse zu archivieren. Allerdings ist mwcollect auch ohne den honeyd in der Lage, verwundbare Internet-Dienste vorzutäuschen sowie mitgeschnittenen Netzwerkverkehr -- so genannte Dumps -- nachträglich auszuwerten. Ein großer Vorteil eines Honeypots auf Basis von mwcollect ist, dass der eingesetzte Rechner nicht selbst von dem Schadcode infiziert wird.
Siehe dazu auch: (cr)
