Grundlagen, Hintergrund und Information

Conficker - das größte Botnet aller Zeiten

Wie konnte sich Conficker so schnell ausbreiten?

Die erste Version von Conficker wird am 21. November 2008 entdeckt. Der Wurm setzt auf MS08-067, eine ältere Schwachstelle im Windows-Server-Service. Conficker prüft über Port 445, ob das Zielsystem von der Schwachstelle betroffen ist. Trifft dies zu, dringt der Wurm in das System ein. Nach erfolgreicher Installation startete er einen HTTP-Server, der einen zufällig gewählten Port nutzt. Anschließend schickt sich der Wurm an neue Rechner.

Massiver Anstieg: der Traffic auf Port 445 seit Oktober 2008. (Quelle: SANS)
Massiver Anstieg: der Traffic auf Port 445 seit Oktober 2008. (Quelle: SANS)
Foto: Firma

Ist ein neuer Rechner infiziert, verbindet sich dieser mit dem eben erstellten Webserver und lädt weitere Daten nach. So kann sich Conficker innerhalb kurzer Zeit massiv ausbreiten. Dieser verteilte Ansatz machte eine Unterbrechung der Infektionskette nahezu unmöglich, denn es erscheinen ständig neue Versionen des Wurms mit verändertem Hashwert, was viele signaturbasierte Sicherheitslösungen aushebelt.

Infektion: die gefundenen Infektionen mit der ersten Version von Conficker. (Quelle: Trend Micro)
Infektion: die gefundenen Infektionen mit der ersten Version von Conficker. (Quelle: Trend Micro)
Foto: Firma

Ist ein System infiziert, generiert Conficker pro Tag 250 Web-Adressen. Der Wurm verbindet sich anschließend mit diesen Domains und sieht nach, ob dort neue Anweisungen vom Botmaster warten. Ist dies der Fall, lädt Conficker die zusätzlichen Informationen herunter und führt sie aus. Über diesen Mechanismus kann sich der Wurm beispielsweise aktualisieren.

Der Algorithmus, nach dem die Domains erstellt werden, konnte von Virenexperten relativ schnell ausgehebelt werden. F-Secure beispielsweise stellte regelmäßig aktualisierte Listen bereit, in denen die entsprechenden Domains hinterlegt waren. Zusätzlich registrierte sich das Antivirenlabor einige dieser Domains und konnte so die Verbindungen zählen. Im Januar waren laut F-Secure etwa 2.395.000 Rechner infiziert, wobei das nur eine grobe Schätzung ist.

Doch der Download von Inhalten von zufällig erzeugten Domänen ist nur eine Methode, mit der Conficker an neue Inhalte kommt. Als zweiten Verbreitungsweg verfügt Conficker über ausgefeilte P2P-Funktionalitäten.

P2P: die Funktionsweise einer Peer-to-Peer-Infektion. (Quelle: Symantec)
P2P: die Funktionsweise einer Peer-to-Peer-Infektion. (Quelle: Symantec)
Foto: Firma

Während der Wurm seine Instruktionen über P2P erhält, sichert er den befallenen PC zusätzlich ab. Conficker patcht MS08-067, die Schwachstelle, die der Wurm selbst zur Verbreitung nutzt. Künftig überwacht Conficker diesen Patch, um eingehende Angriffe zu analysieren. Ist der Code des Angriffs identisch mit dem von Conficker, kann der Wurm die angreifende Maschine auslesen und sich bei dieser anmelden. Das kontaktierte System wiederum antwortet mit zusätzlicher Payload, um die sich Conficker erweitert.