Seit gut einem Jahr, Anfang 2007, steht die Anti-Viren-Industrie vor einer neuen Herausforderung, die bis heute anhält. Denn damals machte der Storm-Wurm zum ersten Mal auf sich aufmerksam, in E-Mails, die angeblich von 230 Todesopfern in Europa berichteten. In Wahrheit enthielten diese Mails nur einen Wurm mit vielen Namen. Zu den Aliasen gehören Zhelatin, Small.dam, Nuwar@MM oder Peacomm.
Kaum jemand hätte Anfang 2007 damit gerechnet, dass der Storm-Wurm die Malware-Szene so gründlich dominieren würde. Das Ganze ist für die Betreiber ein einträgliches Geschäft. Laut IBM Internet Security Systems verdienen sie täglich Millionen Dollar.
In diesem Artikel zeigen wir Ihnen, warum dieser Wurm zu Recht als Malware 2.0 bezeichnet wird, welche Techniken er anwendet und weshalb er noch lang aktiv sein wird.
Storm: Flexibel und unauffällig
Man glaubte, dass die Zeiten der großen, weltweiten Virenausbrüche wie bei Sasser oder Slammer vorbei wären. Die Malware-Szene ist dem Script-Kiddie-Status entwachsen, jetzt geht es um Geld. Eine große Infektion passt dazu nicht, denn diese spektakulären Malware-Attacken ziehen ein weltweites Medieninteresse nach sich. Die Folge ist, dass die Lücken schnell geschlossen werden. Storm dagegen hat es geschafft, fast unbemerkt ein gigantisches Netzwerk aufzubauen. Im September 2007 wurde das Storm-Netz von der Sicherheitsfirma MessageLabs auf rund 50 Millionen befallene Computer geschätzt.
Doch wie schafft es Storm, unbemerkt so groß zu werden? Der Trick ist, dass sich die Malware wie ein Parasit verhält. Ist ein PC infiziert, nimmt Storm nur Kontakt zum nächsten Kommandoknoten auf und wartet dann ab. Auf dem befallenen Rechner richtet er weder Schaden an, noch verschwendet er unnütz Ressourcen. Der Host-Rechner ist seine Lebensgrundlage, und die schädigt er nicht. Denn je weniger Aufsehen ein Schadprogramm erregt, desto unwahrscheinlicher ist es, dass Administratoren oder Nutzer es bemerken und entfernen.
Die Malware ist zudem viel mehr als ein stupider Wurm, der sich einfach weiterverbreitet. Storm ist modular aufgebaut; einmal installiert kann der Bot über das Internet neue Komponenten und Instruktionen nachladen.
Kontrolle via P2P
Ein von Storm erstelltes Bot-Netz unterscheidet sich signifikant von den Bot-Netzen früherer Würmer. Zum Beispiel verzichtet Storm auf eine zentrale Struktur, bei der alle Bots mit einem Kontroll-Server verbunden sind. Wird dieser Server vom Netz genommen, bricht das traditionelle Bot-Netz im Normalfall zusammen.
Foto: F-Secure
Storm dagegen setzt auf die Peer-to-Peer-Technologie. Alle Bots sind über ein verschlüsseltes, auf dem eDonkey/Overnet-basierendem Protokoll miteinander verbunden. Die Kommandostruktur ähnelt dabei einer Ameisenkolonie. Einzelne der infizierten PCs werden zu Kommandoknoten, die die Aufträge der Bot-Netzbetreiber entgegennehmen und an die angeschlossenen Peers weiterleiten.
Foto: F-Secure
Fällt einer aus, kann ein anderer Client die Kontrolle übernehmen, somit wird es nahezu unmöglich, das komplette Netz zu zerstören. Interessanter Nebeneffekt: Die hoch entwickelte Funktionsweise hat dem Storm-Bot-Netz einen eigenen Wikipedia-Eintrag gebracht.
Spam-Wellen, perfekt angepasst
Wofür Storm genau genutzt wird, lässt sich kaum sagen, wahrscheinlich sind alle Szenarien von Spam-Versand über Penny-Stock-Mails, Malware-Verteilung bis hin zu DDoS-Angriffen denkbar. Sicher ist dagegen, dass Storm alle paar Wochen versucht, das Netzwerk zu vergrößern. Dazu senden die Bots perfekt an die aktuelle Situation angepasste Spam-Nachrichten aus. Ein Beispiel war die tanzende Skelett-Spam-Welle zu Halloween 2007. Dabei gingen E-Mails um die Welt, die ein kostenloses Spiel zum Download anpriesen. Zum Valentinstag 2008 startete das Netzwerk ebenfalls angepasste Spam-Wellen, mit denen neue Opfer gefunden werden sollten.
Storm wiederholt diese Taktik alle paar Wochen, das Sicherheits-Wiki Spamtrackers listet bereits 36 verschiedene dieser Rekrutierungsaktionen. Auf der Seite finden sich auch die jeweiligen E-Mails. Spamtracker hat auch IP-Adressen zusammengetragen, die von Storm infizierte Rechner zeigen. Die Liste ist beeindruckend und zeigt, dass der Wurm auf der gesamten Welt zu Hause ist. Das deutsche Honeynet Projekt stellte zudem fest, dass sich während der Weihnachtsfeiertagen die Zahl der infizierten Rechner verdreifacht hat.
DoS-Attacken zur Verteidigung
Das Storm-Konzept stellt die Anti-Virus-Industrie vor zahlreiche Herausforderungen. Da die zentralen Server fehlen und jeder infizierte Rechner ein Kommandoknoten werden kann, reicht es nicht, einzelne Storm-Rechner zu identifizieren und vom Netz zu nehmen. Das System organisiert sich in diesem Fall einfach neu. Auch fallen infizierte Rechner nicht so leicht auf, da Storm versucht, möglichst versteckt zu bleiben.
Eine weitere Besonderheit ist die Payload, also der eigentlich übertragene Schadcode. Laut Mikko Hyppönen, Chef-Anti-Virenforscher bei F-Secure, verändert sich die Payload ständig. Sowohl Inhalte als auch Prüfsummen unterscheiden sich, was eine Signatur-basierte Erkennung erschwert. Um ein Muster zu erkennen, benötigen die Forscher also möglichst viele Pakete mit dem Schadcode. Wenn sie allerdings zu viele Pakete herunterladen, schlägt Storm zurück
Foto: F-Secure
Denn die einzelnen Knoten können erkennen, von welcher IP die Payload geladen wird. Kommen zu viele Anfragen von dieser Adresse, vermutet der Client ein Anti-Virus-Labor hinter dem Downloader und leitet, ebenfalls einzigartig, direkte Gegenmaßnahmen ein. Der Bot-Rechner startet eine Denial-of-Service-Attacke gegen den Downloader. Schlimmer noch: Er teilt die Information allen mit ihm verbundenen Bots mit, die nun ihrerseits ebenfalls DoS-Angriffe gegen die IP fahren. Auf diese Weise sorgte Storm beispielsweise im September 2007 dafür, dass Sicherheits-Webseiten wie 419eaters.com, Scamwarners oder spamhouse.org nicht mehr erreichbar waren.
Fazit: Der Sturm wird weiter wüten
Storm wird definitiv auch 2008 ein Problem bleiben. Das Konzept ist ein einträgliches Geschäft für die Betreiber und schwer zu knacken für die IT-Sicherheitsfraktion. Die Erschaffer wurden zwar identifiziert, ein baldiges Ende ist aber nicht abzusehen. Der Erfolg ruft außerdem Trittbrettfahrer auf den Plan. Bereits jetzt sind modifizierte Versionen des Nugache-Wurms im Netz, die einen Großteil der Storm-Funktionen mitbringen.
Die Gegenmaßnahmen gegen solche Bedrohungen treiben dabei manchmal seltsame Blüten. So wurde bereits vorgeschlagen, einen „gutartigen“ Wurm zu schreiben, der Storm und Konsorten von den Rechnern löscht. Dieses Szenario gab es bereits bei Sasser.
Sicherheitsexperten wie Bruce Schneier halten von diesen „Counterworms“ aber gar nichts. In seinem Blog schreibt er zum Anti-Sasser-Wurm bereits, dass man nicht einfach die Rechner ohne das Wissen oder das Einverständnis der Nutzer patchen kann. Dabei wird ihm jeder Administrator zustimmen, denn bei jedem Patch kann es zu Problemen und damit zu Arbeitsausfällen kommen. Daher muss der Wurm auf traditionelle Weise bekämpft werden. Schneier hat auch den Sturm-Wurm analysiert, den lesenswerten englischen Beitrag finden Sie auf der Seite des Internet Magazins Wired. (mja)