Conficker - das größte Botnet aller Zeiten

Gesicherte Kontrolle durch Verschlüsselung und Signatur

Im Blog des Symantec Security Response Teams tauchte eine interessante Frage auf: Wenn die Domains, von denen Conficker neue Instruktionen abruft, bekannt sind, was hindert andere Malware-Gangs oder die Sicherheitsindustrie daran, das Botnet zu übernehmen? Die Antwort ist einfach: ein passender Schlüssel samt Signatur.

Die Malware-Autoren haben diese Möglichkeit anscheinend seit Conficker.B in Betracht gezogen und entsprechende Gegenmaßnahmen ergriffen. Jede Payload, die Instruktionen für den Wurm enthält, ist mit der Technologie RC4 verschlüsselt. Der eigentliche Key ist dabei 64 Byte lang. Allerdings entschlüsselt Conficker die Daten nur, wenn sie mit einer passenden 4096 Bit langen Signatur gekennzeichnet sind.

Diese Signatur erinnert laut Symantec an den RSA-Schlüssel. Die Analyse des entsprechenden Codes zeigte noch eine andere Besonderheit: Die Macher von Conficker sind sehr darauf bedacht, keinerlei Pufferüberläufe zu erzeugen, erlauben sich also keine Schwachstelle in ihrer verschlüsselten Übertragung.