The Storm Worm

Dieser Artikel ist eine Übersetzung des englischsprachigen Originals von Bruce Schneier, einem international anerkannten Spezialisten im Bereich der Computersicherheit. Englische Begriffe, für die es im deutschen kein geläufiges Pendant gibt, habe ich in der englischen Sprache gelassen. Mein Dank geht an Bruce Schneier, sowohl für das Schreiben des Originals als auch für die Erlaubnis, die Übersetzung zu veröffentlichen. Ich bin hier nur der Übersetzer.

The Storm Worm

Der Computerwurm “The Storm” tauchte zum ersten Mal Anfang diesen Jahres auf, versteckt in Anlagen von Emails mit dem Betreff “230 dead as storm batters Europe”. Die, die diese Emails öffneten, wurden mit dem Wurm infiziert und deren Computer wurden Mitglied eines stets wachsenden Botnets.

Obwohl er üblicherweise als Wurm bezeichnet wird, ‘Storm’ ist mehr: ein Wurm, ein trojanisches Pferd und ein Bot, alles in einem. Er ist weiterhin das erfolgreichste Exemplar einer neuen Sorte von Computerwürmern – es wird geschätzt, dass mittlerweile zwischen einer und 50 Millionen Computer weltweit infiziert sind.

Ältere Würmer — Sasser, Slammer, Nimda — wurden von Hackern geschrieben, die auf sich aufmerksam machen wollten. Die Würmer verbreiteten sich so schnell wie möglich (Slammer infizierte 75.000 Computer innerhalb von 10 Minuten) und sammelten auf diesem Weg viel Beachtung in den Medien. Dieser Ansturm machte es für Sicherheitsexperten einfacher den Angriff zu erkennen, er erforderte aber auch eine schnelle Reaktion durch die Antiviren-Hersteller, Systemadministratoren und Anwender, die hofften, dass der Virus bereits erkannt wird. Diese Art von Wurm kann mit einer Krankheit verglichen werden, deren Symptome sich sofort zeigen.

Würmer in der Art wie Storm wurden von Hackern geschrieben, die damit Geld verdienen wollen – sie sind anders. Diese Würmer verbreiten sich subtil, ohne in irgendeiner Art aufzufallen. Die Symptome sind nicht sofort sichtbar, ein infizierter Computer kann für eine lange Zeit untätig bleiben. Wenn der Wurm eine Krankheit wäre, wäre es vermutlich eine wie die Syphilis, deren Symptome mild sein können oder sogar gänzlich verschwinden, um dann Jahre später auszubrechen, um das zentrale Nervensystem zu zerstören.

Storm stellt die Zukunft der bösartigen Software dar. Werfen wir ein Blick auf sein Verhalten:

  1. Storm ist geduldig. Ein Wurm der ständig attackiert ist sehr viel einfacher zu entdecken als ein Wurm der attackiert und sich dann wieder für eine Weile still verhält.

  2. Storm arbeitet mit getrennten Aufgabenbereichen und funktioniert daher wie eine Ameisenkolonie. Nur ein kleiner Teil der infizierten Computer kümmert sich um die Verbreitung. Ein noch kleinerer Teil wird als C2 bezeichnet: Command-und-Control Server (Computer, die die infizierten Hosts steuern; Anm.d.Ü.). Der Rest wartet auf Befehle. Da sich nur wenige Hosts mit der Verbreitung beschäftigen oder als Command-und-Control Server dienen, reagiert Storm flexibel auf Angriffe von aussen. Selbst wenn diese Computer ausgeschaltet werden, können andere infizierte Computer diese Aufgaben übernehmen und das Netzwerk bleibt in weiten Teilen funktionsfähig.

  3. Storm verursacht an den infizierten Computer keine Schäden und belegt auch wenig Systemresourcen. Wie ein Parasit ist der Wurm auf einen funktionsfähigen und gesunden Computer angewiesen, um selbst überleben zu können. Aus diesem Grund ist der Wurm nur sehr schwer zu entdecken, da weder Anwender noch Administratoren in der Regel irgendein ungewöhnliches Verhalten feststellen.

  4. Die infizierten Computer kommunizieren nicht mit einem zentralen oder einer Gruppe von zentralen Servern, Storm nutzt ein Peer-to-Peer Netzwerk für die C2 Server. Das gesamte Bot-Netzwerk ist daher nur sehr schwer auszuschalten. Der übliche Weg um ein Botnetz lahm zu legen ist die Abschaltung der zentralen Systeme. Storm hat kein zentrales System und kann daher auch nicht auf diese Weise ausgeschaltet werden.

    Diese Funktionsweise hat weitere Vorteile. Firmen, die ihren Netzwerkverkehr analysieren, können Anomalien feststellen, wenn es eine gehäufte Kommunikation mit einem zentralen System gibt. Durch die verteilten C2 Server treten aber keine solche Spitzen auf, die unerwünschte Kommunikation läßt sich daher viel schwerer entdecken.

    Eine übliche Methode um die zentralen oder C2 Server zu entdecken ist die Analyse der Schadsoftware auf einem infizierten Host mit einem Debugger, um festzustellen von welchem System die Befehle kommen. Auch dies funktioniert nicht mit Storm: ein infizierter Host kennt nur einen kleinen Teil der anderen infizierten Hosts — ungefähr 25 bis 30 — und diese sind einige Stufen von den C2 Servern entfernt.

    Selbst wenn man es schafft einen C2 Server auszuschalten, wird Storm dadurch kaum beeinträchtigt. Wie eine Hydra mit vielen Köpfen nutzt Storm eine verteilte C2 Infrastruktur.

  5. Nicht nur, dass die C2 Server verteilt sind, sie verstecken sich weiterhin hinter einer Technik namens “fast flux“, die ständig die DNS Einträge ändert (DNS sorgt für die Umwandlung der Rechnernamen wie z.B. www.domainname.de in die technische IP Adresse; Anm.d.Ü.). Dass heißt, dass selbst wenn ein infizierter Host analysiert und dabei ein C2 Server erkannt wurde, dieser zu dem Zeitpunkt schon nicht mehr aktiv ist.

  6. Der Programmcode von Storm, der auch für die Verbreitung genutzt wird, ändert sich ungefähr alle 30 Minuten – typische Antivirus und Einbruchserkennungstechniken sind daher weniger effektiv.

  7. Der Verteilungsmechnismus von Storm ändert sich ebenfalls regelmäßig. Storms Programmierer begannen die Verteilung des Wurms in Form von Emails mit PDF Anlagen, dann kamen E-Cards und YouTube-Einladungen — alles was einen Anwender verlocken könnte einen gefälschten Link anzuklicken. Weiterhin verteilt sich Storm über Spam-Kommentare in Blogs um dort die Besucher zum Anklicken von infizierten Links zu verleiten. Auch wenn diese Taktiken mehr oder minder den üblichen Wurm-Mechanismen entsprechen, soll es zeigen, wie Storm ständig sein Verhalten auf allen Ebenen ändert.

  8. Auch der Inhalt der Emails von Storm ändert sich ständig, dabei werden die üblichen Social Engineering Prinzipien angewendet. Es werden ständig neue Betreffzeilen und neue Locktexte verwendet: “A killer at 11, he’s free at 21 and …”, “football tracking program” am ersten NFL Spiel-Wochenende sowie Ankündigungen von großen Stürmen und Hurrikans. Die Programmierer von Storm verstehen es, das menschliche Verhalten für ihre Zwecke zu nutzen.

  9. Im letzten Monat begann Storm Antispam-Systeme anzugreifen, die sich auf die Identifizierung des Wurms konzentriert hatten — spamhaus.org, 419eater und weitere — sowie die persönliche Website von Joe Stewart, der eine Analysis von Sturm veröffentlicht hatte. Dies einnerte mich an eine alte Kriegsweisheit: sage dem Feind nicht, was du weißt. Oder die Grundregel der Großstadtbanden: sorge dafür, dass die anderen nicht wissen, dass sie es mit dir zu tun haben.

Es ist nicht so, dass wir wirklich eine Idee haben, wie wir etwas gegen Storm tun können. Der Wurm verbreitet sich seit fast einem Jahr und die Antiviren-Firmen sind mehr oder minder machtlos im Kampf gegen den Wurm. Der Wurm läßt sich nicht durch Maßnahmen an einem infizierten Host bekämpfen und die Vorstellung, dass Internet-Provider infizierte Computer isolieren ist nicht sehr realistisch. Eine Isolierung würde auch nicht helfen: die Entwickler von Storm könnten sehr einfach einen modifizierten Wurm verbreiten und es ist bekannt, dass Anwender nicht davon abgehalten werden können, auf verlockende Anlagen und Links zu klicken.

Eine Neugestaltung des Microsoft Windows Betriebssystems könnte funktionieren, aber der Vorschlag ist lächerlich. Einen Gegenwurm zu entwickeln wäre eine großartige Fiktion, aber eine sehr schlechte Idee in der Realität. Wir wissen einfach nicht, wie wir Storm stoppen können, ausser seine Entwickler zu finden und einzusperren.

Leider haben wir keine Idee, wer Storm kontrolliert, auch wenn es die Spekulation gibt, dass sie aus Russland kommen. Die Entwickler sind offensichtlich sehr begabt und sie arbeiten ständig weiter an ihrer Schöpfung.

Seltsamerweise tut Storm bislang nicht viel, ausser ständig an Stärke zu gewinnen. Abgesehen von der fortgesetzten Infizierung weiterer Windows PCs und gelegentlichen Angriffen auf ausgewählte Sites, die gegen Storm vorgehen, wurde der Wurm nur mit einigen Pump and Dump Kapitalbetrügereien in Verbindung gebracht. Es gibt Gerüchte, nach denen Storm an andere kriminelle Gruppen vermietet wird. Abgesehen davon: nichts.

Persönlich mache ich mir Sorgen, was die Entwickler von Storm für die Phase II planen.


Dieses Essay wurde ursprünglich auf Wired.com veröffentlicht.

Nachtrag vom 17.10.2007: Storm wird vermutlich aufgeteilt, so daß Teile davon verkauft werden können. Wenn sich das bewahrheiten sollte, sind zukünftig mehr schadhafte Aktivitäten zu erwarten; wer sich ein Botnetzwerk kauft, möchte es auch nutzen (deutscher Artikel; Anm.d.Ü.).

SlashDot thread on Storm.

2 Kommentare zum Artikel “The Storm Worm”

  1. Vielen Dank für diesen Artikel bzw. die Übersetzung.

    Ich sag ja immer (hab ich schon mal bei dir gemacht): IPV6 und feste IPs bei jedem User. Per Blacklist wären dann ruckzuck alle privaten Bots veröffentlicht und einen DDoS auf die Blacklistbetreiber halten die Jungs nicht ewig durch. Soweit ich mich erinnere ist diese Art dieses Wurms schon im letzten Jahr von den Heise-Redakteuren prophezeit worden. Dagegen passiert ist aber nichts.

    • Sofern dann auch zuverlässig alle Provider das Source Routing ignorieren und im Idealfall die vorgebebene Route aus dem Header entfernen, wäre das SEHR HILFREICH :)

      Die Heuristik ist nicht so weit (wird sie es jemals sein?), sich ständig ändernde Botcodes zu erkennen. Was sollen die Virenscannerhersteller also anderes tun, als die wirklich clever geschriebenen Bots als “Panikmache” abzutun.

      Interessant fand ich in dem gesamten Zusammenhang auch einen Artikel, der mir vor einiger Zeit über den Schreibtisch flog. Er handelte von den Methoden die genutzt werden, um z.B. solche Bots auf den PCs zu installieren. Eindeutige Tendenz: der Internet Explorer ist auf der Überholspur und zieht – trotz Version 7 – an allen anderen Mechanismen (Email, Office-Viren) vorbei. Voraussichtlich im Q1/2008 wird er an der Spitze stehen. Passend dazu werden jetzt schon einige Tausend Webserver pro Tag (Woche?) infiziert, damit der IE schön gefüttert werden kann. ActiveX und ActiveScripting sei Dank. Schön wenn ein Softwarehersteller in dem Browser, der “sowieso dabei ist”, gleich die Mechanismen für die Installation von “Zusatzsoftware” mitliefert.

Schreibe einen Kommentar


Beim Speichern ihres Kommentars wird auch ihre IP Adresse gespeichert (nur für den Website-Betreiber einsehbar)!