25C3: Storm-Botnet gekapert

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 30. Dezember 2008 .

Schlagworte:
  1. 30. Dezember 2008
    25C3: Storm-Botnet gekapert
    Hacker entschlüsseln Funktion und planen verteilte Übernahme
    Das Storm-Botnet wurde auf der Hackerkonferenz 25C3 live gehackt - und kann übernommen werden. Damit droht dem von Spammern errichteten Netzwerk aus infizierten PCs eine weitere Gefahr.


    Noch besteht das Storm-Botnet aus etwa 100.000 Windows-PCs, schätzen die Redner des 25C3-Vortrags "Storm er: Owning the Storm Botnet". Ohne Wissen der meist ahnungslosen Besitzer versenden die Bots werbende oder mit Malware verseuchte E-Mails in alle Welt - mehrere Milliarden davon sollen bereits verschickt worden sein. Die Entwickler des Botnet können aus der Ferne neue Software aufspielen. Damit wäre es dann auch möglich, vertrauliche Daten auszuspionieren.

    Seit allerdings Antivirensoftware auch das Storm-Botnet erkennt, soll selbiges deutlich geschrumpft sein. Soweit dokumentiert ist, seien bereits über 250.000 Rechner bereinigt worden, diese damit aus dem Storm-Botnet ausgeklinkt und selbiges damit stark geschrumpft. Doch auch mit den geschätzten 100.000 fernsteuerbaren Stormnodes - auch als Bots oder Zombies bezeichnet - ist dieses Botnet noch eine ernst zu nehmende Größe. Jeder Teil des Netzes kann beispielsweise als Wurmschleuder, SMTP-Relay oder DDoS-Angreifer dienen.

    Das macht es auch interessant für Wissenschaftler und Hacker wie Georg "oxff" Wicherski, Mark Schlösser, Felix Leder und Tillmann Werner. Sie erklärten auf der 25C3 in Berlin, wie sie durch Reverse-Engineering die Funktionsweise des Storm-Botnet ergründet haben - sie beobachteten und beeinflussten Kommunikation und Speicherabbilder der Software. Und sie fanden heraus, wie sich das Botnet kontrollieren und angreifen lässt.

    Bereits bekannt war, dass das Storm-Botnet ein modifiziertes eDonkey-Protokoll nutzt. Die frisch auf einem PC installierte Software kennt bereits einige Stormnodes und sucht dann weitere Knoten für die eigene Routingtabelle. Darüber machen sich die Stormnodes dann im Botnet auf die Suche nach weiteren Knoten und so genannten Command & Control Servern (C&C Server), um sich von letzteren ihre Befehle selbst abzuholen. Das kann der Versand von E-Mails oder die Installation von Software sein.

    Die Entwickler des Storm-Botnets nutzen den Hackern zu Folge bisher keine besonders sichere Verschlüsselung oder komprimieren die zwischen Knoten ausgetauschten Daten nur. Auch die Authentifizierung und das Einschleusen ausführbarer Dateien ist für die Hacker keine Hürde mehr, so dass es möglich wurde ins Botnet falsche C&C Server einzuschleusen und Bots nach dem Löschen installierter Botnet-Würmer unter die eigene Kontrolle zu bringen. Demonstriert wurde das Botnet-Hacking live in einer virtuellen Maschine.

    Theoretisch lässt sich das ganze Botnet damit von einem Rechner aus lahmlegen. Allerdings würde dieser dann durch die Masse der Bots und sehr wahrscheinlich auch durch die wütenden Storm-Entwickler mit einer DDoS-Attacke getroffen. Ziel der Hacker ist deshalb eine "intelligente und schnelle und noch nicht fertige" verteilte Übernahme des Botnets.

    Um die Sache zu beschleunigen und ihre Erkenntnisse auch anderen zukommen zu lassen, wollen die Hacker in Kürze ein selbst geschriebenes C-Programm veröffentlichen, das einen Teil der dafür nötigen Aufgaben bereits erledigt. Es ist also damit zu rechnen, dass es bald zu einem versteckten Kampf um Stormnodes kommt.


    quelle: Golem.de
     
  2. 30. Dezember 2008
    AW: 25C3: Storm-Botnet gekapert

    find ich sehr nice von denen, ich weiß schon, warum ich auch mitglied im c3 werden will: da lernt man wenigstens was praktisches=) und anregungen für neue projekte gibts bestimmt auch immer zuhauf...mfg coach
     
  3. 30. Dezember 2008
    AW: 25C3: Storm-Botnet gekapert

    Jops, kreatives zusammensein mit Leuten die das richtige KnowHow haben und sich für unsere Rechte einsetzen. Mag den Verein schon immer.

    Mal zu dem Thema:

    25C3 Public Wiki (en)

    Pre-Releases (Video) der Vorträge die bis jetzt stattgefunden haben

    Oder direkt, gibt aber noch zig Mirrors...

    ftp://ftp.ccc.de/congress/25c3/pre-release/

    Oder lest darüber in diversen Weblogs

    Und zu guter letzt noch ein RSS 2.0 und einen Atom Feed.

    Gibt noch eine ganze Menge mehr Möglichkeiten beim 25C3 dabei zu sein, dies soll einfach eine kleine Linkliste mit den gängigen Info-Quellen sein.
     
  4. 30. Dezember 2008
    AW: 25C3: Storm-Botnet gekapert

    Ich suche das gestern stattgefunden stormbot video , ist das schon verfügbar ?
    @http://events.ccc.de/congress/2008/Fahrplan/events/3000.de.html
     
  5. 30. Dezember 2008
    AW: 25C3: Storm-Botnet gekapert

    Ich hab den Livestream gesehen und muss sagen, dass ich schon recht beeindruckt war. Auch wenn die 4 NIE gesagt haben, dass sie Storm jetzt bereinigen oder so, da das ganze in Deutschland illegal ist (Zugriff auf fremde Computer etc.)

    Also frag ich mich, wo golem die Infos her hat. Der Sourcecode von ihnen steht zwar frei zur Verfügung, aber ich glaub nich, dass die die Rechner desinfizieren.
     
  6. 30. Dezember 2008
    AW: 25C3: Storm-Botnet gekapert

    so unglaublich wie das klingt. in deutschland wäre das tatsächlich illegal: du manipulierst daten auf computern. ob diese daten schädlich waren, oder nicht ist allerhöchstens für das strafmaß erheblich. sprich: du solltest auf nen gescheiten richter hoffen...

    btw.. deshalb wird im artikel bei golem auch von einem "versteckten kampf" gesprochen...

    achja... vor kurzem wurde ja auch ein hoster down genommen, der massenweise storm-infizierte server hatte. die auswirkungen konnte man an diversen statistiken zum spamaufkommen erkennen. z.b. bei NixSpam: http://www.hostblogger.de/blog/uploads/2008/12/nixspamstats.jpg da hatte sich in der woche 45 einfach so das spamaufkommen halbiert...
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.