CRE155 Malware und Botnets

Wie sich Malware selbst im Internet verbreitet, was sie dann tut und was man dagegen unternehmen kann

Episode image forCRE155 Malware und Botnets

Malware hat sich in den letzten 10 Jahren von einem Forschungsfeld zu einer globalen Bedrohung der internationalen Dateninfrastruktur entwickelt. Botnetze stellen dabei die bedauerliche Krönung der kriminellen Aktivitäten dar und es erfordert einen großen Aufwand, diesen Systemen nachzugehen und sie wieder auszuschalten. Trotz eines fortwährenden Katz- und Mausspielchens gelingt es den Sicherheitsforschern immer wieder, große Botnetze vom Netz zu nehmen. Im Gespräch mit Tim Pritlove erläutert Thorsten Holz Geschichte und technische Hintergründe zu Malware und Botnetzen.

Themen: wie sich Malware über die Zeit vom Experiment zum Werkzeug von Kriminellen entwickelt hat; welche Sicherheitslücken ausgenutzt werden; welche Methoden Betriebssysteme haben, sich gegen Malware zu wehren; das Layer-8-Problem; die Antiviren-Industrie; was Microsoft für seine Sicherheit getan hat; Botnetze und Spam und andere Formen der Monetarisierung; wie sich Botnetze gegen Aufklärung schützen; wie man ein Botnetz ausforscht, austrickst und lahmlegt; Botnetze aufspüren mit Honeypots; Botnetze in Behörden und Botschaften; Kommunikation und Kollaboration von Securitygruppen; technische und moralische Probleme beim Herunterfahren eines Botnets; Kooperation mit ISPs; Botnetzbekämpfung vs. Zensurinfrastruktur; Botnetze und der Mac; Konzepte für sichere Betriebssysteme; Security Usability; Automatisierte Malware Analyse.

avatar
Tim Pritlove
avatar
Thorsten Holz
Shownotes

Links:

29 Gedanken zu „CRE155 Malware und Botnets

  1. Das mit signieren und dann geht alles ist eine schlechte Idee. Zum einen weil ich mir ja Code selbst übersetzten will aber zum anderen stellt sich auch die Frage warum dieses 0-1 Vertrauen? Besser wäre es alle Programme (außer die Shell/Filebrowser) dürfen per Default gar nichts. Wenn sie z.B. auf eine Datei zugreifen wollen muss man dem Programm (per Shell) ein Handle auf diese Datei übergeben. Von sich aus darf es auf die Datei nicht zugreifen dürfen sondern nur per übergebenen Handle. Das muss nicht an der Shell passieren, dass kann per IPC Aufruf passieren. Also z.B. eine Desktopanwendung zeichnet nicht selber den Datei-Öffnen Dialog, darf (kann!) selbst garnicht ein Handle auf eine belibige Datei öffnen sondern muss per IPC ein OS Service danach fragen. Das öffnet einen Dialog bei dem der User eben explizit die Datei wählt und somit zustimmt, dass das Programm auf die Datei zugreifen darf. Natürlich sollte es ausnahmen für z.B. den Konfigurations-Ordner des Programms geben, aber eben nur für so strikt getrennte Fälle. Anders als per solchen Dialog solls natürlich auch per D’n’D gehn. Für den User bleibt alles beim Alten aber die Sicherheit erhöht sich und man braucht keine Signaturen. Denn bei Signaturen ist (abgesehen von der „ich will was selber kompilieren“ Problematik) ein beliebiges System nur so sicher wie die Authority. Ist auch nicht schön.

    Zu solche Konzepte (jetzt nicht auf Desktop-App.-Ebene sondern auf Programmiersprachen-Ebene) wird in einen Google Tech Talk erklärt.

  2. @Wie findet man den ersten Knoten im P2P Netz: Naja das ist ja ganz einfach bei so Würmen. Ein Rechner wird ja von einen anderen aus Infiziert. Der andere Rechner ist somit der erste andere Knoten. Und der weiß wen sonst er schon infiziert hat und woher er selbst infiziert worden ist etc. Somit braucht man keine fix vorgegebene Liste an Einstiegs-Nodes.

  3. Bezügl. unsichere Kernel-Extensions hab ich ein paar Paters gerade erst gelesen wegen einer Lehrveranstaltung die ich besucht hab. Da gibts z.B. von Microsoft zwei Papers. Das eine „Fast Byte-Granularity Software Fault Isolation“: http://research.microsoft.com/pubs/101332/BGI-SOSP.pdf
    Da werden Kernel Extensions in Domains gruppiert und per Domain Speicherzugriffsrechte vergeben die dynamisch zu Laufzeit geprüft werden (Write, Call und sogar Type checks, aber keine Read checks aus Performance Gründen). Das verhindert *ehrliche* Fehler, aber nicht bösartigen Code. Aber wenn an den in den Kernel ladet ist man sowieso GameOver.

    Ein anderes MS Paper geht um Singularity (ein Research OS das viel auf C# basiert). Da verwendet man Sign# (C# Erweiterung) und hat all die Sicherheit und mehr vom anderen Paper ohne Laufzeitchecks (eben weil eine typsichere Sprache verwendet wird). Zusätzlich gibts da Contracts und Manifets mit dem das Verhalten(!) Verifiziert werden kann (beim Installieren). Nachteil hierbei ist das bestehende Kernel-Extensions neu geschrieben werden müssen. Beim anderen Paper muss man’s nur neu kompilieren bzw. durch einen Binary-Rewriter schicken.
    „Singularity: rethinking the software stack“: http://research.microsoft.com/pubs/69431/osr2007_rethinkingsoftwarestack.pdf

    Dann gibts da natürlich auch Research das nicht von MS kommt, so z.B. das Haskell User’s Operating System and Environment (House) welches was ähnliches auf der Basis von Haskell macht.
    „Operating system construction in haskell“: http://web.cecs.pdx.edu/~apt/icfp05.pdf

    Übrigens studiere ich auch an der TU Wien. :)

  4. Mal wieder ein Super-Podcast.
    Bemerkenswert fand ich die Aussage, dass Windows 7 mittlerweile das sicherste unter den Desktopbetriebsystemen sei… wie sich die Zeiten doch ändern ;)

  5. Hallo,

    verstehe nicht, warum Linux auf einmal das schlechteste Betriebssystem sein soll. Was ist so schlecht an einem Root? Der normale Nutzer wird doch nie damit arbeiten. Software wird automatisch aus signierten Repositories installiert und nicht von irgendeiner heruntergeladenen Exe. Sicherheitsupdates kommen täglich automatisch für alle installierte Software. Kernelfirewall ist auch immer installiert.

    Wenn ich dazu Vista anschaue kommt mir immer noch das Grauen. Windows Updates installieren ist immer noch eine Tortur, so dass Nutzer es oft ausschalten. Es gibt keinen einheitlichen Updatemechanismus. Dann dieser Krampf mit der AV-Software. Oder dass Nutzer sich irgendeine Software aus dem Internet herunterladen müssen, da es keine Repositories gibt. Diese wird dann installiert und darf dabei in die innersten Systemdateien schreiben.

    Kann der Gast das bitte mal erklären, bin wirklich auf die Begründung gespannt. Wirklich! Sonst erfährt man ja nichts darüber. Es gab nur einmal so einen dummen verlogenen Chip-Artikel, der behauptet hat es gäbe bei Linux keine Firewall oder einen Updatemechanismus. Sonst kenne ich nur Shootouts wo Windows, Mac und Linux gegeneinander antreten. Irgendie ist Windows nach ein paar Minuten geknackt, Mac nach einer halben Stunde und Linux gar nicht.

  6. Er bezog sich glaub ich eher auf Windows 7 als auf Vista.
    Ich denke er hat recht mit der Einschätzung: Windows steht nunmal am massivsten unter Beschuss und hält sich mittlerweile recht wacker (man kann auch ohne AV überleben), im populären linux feld (ubuntu ect.) gibt es vermutlich fette Löcher aber es sucht halt keiner danach.

  7. Hier offenbart sich die Qualität der Aussagen zum Thema „Windows 7 sicherer als Linux“. Es werden Meinungen verkleidet als Tatsachen geäußert. Keine dieser „Tatsachen“ wurden mit Belegen unterfüttert, die man überprüfen kann. Was bleibt sind Verwirrung und Unsicherheit, hier hätte nachgehackt werden müssen.

  8. @c3p: So weit ich weiss, ist Win7 intern nicht viel anders als Vista. Viele .net Programme sind durch C++ ersetzt worden und allg. viel Tuning betrieben worden.

    @Technowizard: Genau!

  9. Den großen Vorteil bei Linux ist, dass alle Programme zentral verwaltet und aktualisiert werden. Unter Windows gibt es, wenn überhaupt für Programm einzelne Lösungen. Das Endresultat erlebe ich immer wieder: Programme sind veraltet oder es wird schlimmstenfalls erst jeden Monat auf eine Updates geprüft.

    Habe ich den Satz ab 31:18 richtig verstanden, warum Linux unsicherer sein soll: „Es ruht einfach, alle Rechte hat, nicht mehr so cool einfach.“ Wenn ja, kann mir jemand den Wert einer solchen Aussage erklären? Was hat die Sicherheit eines Betriebssystems damit zu tun, ob es cool ist oder nicht.

    Mal abgesehen davon wird die geringe Sicherheit von Mac OS davon abgeleitet, wie groß die Sicherheitsupdates sind.

    An dieser Stelle schwächelt Tim Pritlove, hier hätte er nachfragen müssen. So lässt er nicht-Windows-benutzenden Hörer zurück, die sich fragen, warum denn ihr System so unsicher sei. Außerdem hat man das Gefühl, dass man es mit einem eingefleischten Windows-Benutzer zu tun hat, der, wenn überhaupt, nur einen sehr eingeschränkten Blick auf andere Betriebssysteme hat.

  10. Wie oft wurde Windoof in anderen CREs gebasht. Jetzt wird einmal was positives gesagt und dann beschweren sich die Leute wieder. Diese OS-Wars werden echt langweilig. Jedem das seine.

    Ich benutze Linux, Mac und Win sind auch ok.

    0.02€

  11. Ich sehe die Aussagen aus Sicht eines Windows/Linux-Nutzers. Keine Sekunde würde ich mich mit Windows 7 sicherer fühlen durch die Aussage: „alles ist neu, man hat keine Recht, einfach cooler halt, außerdem sind die Sicherheitsupdates viel kleiner.“

    Man hätte sich mal 5 Minuten Zeit nehmen sollen, um die verschiedenen Sicherheitskonzepte der OS und ihre Wirksamkeit miteinander zu vergleichen. Stattdessen bekommt man nur 2 Sätze, deren Aussagekraft gegen 0 tendiert. So kann ich nicht vergleichen, wie anfällig jedes OS für Malware ist. Und auf welche Entwicklungen man achten sollte.

  12. Mein Gott nicht noch.
    Wenn die Windowsnutzer jedes mal so rumheulen würden wie die LinuxNutzer wenn man mal wieder „deren“ Betriebssystem auf Grundlagen von Win95 fertig macht, dann würd ich Freiwillig mein CAT5 ziehen.

  13. Ich fand die Sendung sehr gelungen und interessant. Einige Sachen waren für mich neu, andere, die ich erwartet hätte (http://nepenthes.carnivore.it/) blieben Außen vor. Insgesamt eine gelungene Mischung mit einem Gast, der den Eindruck erweckte, als wüsste er, wovon er redet, und trotz aller akademischer Würden locker plauderte, ohne in den sonst manchmal üblichen Professorenduktus zu verfallen.
    Neben dem bereits erwähnten hätte mich noch der Themenbereich „Rootkits“ interessiert, weil die nach meiner Einschätzung nach was den invenstierten technischen Aufwand angeht auch nicht ohne sind, aber ich denke, dann wäre die Sendung noch mal doppelt so lang geworden.

    Schade fand ich, dass es erst einer „Sicherheitssendung“ bedurfte, damit das Wort Windows mal ohne Moderatorenwiderstand in den Mund genommen werden durfte. Dass du dann aber sogar nicht mal mit dem Zähnen geknirscht hast, als Thorsten meinte, dass Windows sicherheitstechnisch vielleicht sogar zur Zeit das beste System sei, sondern das sogar bestntigtest ließ mich ziemlich staunen. Hut ab :)
    Das war schon mal ein erster Schritt zu einer vorurteilsfreien
    Berichterstattung, wie ich sie mir öfter wünschen würde.
    Ich bleibe dennoch dabei: Für eine aufgeklärte Sendung zu Windows wäre die Zeit mehr als reif. Auch wenn ich nach den Reaktionen hier fürchte, dass du, Tim, dich dann schon mal um einen Platz im Zeugenschutzprogramm bemühen musst…
    Bei aller Intelligenz und Kompetenz die „Nerds“ idR. so zugestanden wird, scheint auf diesem Feld doch manchmal die nötige kritische Selbstreflexion unter den Tisch zu fallen. Dinge sind nicht immer nur Gut und Schlecht und die Realität fällt nicht vom Himmel.

    —-
    „[…]Habe ich den Satz ab 31:18 richtig verstanden, warum Linux unsicherer sein soll: “Es ruht einfach, alle Rechte hat, nicht mehr so cool einfach.”[…]“
    Nein, hast du nicht:
    „[…]Weil, dass root einfach alle Recht hat ist einfach nicht mehr so cool mittlerweile[…]“

  14. Also mir jedenfalls und ich glaub den anderen auch geht es um eine inhaltliche Erklärung. Nicht um gebashe. Leider erfährt man als Linux Nutzer permanent von diversen Seiten gebashe…

  15. Weiß nicht, ob Herz-Lungen-Maschinen mit Win95 laufen, aber in vielen anderen (Siemens-)Medizingeräten schlägt ein Windows-Herz. Ich habe nicht schlecht gestaunt, als ich 1998 während meines Zivildienstes nachts auf eine Intensivstation kam, und die Anästhesisten auf so einem Überwachungsgerät »Gorilla« (M$-QBasic) spielten.

  16. Ein erklährung zu den Sicherheitskonzepten fände ich sehr interessant. Der eine Root ist natürlich schon ein gefährliches Konzept aber damit ist man ja sehr vorsichtig (zumindist in der BSD Welt).

    Grundsätzlich glaube ich das es schon möglich ist das linux nicht so sicher ist aber so wie es Benutzt wird fühle ich mich viel sicherer mit Linux auch wenn Linux 20-30% Marktanteil hat.

    Die grösste Gefahr ist doch alte Software und das ist bei Linux einfach besser als bei Windows.

  17. Ja, der „Layer 8“ ist noch das große Problem unter Windows. So lange das Softwaredistributionssystem unter Windows darauf basiert, das man Binärdateien herunterladen und ausführen muss, so lange weigere ich mich Windows als sicheres Betreibssystem zu akzeptieren.

    Würde man Dateien standardmäßig nicht auf „ausführbar“ schalten, und einen Paketmanager anbieten, so wäre das Problem schon mal deutlich kleiner.

  18. Um mal Tim in Schutz zu nehmen.
    Ich denke es ging in diesem CRE
    wirklich am wenigsten um OS-Gebashe
    oder den ewigen Glaubenskrieg mac os – linux – win.
    Daher fand ich es sogar gut, dass Tim
    nicht tiefer gebohrt hat, weil er aus
    dieser Sackgasse nicht mehr herausgefunden hätte.
    Ich fand die Geschichte der Botnets als Thema
    gut gewählt, spannend von Herrn Holz aufbereitet
    und nicht zu Coder-lastig.
    Würde mich, Tim, in Zukunft, sofern du einen
    entsprechend kompetenten Gast auftreiben kannst,
    extrem über eine Sendung freuen, die sich
    NUR um das Thema Malware dreht.
    Ich denke da an einen geschichtlichen
    Abriss der Verbreitung der ersten Viren
    bis zu heutigen Botnets. Ich denke das dies
    ein für das breite CRE-Hörer-Spektrum
    interessantes Thema mit unzähligen Möglichkeiten
    zum Abschweifen für dich, wäre ;-)
    vielleicht sogar mit dem gleichen Gast.
    Ihr habt die ganz frühen, sowie ganz dicken
    Dinger im Viren/Würmerbereich ja ganz kurz
    angeschnitten. Hätte mich an der Stelle auf mehr
    gefreut. Aber der Titel der Sendung war ja eindeutig auf
    Botnets gemünzt. Vielleicht im Laufe dieses
    Jahres: Die Geschichte von Schadsoftware

    PS: Gute Laufzeit mit fast 3h
    Kam mir deutlich kürzer vor beim
    durchhören. Kannst du mal die Top5
    der längsten Sendungen in den
    Comments posten. Ich hab da immer
    noch das E-Mail CRE im Kopf auf der 1.
    Weiss nicht ob sich da was geändert hat.

  19. @casey: Die Liste lässt sich in iTunes nach Dauer sortieren ;)

    1. Platz: Mikrokosmos, Makrokosmos 2:52:16
    2. Platz: E-Mail: 2:50:52
    3. Platz: File & Print Sharing 2:49:39
    und am 4. die aktuellste Sendung…

  20. Eine gelungene Sendung, vielen Dank!

    Aber die Frage nach der Sicherheit von Linux wurde IMO tatsächlich vernachlässigt. Die Aussage, dass Windows 7 nun die Nase vorne habe und dass Linux wegen des root-Accounts irgendwie unsicher(er) sei kann ich nicht nachvollziehen. Es kann ja sein, dass dem so ist, nachvollziehbar begründet wurde es leider nicht.

    An der Stelle, als Tim kurz vor Ende von Restriktionen bei der Verteilung von Software ging, war man doch im Grunde schon bei gängigen Repository-Strukturen a la apt, die sich Unternehmen auch lokal einrichten nach individuellen Bedürfnissen anpassen können. Im Gespräch klang das so, als ob das Zukunftsmusik sei ..

    Auch und gerade die Abschottung der Anwendungen durch VMs lassen sich doch mit freien Systemen hervorragend realisieren. Ein Diskurs, wie hier proprietäre und freie Welt zusammenwachsen können, hätte ich für interessant gehalten. Vielleicht als Anregung für die Zukunft.

    Grüße,
    Y.S.

  21. Interessante Sendung zu Chadsoftware, Interpritern und anderen Dingen, die sich dazwichen verstecken…

    .oO(Gott, es ist gar nicht so einfach, statt SCH CH zu schreiben, also so zu schreiben, wie Thorsten Holz spricht)

    Egal, wenn man sich an den Südwest-Dialekt gewöhnt hat, ist die Sendung wirklich sehr interessant. Vor allem auch das rechtliche Problem, keine aktiven Kommandos ins Botnetz schicken zu dürfen, fand ich sehr aufschlussreich.

  22. Pingback: MM086 Deutschland wurde heruntergeladen | mobileMacs

  23. Danke Tim, für diesen informativen Potcast. Wie immer, jedes Byte wert!

    Zu den „untätigen“ Bottnetzen:
    Das sind Passivnetze!! Die „richtige“ Spy- / Malware trackt den Kontakt-Traffic der Passiv-Bots, und läßt sich von dem „Fuß in der Tür“ in das System hinein laden, wenn es an die Tür klopft. Grooooßes Problem, gegen die gängige Firewalls Nichts tun können. Denn es wurde ja ganz offiziell geladen und in einem bestehenden Prozeßkontext ausgeführt.

    Das größte Problem mit der Malware ist, das der User nicht erkennen kann, was tatsächlich gerade passiert. Das sich etwas herunter laden will kann schon einmal passieren, aber was gerade damit passiert (wohin es kommt, das es sich ausführen will, etc…) muß dem User einfach mitgeteilt werden, damit er entscheiden kann. Da die meißte Sicherheit automatisiert ist, gibt es keine Möglichkeit eine verdächtige Aktion abzufangen. Und solange der Anwender dies nicht kann, kann er auch nicht lernen und erkennen. Immer wieder fällt bei M$-Produkten schmerzlich auf, daß der Anwender Nichts entscheiden darf; wenn etwas passiert, sollte ich doch der Einzige sein, der der darüber entscheiden darf, oder ?

    Ein weiteres Problem ist, das sich die Malware zunehmend hinter der viel gepriesenden M$-Sichherheit versteckt und beschützt wird. Besonders die virtualisierung der Dateisysteme ist ein katastrophaler Sündenfall. Die schlechte Rechteverwaltung, AlternativeDataStreams, SvcHost, usw. setzen da noch eines drauf.

    Window$ verhindert aktiv eine Systemreinigung …

    Und dann noch eine „kleine“ Richtigstellung:
    „Gewohnheitsanalyse“ ist ein Uralter Hut, der absolut mutwillig unterdrückt wurde – und nun einfach nicht mehr verheimlicht werden kann: Das legendäre BlackIce war das Letzte seiner Art, dann folgte die „Defender-Inquisition“ und das „Signaturen“-Mittelalter begann…
    Es ist eine Infarme Beleidigung für jeden User, daß die AV-Industrie diese Tools mit allen mitteln unterdrückt, wegkauft, und einfach auf die Blacklists setzt – und das seit den letzten fünfzehn Jahren!!!
    Sind die Fachleute einfach nur Blind, zu Hirngewaschen oder einfach nur zu Jung die Defender der neunziger Jahre noch auf dem Schirm zu haben?!
    Das DefenceTracking ist keine große Kunst – die Kunst ist die Userinteraktion. Modernes AV ist boß Scareware, aber keine Hilfe – mich interessiert nicht ob ein Monate alter Bot auf meinem Rechner gefunden werden kann… Ich will wissen, OB Jemand anderes auf meinem Rechner ist, und wie ich ihn vernichten kann!!! GENAU DAS verschafft Sicherheit – alle anderen Programme , OS-Security und AV’s gaukeln nur Sicherheit vor, die es Niemals geben wird.

    Layer Acht an die Macht ! ;]

    Wirkliche Sicherheit läßt sich nur daturch erreichen, in dem man akzeptiert, mit Malware zu leben. An statt einen aussichtslosen Festungsbau zu betreiben, sollte das OS auf Verteidigung optimiert werden. Aber genau dort ist Windows noch Anwenderfeindlicher als ohnehin schon.

    Das ganze Gerede von der M$-Sicherheit verkennt die Motive:

    Mikro$oft schützt Windows-Kernprozesse aus juristischen gründen – nicht aber der Userspace. Durch Signaturen u.Ä. bekomme ich doch bloß wieder diese Digital-Rights-Problematik. Ich will, das meine Daten und Programme MIR gehören, nicht irgend einem Konzern (Das klang im cre26 schnon sehr schön an).

    Entweder man läßt sich durch Sicherheitsversprechen zum KonsumZombie ködern, oder jede Form von SecurityAdministration wird zum Alptraum.
    Alternativ könnte man ja auch einen AV-Unternehmen meinen Traffic scannen dürfen – nur zur Sicherheit, versteht sich.

    …äh, hört man mir die Panik schon an?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.