• IT-Karriere:
  • Services:

25C3: Storm-Botnet gekapert

Hacker entschlüsseln Funktion und planen verteilte Übernahme

Ein Storm-Bot wurde auf der Hackerkonferenz 25C3 live gehackt - und kann übernommen werden. Damit droht dem von Spammern errichteten Storm-Botnet, einem Netzwerk aus infizierten PCs, eine weitere Gefahr.

Artikel veröffentlicht am ,

Noch besteht das Storm-Botnet aus etwa 100.000 Windows-PCs, schätzen die Redner des 25C3-Vortrags "Stormfucker: Owning the Storm Botnet". Ohne Wissen der meist ahnungslosen Besitzer versenden die Bots werbende oder mit Malware verseuchte E-Mails in alle Welt - mehrere Milliarden davon sollen bereits verschickt worden sein. Die Entwickler des Botnet können aus der Ferne neue Software aufspielen. Damit wäre es dann auch möglich, vertrauliche Daten auszuspionieren.

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Oberursel
  2. Karlsruher Institut für Technologie (KIT) Campus Nord, Karlsruhe

Seit allerdings Antivirensoftware auch das Storm-Botnet erkennt, soll selbiges deutlich geschrumpft sein. Soweit es dokumentiert ist, seien bereits über 250.000 Rechner bereinigt und damit aus dem Storm-Botnet ausgeklinkt worden. Doch auch mit den geschätzten 100.000 fernsteuerbaren Stormnodes - auch als Bots oder Zombies bezeichnet - ist dieses Botnet noch eine ernstzunehmende Größe. Jeder Teil des Netzes kann beispielsweise als Wurmschleuder, SMTP-Relay oder zu DDoS-Angreifer dienen.

Das macht es auch für Wissenschaftler und Hacker wie Georg "oxff" Wicherski, Mark Schlösser, Felix Leder und Tillmann Werner interessant. Sie erklärten auf der 25C3 in Berlin, wie sie durch Reverse-Engineering die Funktionsweise des Storm-Botnet ergründet haben - sie beobachteten und beeinflussten Kommunikation und Speicherabbilder der Software. Und sie fanden heraus, wie sich das Botnet kontrollieren und angreifen lässt.

Bereits bekannt war, dass das Storm-Botnet ein modifiziertes eDonkey-Protokoll nutzt. Die frisch auf einem PC installierte Software kennt bereits einige Stormnodes und sucht dann weitere Knoten für die eigene Routingtabelle. Darüber machen sich die Stormnodes dann im Botnet auf die Suche nach weiteren Knoten und sogenannten Command & Control Servern (C&C Server), um sich von Letzteren ihre Befehle selbst abzuholen. Das kann der Versand von E-Mails oder die Installation von Software sein.

Die Entwickler des Storm-Botnets nutzen den Hackern zufolge bisher keine besonders sichere Verschlüsselung oder komprimieren die zwischen Knoten ausgetauschten Daten nur. Auch die Authentifizierung und das Einschleusen ausführbarer Dateien ist für die Hacker keine Hürde mehr, so dass es möglich wurde, ins Botnet falsche C&C Server einzuschleusen und Bots nach dem Löschen installierter Botnet-Würmer unter die eigene Kontrolle zu bringen. Demonstriert wurde das Botnet-Hacking live in einer virtuellen Maschine.

Theoretisch lässt sich das ganze Botnet damit von einem Rechner aus lahmlegen. Allerdings würde dieser dann durch die Masse der Bots und sehr wahrscheinlich auch durch die wütenden Storm-Entwickler mit einer DDoS-Attacke getroffen. Ziel der Hacker ist deshalb eine "intelligente und schnelle und noch nicht fertige" verteilte Übernahme des Botnets.

Um die Sache zu beschleunigen und ihre Erkenntnisse auch anderen zukommen zu lassen, wollen die Hacker in Kürze ein selbst geschriebenes C-Programm veröffentlichen, das einen Teil der dafür nötigen Aufgaben bereits erledigt. Es ist also damit zu rechnen, dass es bald zu einem versteckten Kampf um Stormnodes kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 29€ (Bestpreis!)
  2. 34,99€/49,99€ (mit/ohne Spezialangebote)

vx-scene-addicted 02. Feb 2009

sind jetzt die ersten die mir einfallen: BADBUNNY,Kaiten.c(irc-bot)

..... 01. Jan 2009

also ich finde, man sollte den pc user ausführlich darüber informieren, dass sein pc ein...

hfislaulzhk 31. Dez 2008

Wenn wir schon so weit sind, ist das Gesetz(system) bankrott.

Rainer Tsuphal 30. Dez 2008

Der Durstlösch-PC?

Heitfrau 30. Dez 2008

PS3 kann mit Linux laufen, die Spieleversion tut das afaik nicht Handys mit Linux sind...


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Surface Laptop 3 (15 Zoll) im Test: Das 15-Zoll-Macbook mit Windows 10 und Ryzen
Surface Laptop 3 (15 Zoll) im Test
Das 15-Zoll-Macbook mit Windows 10 und Ryzen

Was passiert, wenn ein 13-Zoll-Notebook ein 15-Zoll-Panel erhält? Es entsteht der Surface Laptop 3. Er ist leicht, sehr gut verarbeitet und hat eine exzellente Tastatur. Das bereitet aber nur Freude, wenn wir die wenigen Anschlüsse und den recht kleinen Akku verkraften können.
Ein Test von Oliver Nickel

  1. Surface Laptop 3 mit 15 Zoll Microsoft könnte achtkernigen Ryzen verbauen

    •  /