Menü
Security

Conficker entmystifiziert

vorlesen Drucken Kommentare lesen 432 Beiträge

Felix Leder und Tillmann Werner von der Universität Bonn stellen heute die Ergebnisse ihrer Analyse des Conficker-Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms, sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm immunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Conficker sogar direkt angreifen könnte.

Sollte es noch eines Beweises bedurft haben, dass Conficker kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Conficker selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Conficker aus dem Shellcode und lädt das Wurm-Programm dann selber.

Doch damit nicht genug. Conficker testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Conficker auf diesem Weg etwas unterzuschieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.

Der Scanner durchsucht jeden Prozess nach den charakteristischen RSA-Schlüsseln.

Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überprüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Conficker zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des Weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Conficker glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Conficker übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.

Und schließlich haben die Honeynet-Experten dann doch noch eine Schwachstelle in Conficker entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Conficker Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Conficker Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.

Damals beim Sturmwurm haben die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Conficker: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Conficker Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Conficker.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.

Siehe dazu auch:

Zum Umgang mit Viren und Würmern und zum Schutz vor den digitalen Schädlingen siehe:

Zum Conficker-Wurm siehe auch

(ju)