zurück zum Artikel

Der Krake analysiert

Das Kraken-Botnetz [1] erlangte auf der RSA-Sicherheitskonferenz [2] einige Aufmerksamkeit aufgrund seiner Größe – es soll rund 400.000 Drohnen umfassen. Bislang werde das Botnetz zumeist zum Spam-Versand eingesetzt – die üblichen Spam-Mails für Online-Apotheken, Penisverlängerungen, Online-Casinos oder Kredite, hieß es Anfang April. Diverse Sicherheitsunternehmen haben mittlerweile die Bot-Software analysiert; sie haben jetzt die Algorithmen etwa zur Erstellung der zufälligen Domain-Namen für die Command-and-Control-Server (C&C) oder zur Ver- und Entschlüsselung der Kommunikation nachprogrammiert und stellen sie sogar zum Download zur Verfügung.

McAfee [3] beobachtet bei den Kraken-Drohnen eine zunehmend ausgefeiltere Verschleierung. Während die älteren Varianten des Schädlings noch über den UDP-Port 447 mit anderen Drohnen kommuniziert haben, nutzen die neuen Versionen beliebige UDP-Ports sowie die TCP-Ports 80 und 443 zur Kommunikation. Dadurch können die Drohnen häufiger in Unternehmen anzutreffende Schutzmaßnahmen umgehen, bei denen etwa nur die Ports für HTTP- und HTTPS-Verkehr freigeschaltet sind.

Michael Hale Ligh und Greg Sinclair haben mittels Reverse Engineering den Verschlüsselunsgalgorithmus des C&C-Verkehrs analysiert. Sie erläutern das Paket-Format in einem Blog-Eintrag und stellen sogar Quellcode [4] zum Download bereit, der die Ver- und Entschlüsselung in C++ nachbildet. Ein Analyse-Modul für Wireshark [5] wollen die beiden ebenfalls veröffentlichen, bislang bieten sie jedoch nur ein Kommandozeilen-Werkzeug [6] zur Analyse von mitgeschnittenem Botnet-Traffic an.

Die Kraken-Drohnen suchen unter zufällig erzeugten Domain-Namen nach ihrem C&C-Server. Die Forscher von PCTools haben den Algorithmus untersucht, mit dem die Drohnen diese Domain-Namen erstellen, und darauf aufbauend ebenfalls eine Variante in C++ programmiert, die interessierte Nutzer herunterladen [7] können.

Durch die Analyse-Ergebnisse ist es einfacher, neue Varianten des Kraken-Bots abzugreifen und die Erkennungsroutinen und -Signaturen der Antivrenlösungen anzupassen. Vielleicht gelingt es aber auch, das Botnetz empfindlich zu stören – das haben Forscher um Thorsten Holz von der Universität Mannheim bereits mit dem Sturm-Wurm-Botnetz demonstriert [8].

Siehe dazu auch:

(dmk)


URL dieses Artikels:
http://www.heise.de/-204250

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Der-Krake-Botnetz-doppelt-so-gross-wie-Sturm-Wurm-Netz-197427.html
[2] http://www.rsaconference.com/
[3] http://www.mcafee.de/
[4] http://www.mnin.org/data/kraken/algo.txt
[5] http://www.wireshark.org/
[6] http://www.mnin.org/data/kraken/cli-dissector.rar
[7] http://www.threatexpert.com/blog/kraken/kraken_dns_randomizer.cpp
[8] https://www.heise.de/meldung/P2P-Botnetz-infiltriert-und-gestoert-202958.html
[9] http://www.avertlabs.com/research/blog/index.php/2008/04/29/mailbotf-aka-kraken-gets-stealthier-update/
[10] http://mnin.blogspot.com/2008/04/kraken-encryption-algorithm.html
[11] http://blog.threatexpert.com/2008/04/kraken-is-finally-cracked.html