Brute-Force-Attacke auf dieses Blog

Von Freitag Nachmittag bis Samstag Nachmittag hat ein massiver Angriff auf dieses Blog stattgefunden. Das Plug-in Limit Login Attempts, das ich hier schon einmal kurz vorgestellt habe, hat innerhalb von ziemlich genau 24 Stunden mehr als 60 IP-Adressen gesperrt, von denen aus Hunderte Login-Versuche unternommen wurden. Hier wurde also vermutlich erstmals ein kleines Bot-Netz eingesetzt, das gängige Passwörter durchprobiert hat.

Das Plug-in ist bei mir recht restriktiv eingestellt, so dass es bereits nach zwei Anmeldeversuchen eine erste IP-Sperre von 120 Minuten durchsetzt. Nach drei dieser Sperren erfolgt eine verlängerte Blockade der IP-Adresse von 168 Stunden, was einer Woche entspricht. Die Standardeinstellungen von Limit Login Attempts, die unter „Einstellungen, Limit Login Attempts“ zu finden sind, sind deutlich laxer.

Ich würde jedem WordPress-Nutzer empfehlen, dieses Plug-in zu installieren und die Einstellungen zu verschärfen. Seitdem ich es installiert habe, sehe ich nämlich immer wieder bestimmte IP-Adressen, die Passwörter durchprobieren. Bei meiner Konfiguration sind das aber dann nur noch sechs Versuche pro Woche. Das heißt, an meinem Passwort beißen sich die Angreifer auch noch in den nächsten Jahrtausenden (oder Jahrmillionen?) die Zähne aus …

Abgesehen davon sollte man natürlich ein schön langes und zufällig generiertes Passwort verwenden. Aber das wissen wir doch alle, oder?

Besonderheiten von Conficker/Downadup

Momentan machen zahlreiche Meldungen über einen neuen Wurm mit dem hier zu Lande etwas unglücklichen Namen „Conficker“ oder auch „Downadup“ die Runde. Conficker/Downadup verbreitet sich über die Lücke CVE-2008-4250 im Server Service, die Microsoft im vergangenen Oktober im Security-Bulletin MS08-067 beschrieben hat. Darin steht unter anderem:

This is a remote code execution vulnerability. An attacker who successfully exploited this vulnerability could take complete control of an affected system remotely. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability over RPC without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. If successfully exploited, an attacker could then install programs or view, change, or delete data; or create new accounts with full user rights.

Genau das ist nun eingetreten und Dank unzähliger ungepatchter Systeme schwappt nun eine Conficker/Downadup-Welle durch das Internet. Nach einer erfolgreichen Infektion legt der Wurm zuerst Kopien von sich selbst in folgenden Ordnern ab:

* %System%[Random].dll
* %Program Files%Internet Explorer[Random].dll
* %Program Files%Movie Maker[Random].dll
* %All Users Application Data%[Random].dll
* %Temp%[Random].dll
* %System%[Random].tmp
* %Temp%[Random].tmp

Dann trägt er sich im Autostart-Bereich der Windows-Registry ein und erstellt auf jedem angeschlossenen USB-Laufwerk zwei Dateien. eine mit einem zufälligen Namen und eine „autorun.inf“, um sich so über das USB-Laufwerk weiter zu verbreiten. Außerdem hängt er sich an die Windows-Prozesse „svchost.exe“, „explorer.exe“ und „services.exe“ und trickst so vermutlich eine installierte Desktop-Firewall aus.

Außerdem deaktiviert Conficker/Downadup die folgenden Windows-Dienste:

# Windows Automatic Update Service (wuauserv)
# Background Intelligent Transfer Service (BITS)
# Windows Security Center Service (wscsvc)
# Windows Defender Service (WinDefend)
# Windows Error Reporting Service (ERSvc)
# Windows Error Reporting Service (WerSvc)

Und er blockiert den Zugriff auf Dutzende Sicherheits-Webseiten und versucht, sich mit einer Liste von häufig verwendeten Login-Namen an anderen Computern im Netzwerk anzumelden und Kopien von sich auf freigegebenen Laufwerken abzulegen. Außerdem startet der Wurm einen lokalen HTTP-Server, um sich über die eingangs erwähnte Lücke weiter zu verbreiten.

Außerdem überprüft Conficker/Downadup das Systemdatum und erstellt aus dem aktuellen Datum eine Liste von mehreren sich täglich ändernden Domain-Namen, mit denen er Kontakt aufnimmt, um dort neue Komponenten herunterzuladen. Die Ersteller des Wurms müssen also nur eine der fraglichen Domains registrieren, um Kontakt mit den infizierten Computern aufzunehmen und um ihren Wurm zu aktualisieren.

Das ist ein ziemlich guter Trick, hat aber den Nachteil, das sich diese Methode auch andere zunutze machen können, sobald der Domain-Algorithmus bekannt ist. F-Secure hat mehrere mögliche Domain-Namen registriert und konnte so Informationen über die Verbreitung von Conficker/Downadup sammeln. Laut Hochrechnungen von F-Secure sind mindestens 2,4 Millionen Computer weltweit mit dem Wurm infiziert. Das ist wirklich ein beeindruckend großes Botnet oder wie F-Secure es formuliert „a big badass botnet“.

Leider kann der Sicherheitsanbieter nicht viel mehr machen als Daten sammeln:

We could attempt to manipulate the infected machines. But of course we won’t. In fact, we won’t be doing anything at all to them – not even disinfect them – as that could be seen as „unauthorized use“. That is illegal, at least in many jurisdictions. (Doing something without being asked is also a very large ethical question…) Look but don’t touch is the golden rule.

F-Secure bietet auch Removal-Tools für Conficker/Downadup an, die sich gleich am Anfang der Virenbeschreibung finden.

Fingerprint Sharing Alliance gegen Bot-Netze und Würmer

Rund 80 Provider haben sich laut Presseberichten der so genannten Fingerprint Sharing Alliance von Arbor Networks angeschlossen. Das Unternehmen betreibt unter dem Namen „Peakflow SP“ ein Netz von Analyse-Stellen, das nach neuen Distributed-Denial-of-Service-Angriffen (DDoS) Ausschau hält.

Wurde ein Ausbruch erkannt, erstellt das System einen „Fingerabdruck“, der dann weiterverteilt und insbesondere an die Provider geschickt wird, aus deren Infrastruktur die Angriffe stammen. Diese erhalten dadurch die Möglichkeit, schneller und vor allem gezielter zu reagieren und infizierte Hosts vom Netz zu nehmen. Damit sollen zeitraubende Telefonate und E-Mails überflüssig werden, mit denen sich Mitarbeiter der Provider bislang gegenseitig über einen neuen Ausbruch informieren.

Nach Angaben von Rob Pollard, Vertriebsmitarbeiter von Arbor Networks, ist der Dienst prinzipiell kostenlos. Man werde jedes Netzwerk informieren, das von einem Angriff betroffen sei, so Pollard gegenüber BBC News.

What we want to do is help net service firms communicate with each other and then push the attacks further and further back around the world to their source„, sagte Pollard.

Dass das Unternehmen diese gewaltige Aufgabe stemmen kann, scheinen viele Provider zu glauben. Sonst würden wohl kaum Konzerne wie die Deutsche Telekom, NTT Communications, British Telecom und Cisco an der Initiative teilnehmen.

Wenn das die Queen erfährt …

Nur kurz nachdem deutsche Forscher herausgefunden haben wollen, dass weltweit mehr als eine Million Rechner unwissentlich an Bot-Netzen teilnimmt, meldet Symantec, dass sich 25 Prozent aller Zombie-Computer in England befinden:

… the rise of broadband in Britain and user ignorance about the dangers of the net contributed to the figure.

China, das mittlerweile ja als Heimatland so mancher Hackerattacke gilt, habe dagegen nur einen Anteil von 7,8 Prozent. Die USA liegen laut Symantec mit 24,6 Prozent übrigens knapp hinter Großbritannien mit seinen rekordverdächtigen 25,2 Prozent.

Million Bots Baby

Wissenschaftler der Uni Aachen haben in einem dreimonatigen Versuch, bei dem sie drei Honeypots aufsetzten, mehr als 100 Botnetze aufgespürt. Die Größenordnung dieser Netze soll sich zwischen wenigen Hundert und bis zu 50 000 infizierten Rechnern bewegen. Hochgerechnet seien das selbst bei vorsichtiger Schätzung mehr als eine Million Zombie-Computer weltweit, die auf Befehle lauschen.

Auch den Spezialisten von iDefense seien mittlerweile mehr als 6000 Bot-Netze aufgefallen. Das größte umfasse rund 120 000 Rechner sagte Ken Dunham zu CRN. Laut Dunham genügen 500 bis 1000 Zombies, um ein typisches Firmennetz mit einem Denial-of-Service-Angriff (DoS) lahm zu legen.

Spammer wechseln die Taktik

Die Zeiten ändern sich: Bislang haben Spammer ihren Werbemüll entweder selbst oder über Zombie-Rechner versendet, die dabei als Proxy dienten. Spamhaus hat nun darauf hingewiesen, dass immer mehr Spam nicht mehr direkt von den verseuchten PCs der Endanwender kommt, sondern von den großen Mail-Relays ihrer ISPs:

New versions of proxy spamware packages released by Russian spammers operating in the US now have a feature which instructs the hijacked proxy to send the spam out via the mail relay of the ISP the proxy is downstream of.

Bei AOL treffen angeblich mittlerweile 90 Prozent des gesamten empfangenen Mülls aus diesen Quellen ein.

Dieser Trend bedeutet aber auch, dass die Würmer, die PCs in „Zombies“ verwandeln, sich in den vergangenen Monaten weiterentwickelt und eine neue Stufe erreicht haben. Botnets bleiben eben ein brisantes Thema.

Spamhaus rechnet nach eigenen Angaben damit, dass der unerwünschte Werbemüll bis Mitte 2006 rund 95 Prozent der weltweit versandten E-Mails ausmachen und zu Schwierigkeiten bei Mail-Servern und Spam-Filtern führen wird. Den ISPs empfiehlt die Organisation, ein wachsames Auge auf die versandten Mails ihrer Breitbandkunden zu haben, Incoming- und Outgoing-SMTP-Server zu trennen sowie Authentifizierung mittels SMTP-AUTH einzuführen.

Vorsicht vor MalWhere

Menschen, die Spyware entwickeln, sind ja schon fies. Richtig fies sind aber Menschen, die die Angst der Anwender vor den PC-Spionen nutzen, um nutzlose Programme zu verkaufen oder selbst gar Spyware einzuschleusen. Mittlerweile gibt es weit mehr so genannte „Rogue Anti-Spyware“ als echte Anti-Spyware-Programme (Positivbeispiele sind unter anderem Ad-Aware, Spybot S&D und SpywareBlaster).

Ein Vertreter der richtig gemeinen Art ist MalWhere. Die Software gehört mit Sicherheit zu den übelsten Programmen, die sich derzeit frei aus dem Internet herunterladen lassen. Wer den Anbietern auf den Leim geht und dieses angebliche Anti-Spyware-Programm installiert, fängt sich ein gutes halbes Dutzend Trojaner und Werbeträger ein, die nur schwer wieder loszuwerden sind.

Hinter der eigentlichen Applikation steckt dabei kein Spyware-Killer, sondern ein einfach gestrickter Prozess-Viewer, der gerade mal dazu in der Lage ist, einen Prozess zu beenden und eine nicht näher erläuterte „Gefahrenstufe“ anzuzeigen. Von effektiv entfernen ist keine Spur zu entdecken. Auf Ironie der Entwickler oder nur Schlampigkeit weist hin, das MalWhere immerhin „Buddy Bargain“ meldet, eine Backdoor-Software, die das Programm selbst einschleust. MalWhere schleppt darüber hinaus weitere Trojaner ein, die sich in folgenden Dateien verstecken: DP-HIM.EXE, ATPARTNERS.DLL und IEHOST.EXE.

Warnungen vor Trojanern bei der Installation von MalWhere

Wer die Schädlinge trotz aktuellem Antiviren-Programm nicht loswird, kann folgende Methode probieren, um das Sammelsurium auszumisten. Vorher aber noch eine Anmerkung, MalWhere ist kein statisches Programm. Die Zusammensetzung der Schädlinge scheint sich immer wieder mal zu ändern.

Rechner im abgesicherten Modus rebooten, HijackThis! starten und damit alle Einträge entfernen, die folgende Dateinamen enthalten: bargains.exe, cashback.exe, dp-him.exe sowie IEHost.exe, pcsvc.exe, Tvm.exe, wupdater.exe, WebRates0.exe, VirtualBouncer.exe und AdDestroyer.exe. Darüber hinaus verbirgt MalWhere noch weitere Übeltäter auf einem betroffenen System, die mit HijackThis! deaktiviert werden können: SearchBar.htm, ATPartners.dll, inetkw.dll, inetmgr.exe, nls.exe, MaxSpeed, TvmBho.dll, IncFindBHO.dll, nvms.dll, mscb.dll, msbe.dll und apuc.dll.

Danach sollten folgende Ordner gelöscht werden: AdDestroyer, Bargain Buddy, BullsExe Network, CashBack, IncrediFind, Internet Keyword, Max Speed, MalWhere, NaviSearch, TV Media, VBouncer sowie Web_Rebates. Eventuell ist es hilfreich, die Dateinamen und Verzeichnisse nach „Geändert am“ zu sortieren, so lassen sich diejenigen relativ leicht erkennen, die von MalWhere erstellt wurden.

Moderne Zombie-Horden

Nicht ganz neu, aber trotzdem interessant: Knapp 100 Dollar pro Stunde kostet es nach Informationen von Scotland Yard ein „Botnet“ mit mehreren Tausend „Zombies“ zu mieten. Ein Zombie ist im Computer-Jargon ein Rechner, der mit einem Wurm wie „Phatbot“ beziehungsweise „Gaobot.OD“ infiziert ist und der über IRC auf Kommandos lauscht. Eine große Summe dieser unterwanderten PCs wird als Botnet bezeichnet.

Ein Zombie-Netz kann dazu eingesetzt werden, massenhaft Spam oder Phishing-Mails zu versenden und um zum Beispiel einen Web- oder DNS-Server mit Anfragen so zu überfluten, das er überlastet und nicht mehr erreichbar ist. Der Anwender, dessen Rechner als Zombie fungiert, ahnt in der Regel nichts davon. Höchstens wundert er sich darüber, dass seine Internet-Verbindung mal wieder lahm ist und verflucht deswegen seinen ISP.