Botnetzwerk „Storm“ gehackt

Im Rahmen einer Demonstration auf der Hackerkonferenz 25C3 ist es einer Gruppe von Hackern gelungen, ein Mitglied (Computer) des großen Botnetzwerkes „Storm“ live zu hacken, um die Kontrolle über das Zielsystem zu erlangen.

Laut den Schätzungen umfasst das Storm-Botnet weltweit noch etwa 100.000 Computer, welche bisher womöglich Milliarden von E-Mails mit Werbeinhalt oder Schadsoftware versendet haben, ohne dass der Besitzer in den meisten Fällen etwas davon mitbekommen. Damit stellt das Storm-Botnet eine ernst zu nehmende Größe im Internet dar. Jeder Client kann prinzipiell als SMTP-Relay zum Versand von Spam-Mails oder aber auch als Wurmschleuder bzw. DDoS-Angreifer dienen. Zwar sei die Zahl dank der Erkennung von Storm durch Antiviren-Software von ehemals ca. 250.000 infizierten Windows-Computern deutlich gesunken, gewonnen ist der Kampf jedoch noch lange nicht. Storm verwendet zur Kommunikation ein Edonkey-ähnliches Protokoll, bei dem es mehrere Master-Server und sehr viele Clients gibt. Über das aufgebaute Netzwerk sind die Botnetz-Entwickler jeder Zeit in der Lage, neue Schadsoftware zu verteilen. Ähnlich wie bei Edonkey kennt auch der Storm-Client bei der Installation bereits einige seiner Gegenstellen und kann so weitere Verknüpfungen zu anderen Mitgliedern – unter anderem zu den Command-&-Control-Servern - des Botnetzes aufbauen. Mit Hilfe jener Server erhalten die frischen Clients die jeweils letzten Befehle.

Die Wissenschaftler und Hacker wie Georg „oxff“ Wicherski, Mark Schlösser, Felix Leder und Tillmann Werner erklärten auf der 25C3 in Berlin, wie sie dank Reverse-Engineering des Programm-Codes nach und nach das Botnetzwerk „Storm“ ergründet haben, indem sie Kommunikation und Speicherabbilder analysiert und ausgewertet haben, um herauszufinden, wie sich das Netz kontrollieren lässt. Unter anderem fanden Sie heraus, dass die Kommunikation untereinander nur leicht verschlüsselt und lediglich mit komprimierten Daten abläuft. Ebenso stellt die Authentifizierung keine all zu große Hürde mehr dar. Dies ermöglicht den Hackern z.B. das Einschleusen von falschen Command-&-Control-Servern, um beispielsweise bestehende Storm-Software von den Clients löschen zu lassen.

In der Theorie lässt sich so zwar das gesamte Botnetz von einem Client übernehmen, in der Praxis wäre die Gefahr jedoch groß, dass die Botnetz-Entwickler mit einer mächtigen verteilten Denial-of-Service-Attacke kontern. Daher arbeite man derzeit an einer schnellen und intelligenten Lösung zur verteilten Übernahme des Botnetzes. Zur Beschleunigung wollen die Hacker in naher Zukunft ein selbst geschriebenes C-Programm veröffentlichen und die Informationen an weitere Hacker verteilen.

Derweil empfehlen wir allen Benutzern von Windows-PCs, ihr System regelmäßig auf Viren und andere Schadsoftware zu überprüfen. Eine Reihe nützlicher und kostenloser Tools ist in unserer Download-Kategorie Sicherheit zu finden. Mit dem Baseline Security Analyzer bietet auch Microsoft ein kleines hilfreiches Tool an, um grundlegende Schwachstellen am System zu erkennen. Es empfiehlt sich zudem, sein Windows regelmäßig auf eventuelle Sicherheits-Updates zu überprüfen und kritische Sicherheits-Updates umgehend zu installieren.