Sasser - Das erste Muster von „War Searching”

Tobias Huber
15 Kommentare

Der Computerwurm Sasser gilt unter Experten als erster Ansatz zu dem, was in der Szene als „War Searching“ bezeichnet wird. In verschiedenen Dokumenten wurde bereits im vergangenen Jahr diese mögliche Angriffsstrategie beschrieben. Sasser ist jetzt die gewissermaßen erste Realisierung dieses Prinzips.

Dabei geht es um die Technik, die Sasser und seine Varianten B, C und mittlerweile schon D nutzen, um Suchmaschinen als Multiplikatoren von infizierten Webseiten und Rechnern einzusetzen. Der Computerwurm benutzt infizierte Rechner als Plattform für weitere Suchläufe im Internet. Er konzentriert sich dabei ausschließlich auf Rechner unter den Betriebssystemen Windows 2000 und XP - ältere Versionen von Windows sind außen vor. Sasser scannt die Rechner auf einen offenen Port hin ab, um dort seinen Code zum implementieren und einen FTP-Server zu installieren. Der wiederum führt den Job fort, und beobachtet gleichzeitig andere TCP-Ports auf eingehende Verbindungen.

Die Schadensroutine von Sasser scheint sich auf Reboots des befallenen Rechner zu beschränken. „Sasser ist das erste Muster der War Searching Strategie. Noch aber werden dabei nicht die großen Suchmaschinen im Web wie Google oder Yahoo benutzt. Noch ist es ein einfacher Mechanismus. Wir erwarten aber in Zukunft wesentlich komplexere Angriffe“, so die Einschätzung des IT-Sicherheitsexperte Massimiliano Mandato vom IT-Dienstleister NextiraOne.

Dank der geringen Schadensroutine gibt Sasser aber jetzt eine gute Chance der Prävention und der Verbesserung der Sicherheitslage. Mandato empfiehlt parallele Maßnahmen: Firewalls überprüfen und gegebenenfalls aktivieren, Sicherheitspatches von Microsoft einspielen und ein Removal-Tool wie Stinger einsetzen, um bereits vorhandene Sasser-Infektionen aufzuspüren und zu löschen.

Der Sicherheitsspezialist weißt aber darauf hin, dass Technik alleine nicht ausreicht: „Gerade portable Notebooks, die von unterschiedlichen Zugängen aus Online gehen und eventuell auch verschiedene WLAN-Umgebungen benutzen, sind sehr anfällig für jede Art von Angriff. Hier zeigen Initiativen wie etwa Cisco's Self Defending Network grundsätzliche Strategien auf, mit denen Sicherheit aktiv im Netzwerk gelebt werden kann“. Die Stärke der Self Defending Network Strategie liegt nach Mandato darin, dass das Sicherheitsniveau des gesamten Netzwerks zentral adjustiert werden kann, und das Netzwerk dann selbst alle angeschlossenen Teilnehmer überprüft und Kategorien zuordnet. Auch die Distribution von Sicherheits-Patches wird dabei automatisiert.