{"id":298,"date":"2007-10-05T20:12:19","date_gmt":"2007-10-05T18:12:19","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/298-storm-worm"},"modified":"2018-05-31T17:27:07","modified_gmt":"2018-05-31T16:27:07","slug":"storm-worm","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/298-storm-worm","title":{"rendered":"Storm Worm"},"content":{"rendered":"<p>Der Storm Worm bildet inzwischen das <a href=\"http:\/\/www.zdnet.de\/security\/news\/0,39029460,39157537,00.htm\">gr\u00f6\u00dfte globale Botnetz<\/a> aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat <a href=\"http:\/\/seclists.org\/fulldisclosure\/2007\/Aug\/0520.html\">errechnet<\/a>, dass die Leistung des Botnetzes locker die der gr\u00f6\u00dften Supercomputer \u00fcbertrifft.<\/p>\n<p>Bruce Schneier hat eine <a href=\"http:\/\/www.schneier.com\/blog\/archives\/2007\/10\/the_storm_worm.html\">Analyse des Storm Worm<\/a> zusammengefasst. Er spricht von der Zukunft des Schadcodes.<\/p>\n<ol>\n<li>Der Wurm ist geduldig. Er greift nicht permanent an sondern f\u00fchrt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.<\/li>\n<li>Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.<\/li>\n<li>Storm verursacht keine sp\u00fcrbaren Sch\u00e4den an komprimittierten Systemen. Die Anwender merken keine \u00c4nderung im Verhalten, das einen Administrator alarmieren k\u00f6nnte.<\/li>\n<li>Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unm\u00f6glich, den Wurm auszuschalten.<\/li>\n<li>Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken gesch\u00fctzt, sie verstecken sich auch im DNS durch &#8222;Fast Flux&#8220;, d.h. st\u00e4ndig wechselnde DNS-Eintr\u00e4ge.<\/li>\n<li>Die Schadroutinen von Storm ver\u00e4ndern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden k\u00f6nnen.<\/li>\n<li>Die Verbreitungsverfahren des Wurms werden auch st\u00e4ndig angepa\u00dft. Per Mail, als Einladung zu einer Webseite, \u00fcber L\u00fccken im Browser &#8230; sobald eine L\u00fccke geschlossen wird, greift der Wurm auf eine andere zu.<\/li>\n<li>Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden st\u00e4ndig an aktuelle Ereignisse angepasst. Wenn die NFL er\u00f6ffnet werden Tickets angeboten, bei schweren St\u00fcrmen Wetterinformationen, etc.<\/li>\n<li>Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen \u00fcber den Wurm beschr\u00e4nkt werden, um die Ausbreitung nicht weiter zu gef\u00e4hrden.<\/li>\n<\/ol>\n<p>Eigentlich best\u00e4tigt das nur, was ich seit geraumer Zeit in meinen Vortr\u00e4gen erz\u00e4hle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.<\/p>\n<p>Nur <a href=\"http:\/\/www.zdnet.de\/security\/news\/0,39029460,39157005,00.htm\">F-Secure<\/a> ist anderer Meinung.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Storm Worm bildet inzwischen das gr\u00f6\u00dfte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der gr\u00f6\u00dften Supercomputer \u00fcbertrifft. Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes. Der Wurm ist [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/298"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=298"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/298\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}