{"id":426,"date":"2007-12-27T23:24:50","date_gmt":"2007-12-27T21:24:50","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/426-24c3-cybercrime-20-storm-worm"},"modified":"2018-05-31T22:38:01","modified_gmt":"2018-05-31T21:38:01","slug":"24c3-cybercrime-20-storm-worm","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/426-24c3-cybercrime-20-storm-worm","title":{"rendered":"24C3: Cybercrime 2.0 Storm Worm"},"content":{"rendered":"

Der Vortrag von Thorsten Holz<\/a> zum Storm Worm war wieder sehr interessant. Der Storm Worm (auch Peacomm, Nuwar, Zhelatin) war der am meisten in den Medien erw\u00e4hnte Wurm 2007 und ist sehr agressiv in der Verteilung durch Spam. Im Schnitt zwischen 2-5% des Spam-Aufkommens wird inzwischen durch den Storm Worm verursacht. Teilweise wurde die Anzahl der infizierten Rechner auf 1,8 Millionen<\/a> gesch\u00e4tzt. Thorsten hat das etwas relativiert.<\/p>\n

Die Spam-Mails des Storm Worm locken auf Webseiten, die zum einen Browser-Exploits gegen Firefox und Internet Explorer einsetzen, andererseits zum Download von EXE-Files animieren, die dann den eigentlichen Schadcode auf dem Rechner installieren. Das Binary wiederum ist stark obfuscated (wurde von Frank Boldewin<\/a> analysiert) und implementiert das Overnet Peer-to-Peer Protokoll zur Kommunikation.<\/p>\n

In diesem Peer-to-Peer Netzwerk suchen die infizierten Clients nach bestimmten Hashes (die vom Datum und der Zeit abh\u00e4ngen, weshalb der Wurm die Clients per NTP synchronisiert) und findet mit Hilfe dieser Hashes die Kommandos (z.B. DDoS oder Spam-Versand) die auszuf\u00fchren sind. Rechner mit privaten IPs fungieren nur als Angriffsnode, Rechner mit offiziellen IPs \u00fcbernehmen Funktionen von Control-Nodes und k\u00f6nnen Web- und DNS-Server laufen lassen.<\/p>\n

Clients authentisieren sich gegen\u00fcber dem Controller mit einem einfachen Challenge-Response, wobei Challenge XOR Response immer den Wert 0x3ED9F146 ergeben muss. Die Kommunikation selbst ist Zlib-komprimiert aber (bisher) nicht verschl\u00fcsselt (aktuelle Versionen setzen einfache XOR-Verschl\u00fcsselung mit festen Werten aber keine starke Kryptographie ein).<\/p>\n

Mit Hilfe des KadC-Crawlers, der das komplette Overnet in ca. 20-40 Sekunden abfragen kann, hat Thorsten die Gr\u00f6\u00dfe des Storm Worm Netzes gesch\u00e4tzt: Die Obergrenze ergibt sich durch 45-80 tausend Peers, 420 tausend Overnet IDs verteilt auf 1,7 Mill. verschiedene IP-Adressen, davon jedoch einige legitime Overnet-Peers die nicht Storm Worm infiziert sind. Die Untergrenze ergibt sich durch die Controller, ca. 5-6 tausend Bots mit Webservern, etwa 30 tausend Peers die Storm Worm Hashes suchen. Die real infizierte Zahl d\u00fcrfte irgendwo dazwischen liegen auch wenn sicher immer wieder viele infizierte Rechner gerade nicht im Internet aktiv sind.<\/p>\n

Gegen das Peer-to-Peer Netz des Storm Worm kann man nicht so viel tun … es gibt Eclipsing, d.h. Man-in-the-Middle-Angriffe bei denen man versucht die Hash-Suche durch falsche Antworten zu beeinflussen und Polluting, d.h. man versucht so viel Schrott mit gleichem Hash zu platzieren, dass die Bots keine regul\u00e4ren Befehle mehr entgegen nehmen k\u00f6nnen. Beides funktioniert nur eingeschr\u00e4nkt.<\/p>\n

Das Storm Worm Netz verf\u00fcgt \u00fcber clevere Entwickler:<\/p>\n