Con♂️♀️r entmystifiziert

Dieses Thema im Forum "Netzwelt" wurde erstellt von FranzHose, 31. März 2009 .

Schlagworte:
  1. 31. März 2009
    Felix Leder und Tillmann Werner von der Uni Bonn stellen heute die Ergebnisse ihrer Analyse des Con♂️♀️r Wurms vor. Sie beschreiben nicht nur in einem Paper aus der Reihe "Know your Enemy" die Funktionsweise des Wurms sondern sie präsentieren auch eine Reihe von Tools, mit denen man vor dem Wurm imunisieren oder ihn aufspüren und auch sauber entfernen kann. Und schließlich haben sie auch ein Problem entdeckt, über das man anscheinend Con♂️♀️r sogar direkt angreifen könnte.

    Sollte es noch eines Beweises bedurft haben, dass Con♂️♀️r kein Werk von Anfängern ist, hat die Analyse von Leder und Werner den jetzt erbracht. So enthält der Wurm beispielsweise ein sehr intelligentes Auto-Update-Verfahren: Er leitet die verwundbaren Funktionsaufrufe zur Umwandlung eines relativen Pfades wie \a\..\b in das kanonische \b auf sich um. Kommt dort ein Funktionsaufruf an, der versucht, die Sicherheitslücke auszunutzen, wie es Con♂️♀️r selbst tut, dann dekodiert er den darin enthaltenen Shellcode. Der versucht typischerweise den eigentlichen Wurmcode nachzuladen; die dafür verwendete URL extrahiert Con♂️♀️r aus dem Shellcode und lädt das Wurm-Programm dann selber.

    Doch damit nicht genug. Con♂️♀️r testet sehr genau, ob es sich um eine aktuellere Version seiner selbst handelt. Er erwartet dazu eine digitale Signatur, die mit einem geheimen RSA-Schlüssel des Wurm-Autors erstellt sein muss. Es ist quasi aussichtslos, Con♂️♀️r auf diesem Weg etwas unter zu schieben; die Entwickler haben für den Wurm einen dezentralen Auto-Update-Mechanismus implementiert, den die Forscher für praktisch unknackbar halten.

    Trotzdem lassen sich die Ergebnisse von Leder und Werner gezielt gegen den Wurm einsetzen. Indem sie im Hauptspeicher nach den eindeutigen RSA-Keys zum Überpüfen der digitalen Signaturen suchen, können sie die Threads des Wurms gezielt aufspüren und beenden. Außerdem haben sie die eingesetzten Algorithmen für Pseudozufallszahlen und deren jeweilige Initilialisierungsparameter erforscht und nachgebaut. So stellen sie Tools bereit, mit denen man die pseudozufällig ermittelten Domainnamen errechnen kann, zu denen Con♂️♀️r zu einem bestimmten Zeitpunkt Kontakt aufnimmt. Auch die Dateinamen und Registry-Einträge lassen sich mit einem Tool nachbauen. Des weiteren haben sie ein Programm geschrieben, das im System bestimmte Mutexe setzen kann, bei deren Vorhandensein Con♂️♀️r glaubt, das System sei bereits infiziert und deshalb keine Infektion durchführt. Bereits gestern präsentierten die beiden einen Scanner, der Con♂️♀️r übers Netz an den Rückgabewerten bestimmter Funktionsaufrufe erkennt.

    Und schließlich haben die Honeynet-Experten in Con♂️♀️r dann doch noch eine Schwachstelle in Con♂️♀️r entdeckt. Die Details dazu wollen sie allerdings in Absprache mit der Con♂️♀️r Working Group vorläufig nicht veröffentlichen. Im veröffentlichten Paper heißt es nur noch ominös, dass die Originalversion ein Problem beschrieben habe, das sich "ausnutzen" lasse. Auf Nachfragen von heise Security, ob auf diesem Weg eventuell eine Reinigung übers Netz möglich sei, verwiesen die beiden auf eine Absprache mit der Con♂️♀️r Working Group, die ihnen in dieser Angelegenheit jeden Kommentar untersagt.

    Damals beim Sturmwurm haben die die Forscher aus rechtlichen und moralischen Erwägungen darauf verzichtet, selbst aktiv gegen die infizierten Zombies vorzugehen. Allerdings war das Sturmwurmnetz zu diesem Zeitpunkt auch bereits recht dezimiert und keine echte Bedrohung mehr. Anders präsentiert sich die Situation bei Con♂️♀️r: Hier spricht man derzeit von mehreren Millionen infizierter Rechner und die internationale Security-Industrie hat sich zur Con♂️♀️r Working Group zusammengeschlossen, um gegen den Wurm vorzugehen. Die hat bereits Tausende von Domains registriert, um ein Update von Con♂️♀️r.A/B auf Version C zu verhindern und eine Prämie von 250.000 US-Dollar auf Hinweise zur Ergreifung der Hintermänner ausgesetzt. Man darf gespannt sein, ob sie jetzt auch Maßnahmen zur gezielten Ausschaltung des Wurms in Betracht ziehen.


    Quelle: Con♂️♀️r entmystifiziert | heise online
     
  2. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    muss ganz ehrlich gestehen
    ich kenn mich mit der materie genau null aus
    aber ich finds immer wieder faszinierend mit welchem engagement (und zwar auf beiden seiten) da gearbeitet wird.
    wobei natürlich die lösung des problems als viel höher anzusehen ist als den wurm zu coden
     
  3. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    jetzt fehlt halt nur noch ne ordentliche anleitung für alle und dummies wie man ihn denn nun bekämpft und bereinigt.
    btw: ich finde dieses ganz hin- und her schon krass ...vorallem find ich es lustig dass manche glauben es geschieht nix wenn man morgen net online geht ^^
    wenn der druff is, isser druff
     
  4. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Ah, jetzt verstehe ich xD. Hat aber relativ lange gedauert bis man wusste was der Wurm so drauf hat und wie er aufgebaut ist. Allein das zeigt doch schon, dass dahinter absolute Profis sitzen müssen, da bestimmt kein Laie sowas auf die Beine stellen kann.
    Super ist natürlich, dass man auch Schwachstellen gefunden hat... So kann man ganz getreu dem Motto "Angriff ist die beste Verteidigung" vorgehen. Wenn er sich noch weiter ausbreitet und mehr Schaden anrichtet wird man's wohl auch tun müssen. Aber erst einmal abwarten was er moin tolles macht
     
  5. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Hab ich das richtig verstanden dass hier jetz im Prinzip ein Wurm mit nem weiteren Wurm oder Virus oder Trojaner hintergangen wird???

    sry leutz hab kein plan davon^^

    mfg caine
     
  6. 31. März 2009
    AW: Con♂️♀️r entmystifiziert


    das wollte man machen, aber con♂️♀️r hat das nicht zugelassen... hat halt alles was nicht die signatur vom Coder enthielt sofort gelöscht... insofern war der wurm auf dem gänigen weg nicht angreifbar... (einen wurm schreiben der sich als update des wurms tarnt und ihn dann zerstört)

    zumindest glaub ich das wenn nicht dann haut mich
     
  7. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    ich finde das engagement ebenfalls sehr bemerkenswert....

    welch ein interlekt hinter so einem konstrukt steckt muss wohl nicht hinterfragt werden... wenn selbst forscher an einer uni oder wie das nochmal genau war sagen das da keine anfänger am werk waren
    auch wenn inzwischen jeder beliebige spasst kein anfänger mehr ist

    gz
     
  8. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Das ist wirklich sehr interessant zu hören. Bin auch sehr fasziniert darüber wie sehr der Coder versucht hat jede noch so kleine Möglichkeit zu umgehen, das der Wurm gelöscht werden kann. Total krass.

    Bin gespannt was morgen "angeblich" passieren soll.

    gruß klaxx
     
  9. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Und was soll er am 1.April nun machen?
     
  10. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Finde es auch sehr erstaunlich, dass kein großer Konzern den Wurm so gut "erforscht" hat wie es 2 Personen an einer Uni geschafft haben.
     
  11. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Ja das kann man so ansehen. Ich finde der Coder, der den Con♂️♀️r programmiert hat einfach genial. Es gibt ja wieder mal gerüchte, dass die Spamer Scene, wahrscheindlich die RBN dahinter steckt. Für mich wäre das auch sehr logisch. Denn RBN hat im Russland-Georgien Krieg gezeigt, zu was ihre Coder fähig sind...
     
  12. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    ja das ist die große letzte frage, was macht er eigentlich?
    Sehe ich das richtig, dass iwi herausgefunden wurde, dass er morgen aktiv wird. Oder wird das ein Aprilscherz?
    ich bin gespannt und werde heute Nacht durchmachen, oder weiß da jemand mehr
     
  13. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Als ob am 1. April schon alle PCs desinfiziert sind. Wenn Microsoft und die Anitviren Firmen schnell reagieren wird der Wurm vll von 80% runter sein, aber sicherlich nicht von allen. Und wenns dann halt nur noch 10 Millionen PCs befallen sind, reicht das auch noch für große Attacken aus.
     
  14. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    wenn dein pc nich mit dem internet verbunden is dann kann er auch nich benutzt werden vom Con♂️♀️r ... is doch logisch ... was findest du daran lustig ????(
     
  15. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    naja wenn du für immer dein internet abschaltest kann der wurm nichts machen aber es ist wirklich lustig das manche leute glauben, dass wenn sie am mittwoch den pc auslassen das der wurm dann erledigt sei und nie aktiviert werden würde

    ich wette der wurm macht nicht besonders viel... is bestimmt nur eine machtdemo... um auf die sicherheitslücken in den pc's hinzuweisen
     
  16. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    und selbst wenn leute am mi den pc auslassen wird die macht vom wurm eingeschränkt ( an dem besagten tag ).. is doch ganz logisch?!
     
  17. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Ich frag mich was die Motivation der Entwickler war, einen solchen Wurm zu erschaffen^^

    Ich denke wenn man so intellegent ist, dann sollte man auch nicht so krank im Hirn sein um sowetwas zu erschaffen. Trotzdem ist es faszinierend wie man auf so ein System aufbauen kann, das parktisch unendteckt bleibt und insich eine Festung bildet (ebben fast ).
     
  18. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Vielleicht war die Motivation der Coder ja, der Welt zum 10000000-Mal zu zeigen wie unsicher Microsoft-Systeme sind...
    Naja .... #wayne für Linux-User :]
    Und wodurch ist dies mal wieder möglich - richtig dadurch, das min. 90% der Windows-User mit Adminrechten surfen....
    Imho ein Meisterwerk der Programmierer, die habens echt drauf.
    Aber auch Respekt an die beiden Helden, dies geschafft haben das ganze zu verstehen und auch noch ne Lücke im Wurm entdeckt haben.

    mfg
    TuXiFiED
     
  19. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    titel is fail. die wissen immer noch nich was morgen passiert und ich frue mich jetzt schon drauf wien kind mit diesem ganzen geheimnistue.. man man die wollen sich nur selbst bekannt machen...
     
  20. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Verstehe auchnur Bahnhof von der Materie, weiß auch nicht ,was der Wurm so macht! Ich kanns nur net glauben, dass man das Ding nicht löschen oder bekämpfen kann und dass keiner der vielen Antivirus Softwarehersteller irgednetwas dagegen entwickeln konnte.
    Man muss echt kein Experte sein, um zu sehen, dass da absolute Profis dahinter stecken.

    vielleicht waren es ja leute von der Industrie....huuhuuuu


    Die riesen Antivirus-Verschwörungstheorie, na ja kann aber alles möglich sein, wer weiß was die bezwecken!



    Appropo bezwecken, was bezwecken solche Jungs, indem Sie so ein Programm schreiben,

    dass soviel schaden verursacht? Was hat man davon , mal ehrlich? Ich raff das net!
     
  21. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Ich denke mal vor allem Aufmerksamkeit und eben das sie ein Gefühl von Macht haben. Ich meine... 10 Millionen Rechner sind schon infiziert und angeblich werden es immer mehr.

    Fehlt nur noch das Dan Brown kommt und ein Buch darüber schreibt

    Dan Brown - The Con♂️♀️r Code
     
  22. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    aha...
    und wie merkt man, dass man den scheiss auf seiner platte hat? oO
    oder merkt man das erst morgen?
     
  23. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Das "Microsoft Windows-Tool zum entfernen bösartiger Software MÄRZ 2009" soll angeblich die Con♂️♀️r Varianten A und B erkennen, wie es mit Variante C aussieht weiß ich nicht.
     
  24. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    Da bin ich ja mal gespannt.
    Naja mir eigendlich wayne ob ich ihn drauf hab oder nicht, macht meinem Rechner ja so gesehen bisher nichts.
    Werd heute nacht mal meinen Rechner durchlaufen lassen, weis zwar nicht ob ich ihn hab aber wenn dann haben die Coder meine Unterstützung falls er irgend eine Regierung anfällt. =)

    mfg.

    *edit*
    --------------
    Nix Edit, edit is gelöscht Oo
    --------------
     
  25. 31. März 2009
    AW: Con♂️♀️r entmystifiziert

    das problem ist, dass con♂️♀️r auf windows systemen sitzt die eine sicherheitslücke besitzen, welche schon seit ewigkeiten seitens microsoft gepacht wurde.

    die chance ist also groß, dass die computer welche mit con♂️♀️r infiziert wurden schon seit ewigkeiten keinen patch gesehen und damit auch das "Microsoft Windows-Tool zum entfernen bösartiger Software MÄRZ 2009" verpasst haben.

    insofern ist dieses tool höchstwahrscheinlich vollkommen nutzlos...

    zur updateroutine: die ist in meinen augen nichts weltbewegend neues und spektakuläres. hätte ich auch gemacht, wenn es mir nicht an wissen, willen, zeit und krimineller energie mangeln würde, was das ausnutzen von sicherheitslücken unter windows angeht...
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.