Dipl.-Inform. Carsten Eilers

TDL kennen Sie bereits: Dieser Schädling ist auch als Tidserv, TDSS und Alureon
bekannt,
das zugehörige Rootkit sorgte im Februar 2010 für Aufregung, weil
die
Installation
der Updates zu Microsofts Security Bulletin
MS10-015
auf damit infizierten Rechnern zu einem
Blue Screen of Death
beim Neustart
führte.

Es handelt sich um einen sehr gut untersuchten Schädling, insbesondere
die 64-Bit-Variante des Rootkits erregte als erstes entdecktes 64-Bit-Rootkit
natürlich das Interesse der Forscher. Was ist also an der Version 4
so besonderes?

TDL4 – “Praktisch unzerstörbar” nur für Kaspersky?

Die Meldungen über das (angeblich?) so gefährliche Botnet
basieren einzig und allein auf einer einzigen Analyse von Kaspersky, die es
sowohl in
englisch
als auch in
deutsch
gibt. Diese endet mit den Worten

“The decentralized, server-less botnet is practically indestructible,
as the Kido epidemic showed.”

bzw.

“Dieses dezentralisierte, serverlose Botnetz ist praktisch
unzerstörbar, was durch die Epidemie des Wurms KIDO einmal mehr
bestätigt wurde.”

Bei Kido handelt es sich um den RPC-Wurm Conficker, dessen Botnet ebenfalls
eine Peer-to-Peer-Kommunikation nutzte. Was seine Entwickler nicht vor
einer Verhaftung bewahrt hat.

Was ist also von der Behauptung zu halten, dass Botnet sei “praktisch
unzerstörbar”? Analysieren wir doch einfach mal die Analyse.

Verbreitung über ein Partnerprogramm

TDL4 ist nicht der erste Schädling, der über ein
Affiliate-Programm verbreitet wird, und er wird sicher nicht der letzte
sein. Daran ist also nichts besonderes, wie auch Kaspersky festgestellt
hat.

Verschlüsselte Netzwerkverbindungen

TDL4 verschlüsselt die Kommunikation zwischen Bots und
Command&Control-Server mit einem selbst entwickelten Algorithmus, statt
wie sein Vorgänger RC4 einzusetzen. Daran ist nichts besonderes, es
macht die Kommunikation jedenfalls nicht un(zer)störbar, zumal der
verwendete Schlüssel auf den einzelnen Bots berechnet oder
ausgespäht werden kann.

Eigene Antivirus-Funktionen

TDL4 enthält selbst Antivirus-Funktionen, um störende
Konkurrenten und Schädlinge, die den Benutzer stören und zu einer
genaueren Analyse verleiten könnten, zu entfernen. Das ist vielleicht
eine Besonderheit, macht das Botnet aber bestimmt nicht unzerstörbar.

Nachladen und Löschen von Schadprogrammen

TDL4 kann verschiedene andere Schadprogramme nachladen und bei Bedarf auch
wieder löschen. Das ist interessant, aber weitere Schadsoftware,
gerne auch gegen Bezahlung, nachzuladen ist nichts Neues, und die
Deinstallation erweitert dieses Angebot nur um den Punkt “Zeitweise
Infektion mit Schadsoftware”. Unzerstörbar wird das Botnet
dadurch bestimmt nicht.

Zugriff auf das Filesharing-Netz
“Kad”

TDL4 nutzt das Kad-Netzwerk, um die Befehle an die Bots zu übertragen.
Das macht die Zerstörung des Botnets schwieriger, da es nicht reicht,
die Command&Control-Server aus dem Verkehr zu ziehen, aber nicht
unmöglich. Und wie auch Kaspersky festgestellt hat, macht die Nutzung
des öffentlichen Kad-Netzes das Botnet anfällig für
eingeschleuste falsche Befehle. Das bei der Entwicklung des entsprechenden
Codes die GPL verletzt wurde, dürfte die Cyberkriminellen aber ganz
bestimmt nicht stören.

Eine weitere
Analyse
der KAD-Funktion gibt es von ESET.

Proxy-Server-Modul

TDL4 stellt ein Proxy-Server-Modul bereit, die Cyberkriminellen können
darüber einen anonymen Internetzugang anbieten. Das macht das Botnet
zwar gefährlicher, aber ebenfalls nicht unzerstörbar.

Unterstützung von 64-Bit-Systemen

TDL war, wie schon erwähnt, das erste 64-Bit-Rootkit. Was das Botnet
ebenfalls nicht unzerstörbar macht

Verwendung von Stuxnet-Exploits

TDL4 verwendet Exploits, die aus
Stuxnet
bekannt sind. Was nun wirklich unwichtig ist, da die zugehörigen
Schwachstellen inzwischen alle behoben wurden. Exploits für bereits
behobene Schwachstellen verwenden die meisten Schädlinge. Diese
Exploits waren nur in Stuxnet selbst interessant, da es damals
0-Day-Schwachstellen waren. Inzwischen sind die nur noch kalter Kaffee.
Und unzerstörbar machen sie das Botnet bestimmt nicht.

Zwischenfazit

Also viel Lärm um nichts. TDL4 ist vielleicht der zur Zeit
ausgefeilteste Schädling und das Botnet ist nur schwer im großen
Maßstab lahm zu legen, aber es ist bestimmt nicht unzerstörbar.
Die Analysten von Kaspersky haben also etwas übertrieben, wie es auch
z.B.
Paul Ducklin
von Sophos und
David Harley
von ESET festgestellt haben. Von ESET gibt es übrigens auch eine
Analyse von TDL4, die vor kurzem
aktualisiert
wurde: “The Evolution of TDL: Conquering x64”
(PDF).

Und noch ein “Feature”

Was Kaspersky übrigens ganz vergessen hat ist eine weitere
Schutzmaßnahme von TDL, auf die
Paul Ducklin
hinweist: Nach der Installation des Rootkits werden die benötigten
Dateien in einer geheimen, verschlüsselten Partition am Ende der
Festplatte versteckt. Das macht die Entdeckung der Infektion
natürlich schwieriger, da sie sich damit außerhalb der
Sichtweite von Windows und darauf laufenden Virenscannern befinden. Aber
die haben generell Probleme mit der Entdeckung installierter Rootkits,
weshalb die ja auch entwickelt wurden. Aber wie Paul Ducklin ebenfalls
feststellt, verhindern aktuelle Virenscanner i.A. die Infektion, so dass
eine spätere Entdeckung oder Entfernung gar nicht nötig sind.

Fazit

TDL4 ist mit Sicherheit nicht “praktisch unzerstörbar”. Sowohl
Schädling als auch Schadfunktionen sind nicht zu unterschätzen,
aber eine Rangliste wie “TDL4 ist gefährlicher als
Zeus
und der ist gefährlicher als
Stuxnet“
ist zwecklos, da es immer auf die jeweiligen Umgebungsbedingungen ankommt.

Die iranischen Atom-Wissenschaftler dürften über eine Infektion
ihrer Arbeits- und Steuerrechner mit dem Online-Banking-Trojaner Zeus oder
dem TDL4-Botnet herzhaft lachen, während Stuxnet für sie die
gefährlichste Schadsoftware des Planeten ist. Fast überall sonst
auf der Welt ist Stuxnet dagegen nur ein lästiges Ärgernis,
lediglich die Betreiber der paar infizierten SCADA-Systeme dürften das
etwas anders sehen, aber auch dort hat Stuxnet ja (zumindest laut Siemens)
keinen Schaden angerichtet.

Auch das Botnet ist nicht gefährlicher als andere. Es ist relativ
gross, dass sind andere auch. Es kann Schadsoftware nachladen, das
können andere auch. Lediglich die neue Funktion als Internet-Proxy,
durch den Cyberkriminelle ihre Spuren verwischen und den Verdacht auf
harmlose Personen lenken können, ist gefährlich. Aber nur
für die Betreiber der infizierten Rechner, die plötzlich als
mutmaßliche Täter zum Ziel der Strafverfolger werden. Die
Allgemeinheit ist davon nicht betroffen, denn ob die Cyberkriminellen ihre
Spuren durch den Einsatz eines TDL4-Bots oder auf anderen Weg verwischen,
ist egal.

TDL4 ist also ein Schädling, Rootkit und Botnet wie viele andere. In der
nächsten Folge
wird es virtuell, dann geht es um Rootkits und Virtualisierung.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits

Rootkits – Schadsoftware im System

Rootkits gegen Festplattenverschlüsselung und für BSoD

TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?

SubVirt und Blue Pill – Rootkits mit Virtualisierung

Rootkits für Xen und SMM

Rootkits (fast) in der Hardware

Rootkits für Smartphones und Mac OS X

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick