Dipl.-Inform. Carsten Eilers

TDL kennen Sie bereits: Dieser Schädling ist auch als Tidserv, TDSS und Alureon bekannt, das zugehörige Rootkit sorgte im Februar 2010 für Aufregung, weil die Installation der Updates zu Microsofts Security Bulletin MS10-015 auf damit infizierten Rechnern zu einem Blue Screen of Death beim Neustart führte.

Es handelt sich um einen sehr gut untersuchten Schädling, insbesondere die 64-Bit-Variante des Rootkits erregte als erstes entdecktes 64-Bit-Rootkit natürlich das Interesse der Forscher. Was ist also an der Version 4 so besonderes?

TDL4 - "Praktisch unzerstörbar" nur für Kaspersky?

Die Meldungen über das (angeblich?) so gefährliche Botnet basieren einzig und allein auf einer einzigen Analyse von Kaspersky, die es sowohl in englisch als auch in deutsch gibt. Diese endet mit den Worten

"The decentralized, server-less botnet is practically indestructible, as the Kido epidemic showed."

bzw.

"Dieses dezentralisierte, serverlose Botnetz ist praktisch unzerstörbar, was durch die Epidemie des Wurms KIDO einmal mehr bestätigt wurde."

Bei Kido handelt es sich um den RPC-Wurm Conficker, dessen Botnet ebenfalls eine Peer-to-Peer-Kommunikation nutzte. Was seine Entwickler nicht vor einer Verhaftung bewahrt hat.

Was ist also von der Behauptung zu halten, dass Botnet sei "praktisch unzerstörbar"? Analysieren wir doch einfach mal die Analyse.

Verbreitung über ein Partnerprogramm

TDL4 ist nicht der erste Schädling, der über ein Affiliate-Programm verbreitet wird, und er wird sicher nicht der letzte sein. Daran ist also nichts besonderes, wie auch Kaspersky festgestellt hat.

Verschlüsselte Netzwerkverbindungen

TDL4 verschlüsselt die Kommunikation zwischen Bots und Command&Control-Server mit einem selbst entwickelten Algorithmus, statt wie sein Vorgänger RC4 einzusetzen. Daran ist nichts besonderes, es macht die Kommunikation jedenfalls nicht un(zer)störbar, zumal der verwendete Schlüssel auf den einzelnen Bots berechnet oder ausgespäht werden kann.

Eigene Antivirus-Funktionen

TDL4 enthält selbst Antivirus-Funktionen, um störende Konkurrenten und Schädlinge, die den Benutzer stören und zu einer genaueren Analyse verleiten könnten, zu entfernen. Das ist vielleicht eine Besonderheit, macht das Botnet aber bestimmt nicht unzerstörbar.

Nachladen und Löschen von Schadprogrammen

TDL4 kann verschiedene andere Schadprogramme nachladen und bei Bedarf auch wieder löschen. Das ist interessant, aber weitere Schadsoftware, gerne auch gegen Bezahlung, nachzuladen ist nichts Neues, und die Deinstallation erweitert dieses Angebot nur um den Punkt "Zeitweise Infektion mit Schadsoftware". Unzerstörbar wird das Botnet dadurch bestimmt nicht.

Zugriff auf das Filesharing-Netz "Kad"

TDL4 nutzt das Kad-Netzwerk, um die Befehle an die Bots zu übertragen. Das macht die Zerstörung des Botnets schwieriger, da es nicht reicht, die Command&Control-Server aus dem Verkehr zu ziehen, aber nicht unmöglich. Und wie auch Kaspersky festgestellt hat, macht die Nutzung des öffentlichen Kad-Netzes das Botnet anfällig für eingeschleuste falsche Befehle. Das bei der Entwicklung des entsprechenden Codes die GPL verletzt wurde, dürfte die Cyberkriminellen aber ganz bestimmt nicht stören.

Eine weitere Analyse der KAD-Funktion gibt es von ESET.

Proxy-Server-Modul

TDL4 stellt ein Proxy-Server-Modul bereit, die Cyberkriminellen können darüber einen anonymen Internetzugang anbieten. Das macht das Botnet zwar gefährlicher, aber ebenfalls nicht unzerstörbar.

Unterstützung von 64-Bit-Systemen

TDL war, wie schon erwähnt, das erste 64-Bit-Rootkit. Was das Botnet ebenfalls nicht unzerstörbar macht

Verwendung von Stuxnet-Exploits

TDL4 verwendet Exploits, die aus Stuxnet bekannt sind. Was nun wirklich unwichtig ist, da die zugehörigen Schwachstellen inzwischen alle behoben wurden. Exploits für bereits behobene Schwachstellen verwenden die meisten Schädlinge. Diese Exploits waren nur in Stuxnet selbst interessant, da es damals 0-Day-Schwachstellen waren. Inzwischen sind die nur noch kalter Kaffee. Und unzerstörbar machen sie das Botnet bestimmt nicht.

Zwischenfazit

Also viel Lärm um nichts. TDL4 ist vielleicht der zur Zeit ausgefeilteste Schädling und das Botnet ist nur schwer im großen Maßstab lahm zu legen, aber es ist bestimmt nicht unzerstörbar. Die Analysten von Kaspersky haben also etwas übertrieben, wie es auch z.B. Paul Ducklin von Sophos und David Harley von ESET festgestellt haben. Von ESET gibt es übrigens auch eine Analyse von TDL4, die vor kurzem aktualisiert wurde: "The Evolution of TDL: Conquering x64" (PDF).

Und noch ein "Feature"

Was Kaspersky übrigens ganz vergessen hat ist eine weitere Schutzmaßnahme von TDL, auf die Paul Ducklin hinweist: Nach der Installation des Rootkits werden die benötigten Dateien in einer geheimen, verschlüsselten Partition am Ende der Festplatte versteckt. Das macht die Entdeckung der Infektion natürlich schwieriger, da sie sich damit außerhalb der Sichtweite von Windows und darauf laufenden Virenscannern befinden. Aber die haben generell Probleme mit der Entdeckung installierter Rootkits, weshalb die ja auch entwickelt wurden. Aber wie Paul Ducklin ebenfalls feststellt, verhindern aktuelle Virenscanner i.A. die Infektion, so dass eine spätere Entdeckung oder Entfernung gar nicht nötig sind.

Fazit

TDL4 ist mit Sicherheit nicht "praktisch unzerstörbar". Sowohl Schädling als auch Schadfunktionen sind nicht zu unterschätzen, aber eine Rangliste wie "TDL4 ist gefährlicher als Zeus und der ist gefährlicher als Stuxnet" ist zwecklos, da es immer auf die jeweiligen Umgebungsbedingungen ankommt.

Die iranischen Atom-Wissenschaftler dürften über eine Infektion ihrer Arbeits- und Steuerrechner mit dem Online-Banking-Trojaner Zeus oder dem TDL4-Botnet herzhaft lachen, während Stuxnet für sie die gefährlichste Schadsoftware des Planeten ist. Fast überall sonst auf der Welt ist Stuxnet dagegen nur ein lästiges Ärgernis, lediglich die Betreiber der paar infizierten SCADA-Systeme dürften das etwas anders sehen, aber auch dort hat Stuxnet ja (zumindest laut Siemens) keinen Schaden angerichtet.

Auch das Botnet ist nicht gefährlicher als andere. Es ist relativ gross, dass sind andere auch. Es kann Schadsoftware nachladen, das können andere auch. Lediglich die neue Funktion als Internet-Proxy, durch den Cyberkriminelle ihre Spuren verwischen und den Verdacht auf harmlose Personen lenken können, ist gefährlich. Aber nur für die Betreiber der infizierten Rechner, die plötzlich als mutmaßliche Täter zum Ziel der Strafverfolger werden. Die Allgemeinheit ist davon nicht betroffen, denn ob die Cyberkriminellen ihre Spuren durch den Einsatz eines TDL4-Bots oder auf anderen Weg verwischen, ist egal.

TDL4 ist also ein Schädling, Rootkit und Botnet wie viele andere. In der nächsten Folge wird es virtuell, dann geht es um Rootkits und Virtualisierung.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware - Der Spion in Ihrem Computer

Viren - Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer - Schadsoftware, die sich selbst verbreitet

Trojaner - Der Feind im harmlosen Programm

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Exploit-Kits - Die Grundlage für Drive-by-Infektionen

Rootkits

Rootkits - Schadsoftware im System

Rootkits gegen Festplattenverschlüsselung und für BSoD

TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?

SubVirt und Blue Pill - Rootkits mit Virtualisierung

Rootkits für Xen und SMM

Rootkits (fast) in der Hardware

Rootkits für Smartphones und Mac OS X

Remote Administration Toolkits - Fernwartung in der Grauzone

Botnets - Zombie-Plagen im Internet

Schadsoftware - Infektionen verhindern

Schadsoftware im Überblick