2003 - Würmer ohne Ende
Willkommen auf dem nächsten Zwischenstop unserer Reise durch die Welt der Schadsoftware. Während anfangs vor allem E-Mail-Würmer von sich Reden machten, ging es danach bunt gemischt weiter.
SQL Slammer gegen Microsofts SQL Server
Im Januar 2003 machte sich SQL Slammer auf den Weg durch die MS SQL Server im Internet, auf denen ein damals bereits 6 Monate altes Update nicht installiert war. Und das waren etliche, deren Admins dann lernen mussten, dass Microsoft die Sätze "Three vulnerabilities, the most serious of which could enable an attacker to gain control over an affected server." und "System administrators should install the patch immediately." nicht nur in das Security Bulletin geschrieben hat, damit das nicht so leer ist.
SQL Slammer nutzte eine Pufferüberlauf-Schwachstelle im SQL Server Resolution Service aus: Ein entsprechend präpariertes UDP-Paket an diesen Service führte zum Pufferüberlauf, danach wurde der eingeschleuste Wurm-Code ausgeführt, der sofort nach weiteren Opfern suchte. Dazu wurden zufällige IP-Adressen erzeugt, an die der präparierte Paket gesendet wurde. Dies führte zu einer starken Auslastung der betroffenen Netze, was teilweise zu einem DoS führte. Eine Besonderheit des Wurms war seine geringe Größe: Der gesamte Wurmcode belegte nur 376 Bytes und passte damit ein einziges UPD-Paket, was einen "fire and forget"-Angriff erlaubte: Nachdem das Paket an eine IP-Adresse abgeschickt worden war, konnte sofort die nächste Adresse aufs Korn genommen werden.
Ausführliche Analysen des Wurms gibt es z.B. von Symantec (PDF), SANS ("Malware FAQ: MS-SQL Slammer") und im IEEE Security and Privacy Magazine (PDF).
SQL Slammer tat nicht weiter, als sich selbst zu verbreiten. Der Wurm enthielt keine Schadfunktion und nistete sich nicht einmal im infizierten Server ein: Nach einem Neustart war der Wurm gelöscht. Das störte die Verbreitung aber nicht weiter, da es genug infizierte Server gab, die einen so "gereinigten" Server schnell neu infizierten.
7 Jahre SQL Slammer sind genug!
Dass ein 7 Jahre alter Wurm immer noch aktiv ist, ist eigentlich unglaublich. Aber es ist so, was das Internet Storm Center im Oktober 2010 dazu veranlasste, im Rahmen des US-Amerikanischen "Cyber Security Awareness Month" zum SQL Slammer Clean-up aufzurufen. Im Laufe des Monats wurden mehrere Beiträge zum Thema im Handler's Diary des ISC veröffentlicht. In "How to Report" wurde beschrieben, wie beobachtete Wurm-Zugriffe an die für die aussendenden Netze Verantwortlichen gemeldet werden sollten. In "Reporting Upstream" ging man dann einen Schritt weiter: Wenn die für die infizierten Server Verantwortlichen nicht reagieren, tun es vielleicht deren ISP. Und wenn E-Mails ignoriert werden, hilft ja vielleicht ein Telefonanruf: "Picking up the Phone". Wie das ganze von der Gegenseite aussieht, beschreibt der Beitrag "Switching Viewpoints": Erreichen mögliche Beschwerden über die eigenen Systeme eigentlich die Verantwortliche, oder landen sie z.B. bei nicht existierenden Mail-Adressen? Wenn alle Stricke reißen und kein Abuse-Kontakt reagiert, bleibt als letzte Möglichkeit das Einschalten des zuständigen CERTs: "Contacting CERTs". Was die Aktionen im Oktober gebracht haben, wurde dann im November zusammengefasst: "Roundup and Review". Die Kurzfassung, frei nach Bernd dem Brot: Alles ist wie immer, nur schlimmer - Der SQL-Slammer-Traffic nahm zu statt wie erwartet ab. Zumindest was den gemeldeten Traffic betrifft. Ob wirklich mehr Würmer neue Opfer suchen oder nur mehr Admins SQL-Slammer-Zugriff melden, lässt sich nicht unterscheiden.
Blaster gegen Windows
Der nächste berühmt-berüchtigte Wurm wurde im August 2003 entdeckt: Blaster (auch Lovesan und MSBlast genannt) nutzte eine kurz zuvor behobene Pufferüberlauf-Schwachstelle im DCOM RPC Service von Windows XP und 2000 aus. Blaster sorgte durch einen Registry-Eintrag dafür, dass sein Code bei jedem Neustart gestartet wurde.
Seine Schadfunktion: Am 16. August 2003 sollte er einen DDoS-Angriffe auf Microsofts damaligen Update-Server "windowsupdate.com" starten. Durch Implementierungsfehler wird die DDoS-Funktion aber an jedem 16. Tag der Monate Januar bis August sowie an jedem Tag in den Monaten September bis Dezember gestartet. Da kein Jahr vorgegeben ist, DDoSed Blaster "windowsupdate.com" also bis in alle Ewigkeit, sofern er dann noch einen Wirtsrechner findet. Microsoft ließ den DDoS-Angriff ins Leere laufen, indem die Namensauflösung für "windowsupdate.com" eingestellt wurde. In gewisser Weise war Blaster also sogar erfolgreich: "windowsupdate.com" ist nicht mehr erreichbar. Allerdings nur dem Namen nach, dem Server geht es weiterhin blendend.
Das Löschen von "windowsupdate.com" war relativ problemlos möglich, da die Update-Funktion von Windows sowieso die Adresse "windowsupdate.microsoft.com" verwendet. "windowsupdate.com" wurde hauptsächlich für z.B. Links zu Updates, verwendet. "windowsupdate.com" existiert auch heute noch nicht wieder, stattdessen wird "www.windowsupdate.com" verwendet.
Außer dem Schadcode enthält der Wurm noch eine Nachricht an Bill Gates, die aber nur im Code enthalten ist und nicht ausgegeben wird:
"I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!"
Theoretisch hätte Blaster auch Windows Server 2003 infizieren können,
praktisch
scheiterte das am gesetzten
/GS-Flag:
Der Pufferüberlauf wird erkannt und der RCPSS-Prozess beendet, so dass der
Schadcode nicht ausgeführt wird.
Welchia gegen Blaster
Kurz nach Blaster nutzte ein weiterer Wurm die von Blaster verwendete RPC-Schwachstelle aus: Welchia (auch Nachia genannt) versuchte, den Patch für die ausgenutzte Schwachstelle zu installieren und Blaster zu entfernen. Am 1. Januar 2004 oder 120 Tage nach der Infektion des Rechners (je nachdem, was zuerst eintritt) entfernte sich Welchia selbst von den infizierten Rechnern. Was generell gut gemeint war, hatte aber auch Nebenwirkungen: In manchen Fällen kam es durch Welchi zu Abstürzen der damit infizierten Rechner.
In der nächsten Folge nähern wir uns weiter der Gegenwart, und in der sind Würmer nach wie vor aktiv, wie der "Here you have"-E-Mail-Wurm und Stuxnet bewiesen haben.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Warum Sie Java im Browser ausschalten sollten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Java, SQL Slammer und GitHub-Geheimnissen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang
Vorschau anzeigen