RWTHWissenscha�snacht

Computerviren, Malware, BotnetzeDurfen wir uns wehren?

Mark Schloesser

mark.schloesser@rwth-aachen.de

Lehr- und Forschungsgebiet IT SicherheitRWTH Aachen University

11 November 2011

RWTHWissenscha�snacht

Lehr- und Forschungsgebiet IT Sicherheit

Weit gefacherte�emengebiete, unter anderem . . .

• Schadso�ware analysieren und Trends erforschen• “Honeypot” Entwicklung• Angri�serkennung und Schwachstellenanalyse• Daten- und Informationsaustausch, Visualisierung

http://itsec.rwth-aachen.de/

M. Schloesser: Computerviren, Malware, Botnetze 1/20

RWTHWissenscha�snacht

Begri�sklarung Schadso�ware

Schadso�ware =Malware

• Viren, Trojaner, Wurmer, Botnetze, Downloader• Fruher unterscheidbar und klassi�zierbar• Heutzutage eher schwierig, meist mehrere / alle Funktionalitaten enthalten• Allgemein: “Malware” bzw. Schadso�ware

M. Schloesser: Computerviren, Malware, Botnetze 2/20

RWTHWissenscha�snacht

Neue Malware seit 1984

M. Schloesser: Computerviren, Malware, Botnetze 3/20

RWTHWissenscha�snacht

Viel Arbeit bei Virustotal

M. Schloesser: Computerviren, Malware, Botnetze 4/20

RWTHWissenscha�snacht

Dateitypen

M. Schloesser: Computerviren, Malware, Botnetze 5/20

RWTHWissenscha�snacht

Mehr als nur ein Handy

McAfee�reats Report 02/2011http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2011.pdf

M. Schloesser: Computerviren, Malware, Botnetze 6/20

RWTHWissenscha�snacht

Honeypots

M. Schloesser: Computerviren, Malware, Botnetze 7/20

RWTHWissenscha�snacht

Honeypots

Internet PC

Internet PC

Internet PC

Honeypot

M. Schloesser: Computerviren, Malware, Botnetze 8/20

RWTHWissenscha�snacht

Echtzeit Angri�sdaten und Visualisierung

M. Schloesser: Computerviren, Malware, Botnetze 9/20

RWTHWissenscha�snacht

Bekampfung von MalwarePravention und Gegenmaßnahmen

Was kann der Endanwender bzw. Nutzer tun?

• Systemaktualisierungen• Antivirenprogramme• Firewalls

Aktive Maßnahmen gegen Botnetze

• Kontrollserver identi�zieren und aus�ndig machen• Physisch Zugri� verscha�en (nur Behorden)• Rechner kon�szieren oder blockieren• Schwierigkeiten: globales Internet, Landergrenzen, Kooperation• Weitere technische Schwierigkeiten

M. Schloesser: Computerviren, Malware, Botnetze 10/20

RWTHWissenscha�snacht

WettrustenWie weit kommen wir mit den aktuellen Mitteln?

Rosige Aussichten

• Personalmangel bei den Strafverfolgungsbehorden• Exponentieller Wachstum von Malware (Stichwort “Kit” bzw. “Builder”)• Flexibilitat Angreifer / Behorden• Immer komplexere So�ware• Neue Angri�szenarien und Betriebssysteme (Smartphones!)

M. Schloesser: Computerviren, Malware, Botnetze 11/20

RWTHWissenscha�snacht

Nachste Schritte

Weiter wie bisher

• Mehr Personal, sowohl A/V Industrie als auch Strafverfolgung• E�ektivere Kooperation (“Fast Takedown”)• Mehr Analyseressourcen, schnellere Behebung von Problemen

Neue Denkansatze

• Besseres Design von Betriebssystemen (“privilege separation” etc.)• Aktive Verteidigung, Gegenwehr, automatische Desinfektion

M. Schloesser: Computerviren, Malware, Botnetze 12/20

RWTHWissenscha�snacht

Aktive Gegenwehr, Feindliche Ubernahme

“Storm”-worm Botnetz, 2008

Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html

Freizeitproject

Felix Leder, Mark Schloesser, Tillmann Werner, Georg Wicherski

Der “Anti-wurm”

M. Schloesser: Computerviren, Malware, Botnetze 13/20

RWTHWissenscha�snacht

Aktive Gegenwehr, Feindliche Ubernahme

“Storm”-worm Botnetz, 2008

Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html

Der “Anti-wurm”

M. Schloesser: Computerviren, Malware, Botnetze 13/20

RWTHWissenscha�snacht

Aktive Gegenwehr, Feindliche Ubernahme

“Storm”-worm Botnetz, 2008

Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html

Der “Anti-wurm”

M. Schloesser: Computerviren, Malware, Botnetze 13/20

RWTHWissenscha�snacht

Aktive Gegenwehr, Feindliche Ubernahme

“Storm”-worm Botnetz, 2008

Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html

Der “Anti-wurm”

M. Schloesser: Computerviren, Malware, Botnetze 13/20

RWTHWissenscha�snacht

Grundsatzdiskussion

Legale Aspekte

• Jegliches rechtswidrige Verandern, Loschen, Unterdrucken oderUnbrauchbar-Machen fremder Daten erfullt den Tatbestand nach § 303a StGB(Datenveranderung).

• Computersabotage (§ 303b I Nr. 1 StGB)• Ausspahen von Daten (§ 202a StGB)

Ethische Aspekte

• Gutwillige Absichten• Qualitatssicherung• Das “Krankenhaus” Argument• Wer handelt? Privatleute? Firmen? Behorden?

M. Schloesser: Computerviren, Malware, Botnetze 14/20

RWTHWissenscha�snacht

Es tut sich was . . .

Operation b49, Februar 2010

Microso�’s Digital Crimes Unit has e�ectively shut down the Waledac botnet,cutting o� cybercriminal access to hundreds of thousands of infected Windowscomputers around the world.

• Eins der zehn großten Botnetze (US), Millarden SpamMails• Kooperation mit Sicherheits�rmen und Polizei/Behorden

M. Schloesser: Computerviren, Malware, Botnetze 15/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”

• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010

• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”

• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs

• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien

• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party

• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen

• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Dutch NHTCU takes down Bredolab, Oktober 2010

• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU

M. Schloesser: Computerviren, Malware, Botnetze 16/20

RWTHWissenscha�snacht

Die ersten, die den Knopf druckten

Warnung der in�zierten Benutzer

NHTCU befahl den Bots ein Programm herunterzuladen, das einInformationsfenster anzeigt.

Ein Meilenstein?�e law enforcement obligation of helping the victims was judged to precedepotential judicial concerns in this action. �e combination of creativity, newtechniques, close cooperation, and hard work enabled the Taurus partners to gofurther than any of them would have been able to go alone.

M. Schloesser: Computerviren, Malware, Botnetze 17/20

RWTHWissenscha�snacht

NHTCU Benachrichtigung

M. Schloesser: Computerviren, Malware, Botnetze 18/20

RWTHWissenscha�snacht

Weitere Falle

Operation b107, Marz 2011

Microso� has successfully taken down a larger, more notorious and complex botnetknown as Rustock. �is botnet is estimated to have approximately a millioninfected computers operating under its control and has been known to be capableof sending billions of spam mails every day, including fake Microso� lottery scamsand o�ers for fake – and potentially dangerous – prescription drugs.

Kelihos / Hlux Takedown, September 2011

�is takedown will be the �rst time Microso� has named a defendant in one of itscivil cases involving a botnet.

M. Schloesser: Computerviren, Malware, Botnetze 19/20

RWTHWissenscha�snacht

Wie geht es also weiter?

Diskussion erwunscht

• Gesetzesanderungen• Neue Behorde bzw. Erweiterung der Aufgabenbereiche• Internationale Kooperation

Wiederholung: Neue Denkansatze

• Besseres Design von Betriebssystemen (“privilege separation” etc.)• Aktive Verteidigung, Gegenwehr, automatische Desinfektion

M. Schloesser: Computerviren, Malware, Botnetze 20/20

Danke fur’s Zuhoren!

Fragen?

Referenzen

• http://itsec.rwth-aachen.de/

• http://www.webcitation.org/635xu06Bt

• http://www.webcitation.org/635xv11ZB

• http://www.webcitation.org/635xznik7

• http://www.webcitation.org/635y1HPNF