Spam: Trojaner als Spam-Roboter

1. Spam: Trojaner als Spam-Roboter �

2. Gliederung Einleitung Antispam-Ma�nahmen Blackhole-Listen Sender Policy Framework (SPF) Trojaner Entstehung und Verbreitung Trojaner aus dem Baukasten / P2P & Windowsschwachstellen / Proxies & offene SMTP-Server Kontrolle des Bots Der Zweck des Bots Professionelle Spammer / DDoS-Attacken Fazit

3. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit �In den Virenstatistiken dominieren derzeit schlichte E-Mail-W�rmer, die es auf maximale Verbreitung abgesehen haben, dar�ber hinaus aber keine oder kaum Schadfunktionen aufweisen. Gr��ere Gefahr geht jedoch von trojanischen Pferden aus, die Daten ausspionieren und den Rechner als Spam-Schleuder oder f�r Angriffe auf Server missbrauchen.� c�t 3/2004, Angriffe aus dem Netz, S. 118

4. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit Virus: Ein Virus ist ein Programm, das andere Programme oder Speichermedien modifizieren kann, um dort eine Kopie von sich selber zu hinterlassen. Bsp: Als Anhang an eine Datei Wurm: Im Gegensatz zu einem Virus h�ngt sich ein Wurm nicht an, sondern kopiert sich selbst�ndig �ber das Netzwerk. Ihm geht es um seine Verbreitung. Eine Unterscheidung zwischen diesen Arten ist nicht ganz eindeutig. Im Prinzip k�nnte man behaupten, ein Virus infiziert ein Objekt und ein Wurm seine Umgebung.

5. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit Trojaner: Tarnen sich als n�tzliche Anwendung, enthalten aber eine versteckte Schadroutine. Eine besonders aggressive Form sind Backdoor- und RAT-Trojaner, die ein Hintert�rchen im System �ffnen, durch das der Hacker eindringen kann. Moderne Viren vereinen teilweise die Eigenschaften aller drei Vertreter und sind dadurch extrem �potent�. Ein Programm, dass sich auf X-verschiedene Weisen replizieren kann (m�glicherweise intelligent) und in der Lage ist, das von ihm infizierte System komplett zu steuern.

6. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 2.1.Blackhole-Listen Eine M�glichkeit Spam zu verhindern ist, die IP-Adresse des Spammers, sobald dieser als solcher erkannt wird, in eine Datenbank einzutragen und ab sofort keine Mails von diesem Mailserver mehr entgegen zu nehmen. www.declude.com/junkmail/support/ip4r.htm Problem: Spammer nutzen Tausende von vor�bergehend im Netz aktiven PCs. Die Zahl zu blockender Adressen ist unglaublich gro� und ver�ndert sich in Echtzeit.

7. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 2.1.Blackhole-Listen Blackhole-Listen m�ssen stets aktuell gehalten werden; auch, wenn ein Rechner unter Umst�nden nur ein einziges Mal f�r den Spamversand verwendet wurde. IPs, die in 24h nur einmal als Spamversender aufgetreten sind, m�ssen von der Liste wieder gestrichen werden. Der Spamfilter des Onlineangebots der Zeitschrift iX setzt t�glich ca. 1500 IP-Adressen auf die Blackhole-List aber: �Trotz der Spammer-Tricks erkennt der iX-Spamfilter rund 40 % der Spam-Mails von vornherein, weil die gleiche oder eine eng benachbarte IP-Adresse kurz zuvor Spam verschickt hat.�

8. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 2.1.Blackhole-Listen Es gibt immer Server, die nicht auf Blackhole-Listen stehen: ? White-List Die White-List ist das genaue Gegenteil zur Blackhole-List. Hier werden genau die Adressen gelistet, von denen ein Mailempfang gestattet ist. Zwar relativ Spamsicher aber nat�rlich etwas �m�hselig�, da keine Emails von unbekannten Adressen empfangen werden k�nnen. ? eignet sich also auch nur f�r bedingte Situationen

9. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 2.1.Sender Policy Framework (SPF) SMTP hat ein Sicherheitsloch: Jeder kann eine beliebige Absenderadresse bei einem Mailversand angeben. ? Pr�fung der Absenderdomain gegen die versendende IP- Adresse Verfahren entwickelt von Meng Weng Wong; von AOL erfolgreich propagiert; haupts�chlich ben�tigt f�r neue .tm-Domains. Dazu m�ssen die DNS-Eintr�ge um ein neues Datenfeld (SPF-Records) erweitert werden. Sowohl der sendende, als auch der empfangende Mailserver m�ssen SPF unterst�tzen.

10. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 2.1.Sender Policy Framework (SPF) Ankommende Email angeblich von gmx.de, IP-Adresse 1.2.3.4 Abfrage: Geh�rt der Mail-Server mit der IP-Adresse 1.2.3.4 wirklich zu gmx.de?

11. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung F: Sind Virenschreiber absolute Cracks? A: Mit Sicherheit nicht! Angegriffene Sicherheitsl�cken sind teilweise schon Monate bekannt Die Trojaner sind in den seltensten F�llen selber programmiert, sondern entstammen einfachen Trojaner-Baukasten-Systemen wie �SD-Bot� oder sind selbst ein Toolkit wie �Optix Pro� und �Assassin�

12. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung SD-Bot: SD-Bot ist eine Art Baukasten. Verschiedene Routinen sind hier bereits vorgegeben (bspw. drei verschiedene Arten, den Trojaner beim Windowsstart zu aktivieren, etc.) Ein Trojaner kann so innerhalb von Minuten aus den ben�tigten Routinen zusammengestellt werden. Eine gute Dokumentation der einzelnen Routinen macht ein Ab�ndern des Codes auch f�r �Nichtprofessionelle� durchaus m�glich. Vor allem sind die Routinen be�ngstigend simpel.

13. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung Trotz des Alters, dieses Baukastensystems, werden neu zusammengestellte Trojaner selten von AV-Systemen erkannt. Schon eine gute Wahl des Compilers oder EXE-Packer wie �upx�, erschwert AV-Systemen die Arbeit.

14. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung Optix Pro & Assassin: �Installs remotely � no computer access needed� Optix Pro ist ein RAT, von dessen Umfang sich kommerzielle Programme eine Scheibe abschneiden k�nnten Es bietet komfortablen Zugang zu allen m�glichen Systemen: Datei-, Prozess- und Registry-Manager, Bildschirm�berwachung, Chat aber auch Mitprotokollierung von Passw�rtern, Scannen von fremden Systemen, Stealthen und zahlreiche �Spa�funktionen�

15. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung Aktuelle Daten werden an frei definierbare Server weitergeleitet. Egal ob Mail, ICQ, IRC oder cgi- bzw. php-Skripte. Beinhaltet einen Builder, mit dem sich Trojaner aus vorgefertigten Routinen, �hnlich SD-Bot, zusammenstellen lassen.

16. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung Im Gegensatz zu fr�her, wo Trojaner meist normalen Programmen �beigelegt� waren; haben sie dank der ausgebauten Internetanbindung heute ganz andere M�glichkeiten der Verbreitung: P2P-Netze sind den Virenautoren sehr willkommen. Versand per Email �ber installierte Software; aber auch �ber eine integrierte SMTP,-Engine.

17. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung Start eines FTP-Servers auf dem infizierten System, mit dessen Hilfe jede Art des Datenaustausches m�glich ist. Randex verf�gt, wie viele Trojaner, �ber eine Liste mit den gebr�uchlichsten Passw�rten. �admin� �root� �1� �111� �123� �1234� �123456� �654321� �!@#$� �asdf� �asdfgh� �!@#$%� �!@#$%^� �!@#$%^&� �!@#$%^&*� �server�

18. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.1.Entstehung und Verbreitung 3 von derzeit 14 bekannten Sicherheitsl�cken in Microsoft-Betriebssystemen:

19. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.2.Kontrolle des Bots Update des Trojaners und Versand von Daten per FTP, sowie Remote-Funktionen des OS Codezeilen von Randex: Connected to %s. %d, %d : USERID : UNIX : %s NICK %s USER %s �zerobot� �05� : %s PASS %s ? Randex ist eine IRC-Drone, ein sog. �Bot�

20. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.2.Kontrolle des Bots Alle mit Randex infizierten PCs loggen sich auf einem IRC-Server ein. Der Virenautor hat zeitgleich Kontrolle �ber alle infizierten Systeme (ca. 15.000 PCs). Befehle und Daten k�nnen also ohne M�he an alle (aber auch einzelne) Bots gesendet werden. R�ckgabe von Anfragen erfolgt im Chat.

21. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots Die Virenschreiber sind noch relativ jung; die Motivation ist in den meisten F�llen einfach nur Selbstbest�tigung. Die M�glichkeiten eines Trojaners sind aber schier unbegrenzt: Ausspionieren eines Users (wenn eine Webcam vorhanden ist, sogar live mit Bild) Datenklau (bspw.: �getcdkey GENERALS�) Einrichten eines Proxys und �surfen� �ber den infizierten PC.

22. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots �berlegung: ca. 15.000 infizierte Rechner die aktuell online sind ca. 15.000 Proxies mit dazugeh�rigen IPs ca. 15.000 offen zug�ngliche PCs, die garantiert auf keiner Blacklist stehen was tun?

23. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots Nutzen der infizierten Systeme, durch Versenden einer einfachen Email an einen ausgesuchten Server. 22. Mai 2004: �Spam-Welle �berrollt die TU Braunschweig� Prinzip: Die Masse machts Besser: Verkauf der IP-Listen an professionelle Spammer. Lohnt sich nicht?

24. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots Lohnt sich sehr wohl! 500$ f�r 500 Proxies oder 28.000$ um s�mtliche Proxies f�r einen Monat zu mieten Den Spammern stehen genug Proxies zur Weiterleitung ihrer Spam-Mails zur Verf�gung. Ist der Trojaner �gut�, k�nnte sogar das Emailkonto des unwissenden Users genutzt werden.

25. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots �berall, wo Geld zu machen ist, wird es Leute geben, die dieses Geld haben wollen. Die Virenschreiberszene wird professioneller werden und sich mit Spammern koordinieren. Laut Message Labs, ein auf Email-Security spezialisiertes Unternehmen, werden bis zu zwei Drittel aller Spam-Mails �ber Trojaner-Proxies versendet. ? kein Ende in Sicht

26. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots Eine solch gro�e Anzahl an Bots bietet aber auch andere M�glichkeiten, unbeliebte Konkurrenten oder Konzerne zu sch�digen.

27. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit 3.3.Der Zweck des Bots Wieder das Prinzip �die Masse machts�: geg: 15.000 Bots Upstream: Sch�tzungsweise 128 kBit/s pro Bot (�blicher DSL-Upstream) 15.000 x 128 kBit/s = ca. 1,5 GBit/s Bandbreite f�r DoS-Attacken! Nicht viele Server k�nnen dem standhalten. Diese Bandbreite steht auch f�r den Versand von Spam zur Verf�gung!

28. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit Virenschreiber haben erkannt, dass es viel sinnvoller ist ein System zu �bernehmen, statt dieses zu zerst�ren. Wie man sieht, ist die Szene der Virenschreiber und Spammer gerade in einem Stadium des Wandels; sie wird immer professioneller. Es handelt sich immer seltener �Skript-Kiddies� sondern um Personen, die sehr wohl wissen, welch lukrative M�glichkeiten diese Art von �Job� bietet. Betrachtet man die vorgestellten Antispam-Ma�nahmen, so wird klar, dass auch das neue SPF den Spam nicht unterbinden kann; es sch�tzt lediglich vor dem Ausnutzen von vertrauener-weckenden Markennamen.

29. 1.Einleitung 2.Antispam-Ma�nahmen 3.Trojaner 4.Fazit Die Statistik zu Spam-Versand zeigt deutlich, dass etwas gegen Trojaner getan werden muss, wenn man dem Massen-Spam Einhalt gebieten will. Solange neue Trojaner so schnell zusammengebaut werden k�nnen, gestaltet sich das schwierig. Umso trauriger ist es da, dass AV-Scanner immer noch so gro�e Probleme haben, selbst alte Viren zu erkennen, Updates & Patches meist zu sp�t kommen, bzw. von den meisten Anwendern nicht installiert werden.

30. Spam: Trojaner als Spam-Roboter Quellenangabe: Literatur: c't 5/2004: Aufgedeckt: Trojaner als Spam-Roboter, S. 18 Onlinequellen: www.heise.de http://www.heise.de/newsticker/meldung/44869 http://www.heise.de/newsticker/meldung/47575