.. UnART - Portal

[NaAlso.WerSaxzDenn...]

Die bisherige Malware, welche imstande war, PC-Clients zu infizieren und als Hosts von Bot-Netzen zu mißbrauchen, arbeitete nach alten Strukturen: wenn man den (IRC)Server ausfindig machen und deaktivieren konnte, war das Netz lahmgelegt. Die infizierten PC´s erhielten keine Anweisungen mehr.

Nicht so der neueste Bot, ein noch namenloses Programm:
er wird verdächtigt, Waste - ein P2P-Protokoll - zu verwenden und sich über AIM zu verbreiten. Dies bedeutet, daß man durch Abschalten einzelner Rechner das Bot-Netz nicht mehr lahmlegen kann. Bedingt durch die in Waste verwendete Methode der verschlüsselten Datenübertragung, ist es äußerst schwierig, den Datentransfer per IDS als 'schädlich' auszumachen, sodaß einzelne PC´s in Firmennetzen jahrelang unentdeckt bleiben könnten.

Wen´s interessiert: es gibt darüber eine erste Analyse des Internet Storm Centers mit etwas mehr Info hier.


Update:

•Auf http://www.bleedingsnort.com/cgi-bin/vi ... iew=markup gibt es ein paar erste Regeln zum Thema.

•Da ein infizierter Rechner auf TCP-Port 8 lauscht, sollte man generell den Flow auf diesem Port überwachen.

[erryat]

Scheint von Interesse zu sein, gibts das auch wo in Deutsch?
meine Englischkenntnisse sind eher Rudimentär vorhanden

[NaAlso.WerSaxzDenn...]

Scheint von Interesse zu sein, gibts das auch wo in Deutsch?

Zu 'Waste':
Eine ganz gute Hilfe, um zu verstehen, wie das Ding funktioniert und was man SELBST im eigenen Bereich damit anfangen könnte, liegt auf http://seaofsin.de/cms2/?site=gw - hier kann das programm auch downgeloadet werden. verfolgt man die installations-doku, weiß man, worum es geht.

Eine sinngemäße Übersetzung für die sourceforge-Seite könnte vielleicht M. vornehmen...;)

[M.]

HAHA!

Priorität hat die Übersetzung von "HP and the Order of the Phoenix" Kannst mir ja helfen wenn du willst.....

[NaAlso.WerSaxzDenn...]

HAHA! :-)

Priorität hat die Übersetzung von "HP and the Order of the Phoenix" :-) Kannst mir ja helfen wenn du willst.....

Gerne:

ich würde es mit

"Hewlett Packard und die Dringlichkeit des Aschenvogels"

übersetzen. Ein Eso-IT - Schmöker ?

[NaAlso.WerSaxzDenn...]

Scheint von Interesse zu sein, gibts das auch wo in Deutsch?
meine Englischkenntnisse sind eher Rudimentär vorhanden :(

M. entzieht sich der Verantwortung durch vorgeblich 'Dringenderes'...:-(
Was solls, hier ist ein kleiner Abriß, sinngemäß; hilft oft, danach einzelne Ausdrücke im Original zu verstehen...;-)

ergänzende Info (sinngemäß) zu dem bereits gesagten von der Seite von sourceforge:

.)der entdeckte bot verbreitet sich offenbar über den AOL Instant Messenger
.)die infizierten Hosts kommunizieren miteinander auf :8TCP
.)sieht danach aus, als würde der bot ein verschlüsseltes p2p-Protokoll als C&C Mechanismus verwenden (Waste?) [Was ist ein Botnetz + C&C auf deutsch (pdf) = http://www.google.at/search?hl=de&q=C%2 ... %3Dlang_de]
.)In der Kommunikation zwischen Client/Server werden keine menschenlesbaren Strings verwendet
.)die Logs der meisten IDS` werden deshalb nicht hilfreich sein.
.)daher: Port 8 auf auffälligen/unbekannten Datenverkehr beobachten
.)die Größe 'üblicher' Kunden wie phatbot liegt bei ~600kb, dieser Kollege bringt es auf lediglich 173kb
.)Installationspfad = %WINDIR%\System32\mstc.exe
.)XPSP2 Firewall: kein Problem, sie durchlässig zu machen. Vermutlich durch Direkteintrag in der regedit mit Wert NULL
.)ein infizierter PC in einer Testumgebung versuchte, sich mit 22 verschiedenen ''Seed"-PC´s zu verbinden (= PC´s, welche die neuesten Listen des vorhandenen Netzes enthalten), 4 waren Online.

Danach folgt eine Schilderung des ersten 'Versuches' mit technischen Details des Verbindungsaufbaues und Spekulationen über die Art des stattgefundenen Datenflusses.

[also]

.)die Größe 'üblicher' Kunden wie phatbot liegt bei ~600kb, dieser Kollege bringt es auf lediglich 173kb

Hervorragende Arbeit!

[NaAlso.WerSaxzDenn...]

Hervorragende Arbeit!

Jessas.................................M. !.....M. ?.......EEMMM !!!


(Kudd ju ßroouuuw owa me woann of Jua Tommee_iitoouuus, pls. ?)




://edit: achso, die Aussage bezog sich auf die 173kb und die sind ja nicht von mir....;-)

[also]

Hervorragende Arbeit!

Jessas.................................M. !.....M. ?.......EEMMM !!!


(Kudd ju ßroouuuw owa me woann of Jua Tommee_iitoouuus, pls. ?)




://edit: achso, die Aussage bezog sich auf die 173kb und die sind ja nicht von mir....

Beides ist hervorragend, Übersetzung + 173kB.
173kB für socket und programbody beweist Wissen und gewährleistet speed.
Das Werfen von Tomaten ist da nicht angebracht.

also

[NaAlso.WerSaxzDenn...]

Beides ist hervorragend, Übersetzung + 173kB.
173kB für socket und programbody beweist Wissen und gewährleistet speed.
Das Werfen von Tomaten ist da nicht angebracht.

also

Naja, laß` mal...;)
Die Übersetzung ist wahrscheinlich ausreichend genau, um die enthaltene Info wiederzugeben.
173kb, welche DIESE Arbeit erledigen können, müssen UNHEIMLICH PUNKTGENAU sein...;-)

[erryat]

Beides ist hervorragend, Übersetzung + 173kB.
173kB für socket und programbody beweist Wissen und gewährleistet speed.
Das Werfen von Tomaten ist da nicht angebracht.

also

Naja, laß` mal...
Die Übersetzung ist wahrscheinlich ausreichend genau, um die enthaltene Info wiederzugeben.
173kb, welche DIESE Arbeit erledigen können, müssen UNHEIMLICH PUNKTGENAU sein...

Besten Dank für deine Mühe der Übersetzung...

Ich weiß schon warum ich keinen Messenger will....
...und den von AOL und MS schon gar net

Tja, da muss ich mich nur noch schlau machen was den Pinguin betrifft....

[also]

173kb, welche DIESE Arbeit erledigen können, müssen UNHEIMLICH PUNKTGENAU sein...

Klar, die wissen genau was sie tun.
Wenn man oben anfängt, z.B. bei Microsoft Visual C++, da sieht ein connect zu einem Server folgend aus:

Code: Alles auswählen

CClientSocket* CClientSocket::ConnectClientSocket(LPCTSTR lpszAddress,UINT nPort)
{
   if( !Create() )
   {   m_pClientNet->NetEventResolveSockError(GetLastError());
      return FALSE;
   }

   if( !Connect(lpszAddress, nPort) )
   {   m_pClientNet->NetEventResolveSockError(GetLastError());
      return FALSE;
   }
   return this;
}// end ConnectClientSocket


Schon erzeugt der Compiler etwa 700kB an Daten.
Er deckt natürlich automatisch alle Eventualitäten ab und man muß sich um wenig kümmern.

Wenn man ganz hinuntersteigt, auf die C Ebene, z.B. auf GNU-GCC oder MinGW, dann sieht dasselbe Beispiel folgend aus:

Code: Alles auswählen

// ©also_socket
int net_TCPClientConnect(const char *server, unsigned int timo)
{
   struct sockaddr_in dstinf,srcinf;
   struct hostent *hep;
   struct timeb tzb;
   struct sigaction saio;
   unsigned long tms,rms=0;
   int i,tmp=1;   

   if( ptcpctrl == 0 )  return 0;
   if( ptcpctrl->wSockDesc > 0 )         // already connected ?
      net_TCPClientCloseSocket();      // disconnected           
   
   if( ptcpctrl->bSigMode && ptcpctrl->pCRecFunc == 0 )      return 0;
   if( ptcpctrl->wDstPort == ptcpctrl->wSrcPort )
   {   errno = EOPNOTSUPP;      // Operation not supported
      return 0;
   }

   if( (hep = gethostbyname(server)) == 0 )
   {   errno = EADDRNOTAVAIL;      // Cannot assign requested address
        return 0;
   }


usw.
Das ist nur ein kleiner Ausschnitt.
Kurz, man setzt den Punkt exakt, der ProgrammCode ist etwa 10x so lang, aber das Resultat, also der ausführbare code, ist nur etwa 100kB groß.
Dafür ist er viel schneller, ca. Faktor 5, tut nur das was man will und läuft stabil.
Von einem Scanner kaum zu finden, läuft unter win + linux.
Aber es gibt nur wenige die das können.

also

[NaAlso.WerSaxzDenn...]

...Von einem Scanner kaum zu finden, läuft unter win + linux.
Aber es gibt nur wenige die das können.

Das kann ich aus eigener Erfahrung bestätigen.
Mir hat einer jener Wenigen einmal einen, von ihm so genannten, "Pfeil" implementiert, der dann Code nachlud. Das Ding war 17 oder 18 kb groß und hat unter Anderem auch den Bootsektor verändert.
Da dieser aber keinen bekannten viralen Code enthielt, wurde von einem Scanner zwar die Anomalie erkannt, nicht jedoch, was dahinter steckte. Auch ein Techniker von H+BEDV konnte mit dem Code nichts anfangen...;-)

Bald darauf gab es in einem PC+CO - Forum einen Tredd "wir bauen einen Pfeil", der aber bald eingestellt wurde; vielleicht nach Hinweis von 'oben', oder so...

Daher blieb die Technik, wie man derartiges bewerkstelligt und die also bald darauf das Internet veränderte - sich etwa zeitgleich in den damals neu auftretenden 'Massenwürmern' manifestierend - sich vor der breiteren Öffentlichkeit verbergend, ein Geheimnis.

Vermutlich auch deshalb, gibt es nur Wenige, die das können.
Und die sind keine Gefahr...Na also...;-)