FeM

Bericht von Moep

Zur Unterstützung des Anti-Viren Teams habe ich in der vorlesungsfreien Zeit einen Honeypot [1] auf einem Server im FeM-Net installiert. Zum Einsatz kommt hierbei Nepenthes [2], welches unter Debian Etch läuft.
Dabei simuliert der Honeypot ein System mit verschiedenen Schwachstellen (z.B. diverse Windows-Sicherheitslücken, VNC Bypass, ...) und präsentiert sich dem Angreifer scheinbar auf dem Silbertablett. Falls es nun zu einem Angriff kommt, speichert Nepenthes die ausgeführten Befehle und Dateien, die nachgeladen werden, und stellt diese zur Analyse bereit.
Der FeM Honeypot lief noch nicht mal eine Stunde und schon fand ich etwas in den Logfiles:


[2007-04-04T15:55:35] 141.24.*. -> 141.24.*. ftp://a:a@141.24.*.:7959/w4jhgfgk.exe
[2007-04-04T15:57:39] 141.24.*. -> 141.24.*. ftp://a:a@141.24.*.:17353/w4jhgfgk.exe


Gegen 03:00 Uhr waren es dann neun verschiedene Rechner die betroffen waren. Es bestand also dringend Handlungsbedarf.

Ich begann meine Suche bei der großen Suchmaschine meines Vertrauens, allerdings waren die Ergebnisse recht dürftig. Also war Eigeninitiative gefragt:

Zuerst versuchte ich mein Glück bei einem Onlinemalewarescanner. Dort wurde die Datei erwartungsgemäß als Malware eingestuft. [3]
Gut - nun war ich etwas schlauer, das reichte mir aber noch nicht und mein Eifer war angestachelt.
Ich sendete die Datei bei Avira ein und setzte mir zugleich Virtual Box auf, um dort Windows XP und Whireshark installieren zu können und den Netzwerkdatenverkehr genauer analysieren zu können.

Gesagt, getan und die w4jhgfgk.exe gestartet. Zuerst installiert die Datei eine andere Datei nach, welche von einem Webserver gedownloaded wird, dann verbindet sich die Datei in verschiedene IRC Netzwerke. In der Nacht waren es noch sechs verschiedene, am Tag nur noch zwei Stück.
Also habe ich meinen IRC Client aufgemacht, auf die IRC Server verbunden und dort den Channel betreten, wo ich die Bots vermutet hatte.



Wie man erkennen kann, war der Bot Owner offenbar nicht begeistert und ist inklusive seiner Bots aus dem Channel verschwunden.
Bei einer weiteren Analyse des Datenverkehrs fiel mir auf, dass sich das Programm auch noch in ein anderes IRC Netzwerk verbindet



und dort Text an den Channel sendet. Dies sah dann so aus:



Wie man leicht erkennen kann, öffnet die Datei auf dem infizierten Rechner einen FTP Server auf einem zufällig gewählten Port. Mehr konnte ich zu dem Zeitpunkt erst mal nicht machen und legte mich erst einmal schlafen.

Nach dem Aufstehen hatte ich eine E-Mail von Avira im Posteingang, in der mir mitgeteilt wurde, dass Avira dem Programm den Namen "Worm/Wootbot.DA.4" gegeben hat und ihrem Virenscanner entsprechende Erkennungsmuster hinzugefügt hat. [4]
Nun musste ich nur noch dafür sorgen, dass die infizierten Rechner keinen Schaden mehr anrichten können.
Dazu setzte ich die betroffenen User ins Viren-VLAN und benachrichtigte die anderen Admins und das Anti-Viren-Team. Das Viren-VLAN ist ein spezieller Quarantäne-Bereich des FeM-Net in den virenversuchte Rechner gesteckt werden. Von hier aus können die Rechner nur noch stark eingeschränkt auf das Netz zugreifen - zum Beispiel um Updates für ihren Virenscanner oder das Betriebssystem herunterzuladen und Kontakt mit dem Anti-Virenteam aufzunehmen.
Nach erfolgreicher Vernichtung des Schadprogramms und Überprüfung durch die Leute vom Anti-Viren Team bekommen die Betroffenen wieder ihren vollen Zugang.

Bei Fragen, Wünsche, Diskussionen ... etc. stehe ich gerne zur Verfügung.

Daniel „moep“ Tschada

[1] http://de.wikipedia.org/wiki/Honeypot
[2] http://nepenthes.mwcollect.org/
[3] http://fileinfo.prevx.com/fileinfo.asp?PXC=30cf82481577
[4] http://analysis.avira.com/samples/details.php?uniqueid=1YcGIXI0qbPbpTHg7YvFEr8MG7JmkbSg&incidentid=26953