RWTH Wissenscha snacht Computerviren, Malware, Botnetze · RWTH Wissenscha snacht Begriıskl¨arung...
Transcript of RWTH Wissenscha snacht Computerviren, Malware, Botnetze · RWTH Wissenscha snacht Begriıskl¨arung...
RWTHWissenscha�snacht
Computerviren, Malware, BotnetzeDurfen wir uns wehren?
Mark Schloesser
Lehr- und Forschungsgebiet IT SicherheitRWTH Aachen University
11 November 2011
RWTHWissenscha�snacht
Lehr- und Forschungsgebiet IT Sicherheit
Weit gefacherte�emengebiete, unter anderem . . .
• Schadso�ware analysieren und Trends erforschen• “Honeypot” Entwicklung• Angri�serkennung und Schwachstellenanalyse• Daten- und Informationsaustausch, Visualisierung
http://itsec.rwth-aachen.de/
M. Schloesser: Computerviren, Malware, Botnetze 1/20
RWTHWissenscha�snacht
Begri�sklarung Schadso�ware
Schadso�ware =Malware
• Viren, Trojaner, Wurmer, Botnetze, Downloader• Fruher unterscheidbar und klassi�zierbar• Heutzutage eher schwierig, meist mehrere / alle Funktionalitaten enthalten• Allgemein: “Malware” bzw. Schadso�ware
M. Schloesser: Computerviren, Malware, Botnetze 2/20
RWTHWissenscha�snacht
Neue Malware seit 1984
M. Schloesser: Computerviren, Malware, Botnetze 3/20
RWTHWissenscha�snacht
Viel Arbeit bei Virustotal
M. Schloesser: Computerviren, Malware, Botnetze 4/20
RWTHWissenscha�snacht
Dateitypen
M. Schloesser: Computerviren, Malware, Botnetze 5/20
RWTHWissenscha�snacht
Mehr als nur ein Handy
McAfee�reats Report 02/2011http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2011.pdf
M. Schloesser: Computerviren, Malware, Botnetze 6/20
RWTHWissenscha�snacht
Honeypots
M. Schloesser: Computerviren, Malware, Botnetze 7/20
RWTHWissenscha�snacht
Honeypots
Internet PC
Internet PC
Internet PC
Honeypot
M. Schloesser: Computerviren, Malware, Botnetze 8/20
RWTHWissenscha�snacht
Echtzeit Angri�sdaten und Visualisierung
M. Schloesser: Computerviren, Malware, Botnetze 9/20
RWTHWissenscha�snacht
Bekampfung von MalwarePravention und Gegenmaßnahmen
Was kann der Endanwender bzw. Nutzer tun?
• Systemaktualisierungen• Antivirenprogramme• Firewalls
Aktive Maßnahmen gegen Botnetze
• Kontrollserver identi�zieren und aus�ndig machen• Physisch Zugri� verscha�en (nur Behorden)• Rechner kon�szieren oder blockieren• Schwierigkeiten: globales Internet, Landergrenzen, Kooperation• Weitere technische Schwierigkeiten
M. Schloesser: Computerviren, Malware, Botnetze 10/20
RWTHWissenscha�snacht
WettrustenWie weit kommen wir mit den aktuellen Mitteln?
Rosige Aussichten
• Personalmangel bei den Strafverfolgungsbehorden• Exponentieller Wachstum von Malware (Stichwort “Kit” bzw. “Builder”)• Flexibilitat Angreifer / Behorden• Immer komplexere So�ware• Neue Angri�szenarien und Betriebssysteme (Smartphones!)
M. Schloesser: Computerviren, Malware, Botnetze 11/20
RWTHWissenscha�snacht
Nachste Schritte
Weiter wie bisher
• Mehr Personal, sowohl A/V Industrie als auch Strafverfolgung• E�ektivere Kooperation (“Fast Takedown”)• Mehr Analyseressourcen, schnellere Behebung von Problemen
Neue Denkansatze
• Besseres Design von Betriebssystemen (“privilege separation” etc.)• Aktive Verteidigung, Gegenwehr, automatische Desinfektion
M. Schloesser: Computerviren, Malware, Botnetze 12/20
RWTHWissenscha�snacht
Aktive Gegenwehr, Feindliche Ubernahme
“Storm”-worm Botnetz, 2008
Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html
Freizeitproject
Felix Leder, Mark Schloesser, Tillmann Werner, Georg Wicherski
Der “Anti-wurm”
M. Schloesser: Computerviren, Malware, Botnetze 13/20
RWTHWissenscha�snacht
Aktive Gegenwehr, Feindliche Ubernahme
“Storm”-worm Botnetz, 2008
Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html
Der “Anti-wurm”
M. Schloesser: Computerviren, Malware, Botnetze 13/20
RWTHWissenscha�snacht
Aktive Gegenwehr, Feindliche Ubernahme
“Storm”-worm Botnetz, 2008
Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html
Der “Anti-wurm”
M. Schloesser: Computerviren, Malware, Botnetze 13/20
RWTHWissenscha�snacht
Aktive Gegenwehr, Feindliche Ubernahme
“Storm”-worm Botnetz, 2008
Schwachstellen im Kommunikationsprotokoll erlauben sowohlEntscharfung als auch Ubernahme bzw. Desinfektion des Botnetzeshttp://events.ccc.de/congress/2008/Fahrplan/events/3000.en.html
Der “Anti-wurm”
M. Schloesser: Computerviren, Malware, Botnetze 13/20
RWTHWissenscha�snacht
Grundsatzdiskussion
Legale Aspekte
• Jegliches rechtswidrige Verandern, Loschen, Unterdrucken oderUnbrauchbar-Machen fremder Daten erfullt den Tatbestand nach § 303a StGB(Datenveranderung).
• Computersabotage (§ 303b I Nr. 1 StGB)• Ausspahen von Daten (§ 202a StGB)
Ethische Aspekte
• Gutwillige Absichten• Qualitatssicherung• Das “Krankenhaus” Argument• Wer handelt? Privatleute? Firmen? Behorden?
M. Schloesser: Computerviren, Malware, Botnetze 14/20
RWTHWissenscha�snacht
Es tut sich was . . .
Operation b49, Februar 2010
Microso�’s Digital Crimes Unit has e�ectively shut down the Waledac botnet,cutting o� cybercriminal access to hundreds of thousands of infected Windowscomputers around the world.
• Eins der zehn großten Botnetze (US), Millarden SpamMails• Kooperation mit Sicherheits�rmen und Polizei/Behorden
M. Schloesser: Computerviren, Malware, Botnetze 15/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”
• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010
• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”
• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs
• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien
• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party
• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen
• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Dutch NHTCU takes down Bredolab, Oktober 2010
• Niederlandische Bundespolizei, Einheit “High-Tech Crime”• Project Taurus, “public-private partnership”, 2010• 140 bosartige Server, 7 davon “Bredolab”• 30 Millionen in�zierte IPs• Identi�zierung des Betreibers in Armenien• Betreiber plante Besuch auf niederlandischer Party• Leider wegen Problemen mit Visum nie angekommen• Server ubernommen, kontrolliert von NHTCU
M. Schloesser: Computerviren, Malware, Botnetze 16/20
RWTHWissenscha�snacht
Die ersten, die den Knopf druckten
Warnung der in�zierten Benutzer
NHTCU befahl den Bots ein Programm herunterzuladen, das einInformationsfenster anzeigt.
Ein Meilenstein?�e law enforcement obligation of helping the victims was judged to precedepotential judicial concerns in this action. �e combination of creativity, newtechniques, close cooperation, and hard work enabled the Taurus partners to gofurther than any of them would have been able to go alone.
M. Schloesser: Computerviren, Malware, Botnetze 17/20
RWTHWissenscha�snacht
NHTCU Benachrichtigung
M. Schloesser: Computerviren, Malware, Botnetze 18/20
RWTHWissenscha�snacht
Weitere Falle
Operation b107, Marz 2011
Microso� has successfully taken down a larger, more notorious and complex botnetknown as Rustock. �is botnet is estimated to have approximately a millioninfected computers operating under its control and has been known to be capableof sending billions of spam mails every day, including fake Microso� lottery scamsand o�ers for fake – and potentially dangerous – prescription drugs.
Kelihos / Hlux Takedown, September 2011
�is takedown will be the �rst time Microso� has named a defendant in one of itscivil cases involving a botnet.
M. Schloesser: Computerviren, Malware, Botnetze 19/20
RWTHWissenscha�snacht
Wie geht es also weiter?
Diskussion erwunscht
• Gesetzesanderungen• Neue Behorde bzw. Erweiterung der Aufgabenbereiche• Internationale Kooperation
Wiederholung: Neue Denkansatze
• Besseres Design von Betriebssystemen (“privilege separation” etc.)• Aktive Verteidigung, Gegenwehr, automatische Desinfektion
M. Schloesser: Computerviren, Malware, Botnetze 20/20
Danke fur’s Zuhoren!
Fragen?
Referenzen
• http://itsec.rwth-aachen.de/
• http://www.webcitation.org/635xu06Bt
• http://www.webcitation.org/635xv11ZB
• http://www.webcitation.org/635xznik7
• http://www.webcitation.org/635y1HPNF