Botnetz Kraken

Wie viele sicherlich schon mitbekommen haben, bildet sich langsam aber sicher eine neue Seuche in den Tiefen des WorldWideWeb. Die neue Pest breitet sich schnell aus und trägt den sinnigen Namen Kraken.

Mehr als 400.000 Rechner sind bereits infiziert, der Wurm versendet hauptsächlich Spammails. Antivirenexperten sind beeindruckt, Kraken schafft es durch Code-Morphing und andere Tricks, für 80% der installierten Virenscanner unsichtbar zu bleiben.

Insbesondere Letzteres beunruhigt mich doch sehr - daher meine Frage:

Hat jemand mit dem neuen Fiesling Bekanntschaft gemacht und weis jemand wie man sich gegen diesen ungebetenen Gast schützen kann? Als Securitiy-Lösung setzen wir auf ForFront und bei der Firewall auf ISA.

Mehr als 400.000 Rechner sind bereits infiziert,

Ich möchte das noch etwas präzisieren: es geht hier vornehmlich um Windows-basierte Rechner.

Als Securitiy-Lösung setzen wir auf ForFront und bei der Firewall auf ISA.

Bei uns werden alle kritischen Systeme nicht unter Windows betrieben.

Gruß,
Stefan

Moien

Insbesondere Letzteres beunruhigt mich doch sehr

Mich nicht. Man macht Fingerprints von allen installierten Dateien und überprfüt diese regelmässig. Die meisten Linux-distri haben entsprechende Systeme die automatisch zwischen den MD5 der Packages und dem installierten Zeug abgleichen. Das gleiche Spiel mach man nochmal mit dem Bootsektor.

Zusätzliche auftauchende Dateien ausserhalb der homes / webroot / DB-Verzeichniss werden gemeldet und notfalls platt gemacht.

Wireshark auf dem Internet-Router ist ebenfalls ein guter Informationsquell.

cu

Hallo,

Hat jemand mit dem neuen Fiesling Bekanntschaft gemacht und
weis jemand wie man sich gegen diesen ungebetenen Gast
schützen kann? Als Securitiy-Lösung setzen wir auf ForFront
und bei der Firewall auf ISA.

Man sucht noch nach dem Quellcode … beim SANS gibt es dazu ein paar Meldungen:

http://isc.sans.org/diary.html?storyid=4250
http://isc.sans.org/diary.html?storyid=4256

Gruß

Fritze

Hat jemand mit dem neuen Fiesling Bekanntschaft gemacht und
weis jemand wie man sich gegen diesen ungebetenen Gast
schützen kann?

Wie gegen jeden anderen auch.

• Router benutzen, unnötige Dienste deaktivieren.

• Brain.exe benutzen = nix anklicken, was unerwartet per mail oder IM reinkommt.

• Software-Testinstallationen immer erst in einer virtuellen Maschine.

• Nie, nie, niemals als Admin arbeiten oder gar ins Netz gehen. Keine Adminrechte = keine Installation.

Mit diesen vier simplen Regeln bin ich seit Jahren Viren- und Würmerfrei - auch ohne PFW, Virnenscanner, Spybot- und Adware-Sucher etc.

Mehr als 400.000 Rechner sind bereits infiziert,

Ich möchte das noch etwas präzisieren: es geht hier
vornehmlich um Windows-basierte Rechner.

sieht ebay aber anderes…
http://www.tecchannel.de/sicherheit/news/1735445/ind…
die windows maschinen mögen war die bots sein, doch dies wäre ohne die linux maschinen gar nicht möglich…

Hi!

Mit diesen vier simplen Regeln bin ich seit Jahren Viren- und
Würmerfrei - auch ohne PFW, Virnenscanner, Spybot- und
Adware-Sucher etc.

Sicher? Ich meine, so wirklich 100% sicher?

Grüße,
Tomh

oder einer von vielen bots…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Sicher? Ich meine, so wirklich 100% sicher?

Es gibt keine 100%ige Sicherheit, nie.

Selbst mit jedem Virenscanner dieses Planeten, und 50 Firewalls zwischen dir und dem Internet ist das 100%ig sicherste 2cm Luft zwischen deiner Netzwerkkarte und der Verbindung ins I-Net (und ich meine nicht per WLAN

Sprich 100%ige Sicherheit, nicht teil eines Botnetzes zu werden, bekommst du nur wenn du nicht teil des Internets bist.

Warum wir uns dennoch trauen das Netz zu nutzen?

• Backupstrategien,
• Vertrauen und Misstrauen
• in unser Wissen um den PC
• und das Netzwerk welches wir betreten
• und ein wenig Glück
  bringen dir genug %te in Sicherheit…

Und wenn doch was durchkommt?
Festplatte formatieren, Backup einspielen, weitermachen (und Konzepte nochmal überarbeiten).

[…]And you know what incurable diseases do: they invite the quacks and charlatans in[…]

(Dijkstra, EWD 1305)

Sicher? Ich meine, so wirklich 100% sicher?

Es gibt keine 100%ige Sicherheit, nie.

Selbst mit jedem Virenscanner dieses Planeten, und 50
Firewalls zwischen dir und dem Internet ist das 100%ig
sicherste 2cm Luft zwischen deiner Netzwerkkarte und der
Verbindung ins I-Net (und ich meine nicht per WLAN

Sprich 100%ige Sicherheit, nicht teil eines Botnetzes zu
werden, bekommst du nur wenn du nicht teil des Internets bist.

Danke für deine Unterstützung!

Aber ich denke, er meinte was anderes:
Wie kann ich mir sicher sein, das mein System sauber ist, wenn ich keine Software benutze, die in der Lage ist, entsprechende Schädlinge zu erkennen?

Antwort:

1. Wenn mir irgendwas spanisch vorkommt, dann benutze ich einen online-Virenscanner. Die sind zwar nicht die schnellsten, aber für ein oder zweimal im Jahr völlig ausreichend.
2. Bisher waren nie ungewöhnliche Prozesse im Taskmanager zu sehen. Ich weis, das man auch so programmieren kann, das der Prozess dort nicht auftaucht - aber nach allem, was ich weiss, sind für solche „Tricks“ wiederum administrative Rechte nötig, die’s bei mir nicht gibt.
3. Autostartmechanismen. Da ich nur als User mit eingeschränkten Rechten arbeite, bleibt einem Schädling der Zugriff auf alle Systemübergreifenden Autostartmechanismen verwehrt. Was übrig bleibt, ist so überschaubar, das man auch einfach mal nachsehen kann. Bisher war da nie was drin.
4. Traffic. Jede Art von Bot muss, um seine Aufgabe zu erfüllen, Kontakt mit seinem Herrn aufnehmen. Mag sein, das sich ein cleverer Bot vor netstat verstecken kann - im Session-Log meines Routers wird er auftauchen. Und das geh ich relativ oft durch, weil ich immer noch an meinem QoS arbeite. Bisher nix zu sehen.

Aber letztendlich ist das alles nur Geschwätz.
Ich hab mit meiner Zeit was besseres zu tun, als in den Eingeweiden der blöden Kiste rum zu krosen. Wenn ich auch nur den Hauch eines Verdachts habe, das irgendwas klemmt, nicht stimmt oder irgendwas rumbockt, dann wird das Updatepack von Winhelpline gesaugt, Acronis gebootet, das definitiv saubere Image zurückgespielt, die Updates installiert und weiter geht’s. Kostet vieleicht 15 Minuten und ist eine absolut saubere Lösung.

Absolute Sicherheit gibt’s nicht, wird’s nie geben, kann es prinzipiell gar nicht geben.

Aber mit einer Handvoll Vorsichtsmaßnahmen (zu der zuallerst der eingeschränkte Useraccount, die Brain.exe und ein sauberes Systemimage gehören) kann man mindestens genausoviel Sicherheit bekommen, wie mit jeder beliebigen, recoussenfressenden Software-Batterie.

PFWs, Virenscanner, Spybotsearcher etc. sind letztlich nur Gelddruckmaschinen für die herstellende Softwareindustrie, versprechen Sicherheit, die sie als fehlerbehaftete Software genausowenig einhalten können wie das Betriebssystem selber und fressen darüberhinaus nur meine teuer bezahlte Systemressourcen. Mit ein bischen Gehirnschmalz und einem vernünftigen Sicherheits- und Backup-Konzept kommt man problemlos ohne aus.

lg, mabuse

Wie viele sicherlich schon mitbekommen haben, bildet sich
langsam aber sicher eine neue Seuche in den Tiefen des
WorldWideWeb. Die neue Pest breitet sich schnell aus und trägt
den sinnigen Namen Kraken.

Mehr als 400.000 Rechner sind bereits infiziert, der Wurm
versendet hauptsächlich Spammails. Antivirenexperten sind
beeindruckt, Kraken schafft es durch Code-Morphing und andere
Tricks, für 80% der installierten Virenscanner unsichtbar zu
bleiben.

Insbesondere Letzteres beunruhigt mich doch sehr - daher meine
Frage:

Hat jemand mit dem neuen Fiesling Bekanntschaft gemacht

Nein.

und
weis jemand wie man sich gegen diesen ungebetenen Gast
schützen kann?

Antivirenlösung?!

Als Securitiy-Lösung setzen wir auf ForFront
und bei der Firewall auf ISA.

Bitte nenne doch mal den hersteller oder Website zu ForFront und ISA. Ich KANN mir zwar vorstellen was sich dahinter verbirgt, aber bevor ich Dir rate eure IT-Abteilung wegen unterlassener Hilfeleistung anzuklagen und die leute zu entlassen möchte ich da doch erst Klarheit…

Gruß
h.

Servus.

Um ein wenig mehr Seriösität in die Diskussion einzubringen und von der Stammtischphilosophie weg zu kommen:

Absolute Sicherheit gibt’s nicht, wird’s nie geben, kann es
prinzipiell gar nicht geben.

Genau diese Frage wird etwas tiefer hier diskutiert: http://theinvisiblethings.blogspot.com/2007/01/towar…

Der Name der Vortragenden ist bestimmt nicht unbekannt – sie weiß ganz gut, wovon sie redet. Aus Theorie und Praxis.

mfg.

Mehr als 400.000 Rechner sind bereits infiziert,

Ich möchte das noch etwas präzisieren: es geht hier
vornehmlich um Windows-basierte Rechner.

sieht ebay aber anderes…

Ummm …

http://www.tecchannel.de/sicherheit/news/1735445/ind…
die windows maschinen mögen war die bots sein, doch dies wäre
ohne die linux maschinen gar nicht möglich…

Tja, die bösen Jungs schätzen Linux halt auch, wenn es um den Betrieb ihrer kritischen Infrastruktur geht.

Nicht wirklich überraschend.

Tja, die bösen Jungs schätzen Linux halt auch, wenn es um den
Betrieb ihrer kritischen Infrastruktur
geht.

Nicht wirklich überraschend.

und? das zeigt aber, das alle system gehackt werden und vorallem das das problem fast immer eine layer8 problem ist

Hallochen,

Aber letztendlich ist das alles nur Geschwätz.
Ich hab mit meiner Zeit was besseres zu tun, als in den
Eingeweiden der blöden Kiste rum zu krosen. Wenn ich auch nur
den Hauch eines Verdachts habe, das irgendwas klemmt, nicht
stimmt oder irgendwas rumbockt, dann wird das Updatepack von
Winhelpline gesaugt, Acronis gebootet, das definitiv saubere
Image zurückgespielt, die Updates installiert und weiter
geht’s. Kostet vieleicht 15 Minuten und ist eine absolut
saubere Lösung.

Da haben wir wieder das Wörtchen „absolut“. Diese Lösung ist mindestens genauso schnulli, wie die viel beschimpften Virenscanner. Wenn wir schon mit der Rutkowska (siehe post eins weiter unten) kommen, dann sollte man auch die Firmware-Rootkits nicht außer Acht lassen. Da hilft es gar nichts, ein Image aufzuspielen, weil einem das ach so überlegene brain.exe einen Verdachtshauch gemeldet hat.

http://www.youtube.com/watch?v=G26oZtzluAQ oder auch, wer es lieber schriftlich mag: http://www.ngssoftware.com/research/papers/Implement…

Gruß

Fritze

Hallo Mabuse

Wie kann ich mir sicher sein, das mein System sauber ist, wenn
ich keine Software benutze, die in der Lage ist, entsprechende
Schädlinge zu erkennen?

Das Problem ist, dass besagte Software nicht zuverlässig genug ist, weil sie (prinzipbedingt) nicht alles erkennen kann.

Aber mit einer Handvoll Vorsichtsmaßnahmen (zu der zuallerst
der eingeschränkte Useraccount, die Brain.exe und ein sauberes
Systemimage gehören) kann man mindestens genausoviel
Sicherheit bekommen, wie mit jeder beliebigen,
recoussenfressenden Software-Batterie.

Falsch. Mit diesen Massnahmen, wobei da auch vernünftige Konfiguration, regelmässiges zeitnahes Einspielen von Updates und evt. auch schon vorher die sorgfältige Wahl vernünftiger Software (inkl. Betriebssystem) dazu gehören, erreicht man mehr und nachhaltigere Sicherheit als mit der ganzen ‚Software-Batterie‘.

PFWs, Virenscanner, Spybotsearcher etc. sind letztlich nur
Gelddruckmaschinen für die herstellende Softwareindustrie,
versprechen Sicherheit, die sie als fehlerbehaftete Software
genausowenig einhalten können wie das Betriebssystem selber…

Besonders, wenn der Benutzer nicht in der Lage ist, diese Software so sinnvoll wie möglich zu konfigurieren. Da diese Konfiguration aber Know How voraussetzt, ist das ganze Zeug beim Otto-Normal-User (ONU) eigentlich in den falschen Händen. Der, der sich aber hinreichend auskennt, verwendet den Kram auch nicht, weil er den selben Nutzen anderweitig erreichen kann. Bleiben einzig ONUs, die bereit sind, sich das Know How anzueignen und dann diese Software-Sachen als Hilfe verwenden (wenn etwas gemeldet wird, nimmt man das zum Anlass, sich über das Gemeldete zu informieren und ggf. die Konfiguration zu verfeinern…).

CU
Peter

Hi!

Aber ich denke, er meinte was anderes:
Wie kann ich mir sicher sein, das mein System sauber ist, wenn
ich keine Software benutze, die in der Lage ist, entsprechende
Schädlinge zu erkennen?

Nein, meinte ich nicht - weder mit noch ohne „schädlingserkennender Software“. Sobald das LAN-Kabel steckt, das WLAN eingeschalten ist oder die Breitbandkarte aktiviert ist, ab diesem Zeitpunkt kann ich mir in keinster Weise mehr 100% sicher sein, das ich „sauber“ bin.

Grüße,
Tomh

PS: Meine Meinung ist, das alleine Brain.exe wesentlich mehr Schutz als ein danebenliegendes Image bietet …

Da haben wir wieder das Wörtchen „absolut“. Diese Lösung ist
mindestens genauso schnulli, wie die viel beschimpften
Virenscanner. Wenn wir schon mit der Rutkowska (siehe post
eins weiter unten) kommen, dann sollte man auch die
Firmware-Rootkits nicht außer Acht lassen. Da hilft es gar
nichts, ein Image aufzuspielen, weil einem das ach so
überlegene brain.exe einen Verdachtshauch gemeldet hat.

Oh bitte -
unabhängig davon, das es ein Firmware-Rootkit technisch schon ausgesprochen schwer umsetzbar ist (Platz in den Fash ausgesprochen begrenzt, und die normale Funtkion muss ja schließlich auch noch erhalten bleiben, weil’s sonst auch der Dööfste sofort bemerkt), es schätzungsweise einige Millionen verschiedene Geräte gibt (denn du wirst ja wohl nicht ernsthaft glauben, das ein Rootkit für eine NVidia-Graphikkarte auch in einem Adaptec-SCSI-Adpater arbeitet, oder eines für ein Award-BIOS auch nur in einem Phoenix-BIOS), bleibt immer noch die Frage, wie es denn überhaupt auf den Rechner draufgekommen ist.

Sollte sich wirklich jemand sowas mal fangen: Selbst schuld. Denn der hat offensichtlich die Brain.exe nicht benutzt und war als Administrator unterwegs.
Keine Administratorenrechte, keine Zugriffsrechte auf Hardware. So einfach ist das. Auch mit Rootkits werden nur die Doofen gefangen.

lg, mabuse