Über Zotob

Florian Weimer

Einige Medien berichten von einem neuen Internet-Wurm namens "Zotob". Glücklicherweise ist das Problem nicht so gravierend, und wir können uns zurücklehnen und ein wenig die Hintergründe betrachten.

Was ist Zotob?

Nach dem üblichen Klassifikationen für Schadprogramme ist Zotob weder ein Virus, noch ein Wurm. Viren verbreiten sich nicht automatisch, sondern müssen durch den Benutzer zum nächsten Opfer kopiert werden. Würmer verbreiten sich dagegen automatisch und fressen sich ganz autonom durch die Netze.

Zotob ist dagegen ein sogenannter Bot. Bots sind dadurch gekennzeichnet, daß sie (anders als Viren) keine Benutzerinteraktion zur Verbreitung benötigen, sobald sie sich einmal auf dem Opfersystem eingenistet haben, aber diese Verbreitung auch nicht autonom stattfindet (wie bei Würmern). Bots integrieren sich dagegen in ein Botnet, von wo aus die Art und das Ausmaß der Weiterverbreitung kontrolliert werden kann, ebenso wie die Schadfunktion, die durchgeführt wird (siehe auch Was sind Bots und Botnetze? <http://cert.uni-stuttgart.de/doc/netsec/bots.php>, Tom Fischer, Juni 2005).

Völlig neue Bots werden nur selten entwickelt, da der Aufwand dazu doch recht hoch ist und die existierenden Varianten immer noch recht erfolgreich (zumindest was das Entdecken und Angreifen weiterer verwundbarer Systeme angeht) und vor allem leicht im Quellcode verfügbar sind. Auch wenn sie von der Antiviren-Industrie neue Namen erhalten, sind die meisten Bots lediglich eine Weiterentwicklung bestehender Angriffsprogramme.

Zotob ist eine Rbot-Version, die um eine Angriffskomponente für die MS05-039 <https://www.microsoft.com/technet/security/bulletin/MS05-039.asp>-Schwachstelle erweitert wurde. In der Folge erkennen auch einige Antiviren-Programme Zotob ohne Zutun des Herstellers bereits als Rbot, da für viele dieser Bots generische Signaturen existieren. Auf der anderen Seite führt die Verfügbarkeit des Quellcodes bei Bots dazu, daß viele Varianten entstehen. Mitunter reicht es aus, den Quellcode mit einer anderen Version von Microsoft Visual Studio zu übersetzen, und schon erkennen gängige Virenscanner den Bot nicht mehr. Alles in allem führt dies dazu, daß der Ansatz von Antiviren-Programmen, solche Schadprogramme vor dem Ausführen anhand von charakteristischen Merkmalen in der Programmdatei zu erkennen, ein Auslaufmodell ist, und wir andere Verfahren benötigen.

Wie schlimm ist es?

Die spannende Frage ist natürlich, wieviel Sorgen man sich anläßlich Zotob machen muß. Auch wenn die Möglichkeiten, die Bots Angreifern bieten, beunruhigend sind (z.B. das Mitschneiden aller Tastendrücke, einschließlich aller eingegebenen Paßwörter), handelt es sich letztlich bei Bots um eine bekannt Größe, mit denen diejenigen, die sich tatsächlich um große Rechnernetze kümmern, inzwischen umgehen können. Autonom agierende Würmer zeigen dagegen oft ein wesentlich überraschenderes Verhalten.

Diesmal ist die Berichterstattung der Medien überraschend ausgewogen, die ARD melden zum Beispiel Zotob legt US-Medien lahm <http://www.tagesschau.de/aktuell/meldungen/0,1185,OID4640580,00.html> (2005-08-17), aber beschwichtigt gleichzeitig, daß in Deutschland wenig Probleme auftreten. In der ersten Version (die auf einer Agenturmeldung beruhte, in der stand, das Microsoft schon letzte Woche vor dem Schädling warnte, was falsch war) wurde sogar Symantec mit beruhigenden Worten zitiert. Das ist ungewöhnlich, weil in der Branche Fear Marketing ("Ohne unsere farbigen Schachteln seid Ihr verloren!") viel zu verbreitet ist.

Die unrühmliche Ausnahme ist lediglich ein CNN-Artikel (Worm strikes down Windows 2000 systems <http://www.cnn.com/2005/TECH/internet/08/16/computer.worm/index.html>, Untertitel: "Microsoft in 'emergency response' as worm reported on three continents". CNN, 2005-08-17). Anstatt die durchaus berechtigte Nachricht zu vermitteln, daß noch alles unter Kontrolle ist, goß Microsoft auch noch Öl ins Feuer: "Right now, we're mobilizing our two war rooms." Nicht nur einer, sogar gleich zwei! Das ist wohl kaum der richtige Weg, wenn man Microsoft-Produkte als vertrauenswürdige und verläßliche Plattform präsentieren will.

Meine Meßlatte (mit rund 15.000 Rechnern, keiner zentralen Administration und eher offenem Netzzugang) ist bislang auch nicht betroffen. Von einem globalen Ereignis, einer Epidemie, kann also nicht die Rede sein.

Was tun?

Da Zotob ein Bot ist (ein bekannter noch obendrein) greifen die Standard-Abwehrmaßnahmen, die viele größere Netze inzwischen praktizieren. Das Schöne an diesen Maßnahmen ist, daß sie relativ unabhängig vom Schadprogramm sind, ganz im Gegensatz zu den zunehmend versagenden Signaturen in den Antiviren-Programmen, die konkret auf bestimmte Schadprogramme zugeschnitten sind.

Eine erfolgreiche Strategie gegen diese Schadprogramme hat die folgenden Aspekte:

Es mag überrschen, daß das Einspielen von Sicherheitsupdates und das Aktualisieren von Virendefinitionen in obiger Aufzählung fehlt. Letzteres ist je nach bevorzugtem Hersteller sowieso weitgehend wirkungslos gegen Bots (aufgrund der eingangs erwähnten Probleme). Sicherheitsupdates helfen zwar, die Zahl der verwundbaren Systeme zu reduzieren und somit letztlich Kosten durch Kompromittierungen zu vermeiden. Allerdings deutet einiges darauf hin, daß es sich in vielen Umgebungen nicht lohnt, mit eigenen Scans nach verwundbaren Systemen Ausschau zu halten und die zuständigen Systemadministratoren (über besagte Kontaktpersonen) zu zwingen, die fehlenden Updates einzuspielen. Der Aufwand dafür ist sehr hoch, da die Scans mitunter Nebenwirkungen besitzen und allzu häufig schwierig zu interpretierende Daten liefern. Das ist aber sicherlich ein Punkt, an dem man als Netzbetreiber einen eigenen Weg finden muß zwischen kostspieligen (weil personalintensiven) präventiven Maßnahmen und noch teureren erfolgreichen Angriffen, die über ein vergleichsweise einfaches Software-Update zu verhindern gewesen wären.

Der Nachteil des oben erwähnten Verfahrens ist natürlich, daß der Mensch, der in der Netzzentrale hockt, das IDS pflegt und die Kontakte knüpft, derzeit nicht durch eine bunte Box zu ersetzen ist. Auch die großen IT-Sicherheitsfirmen können hier mit ihren Managed-Security-Lösungen nicht aushelfen, da ihr Schwerpunkt im Moment noch deutlich bei der Prävention liegt. Außerdem mag das Umdenken schwerfallen. Nicht jeder ist bereit, ein gewisses Maß erfolgreicher Angriffe hinzunehmen. Andererseits gibt es kaum jemanden, der tatsächlich Systeme besitzt, die um jeden Preis zu schützen sind -- denn wie viele erfolgreiche Angriffe, auch jetzt durch Zotob, immer wieder zeigen, geht das (Geschäfts)Leben auch nach der Kompromittierung wichtiger Systeme weiter.

Revisions


Florian Weimer
Home Blog (DE) Blog (EN) Impressum RSS Feeds