Lord_Pinhead
21.11.06, 09:18:21
Das ganze soll eigentlich ein Tatsachenbericht von meiner Cousine sein, deren Rechner ich eigentlich ganz bewusst hart eingerichtet habe. Außerdem mal ein Gedanke von mir, weil ich, wo ich dann gestern nach hause gegangen bin, ein paar tolle Mails im Postkasten hatte, sicherlich auch von SpamThru Leuten.
Woher kommt Spam eigentlich?
Viele die bei größeren Provider eine E-Mail Adresse haben, kotzen wahrscheinlich weil aktuell wieder gewaltige Spamwellen die Postfächer verstopfen. Selbst Einwege-Adressen (wo man z.B.: nur fürs Registrieren benötigt und einmalig genutzt werden) füllen sich zunehmend mit Spam, egal ob Yahoo, Freenet, GMX oder Web.de. Selbst der relativ gute Filter von Gmail ist machtlos gegen den aktuellen Spam, was mein Postfach beweist. Seit fast 2 Jahren versuche ich auch auf meinen Servern den Spam zu bekämpfen, teilweise mit Erfolg. Jetzt bekam ich fast 400 Spam Mails über Nacht *grml* Aber das Problem liegt nicht mehr an falsch konfigurierten Mailservern die man mittels Blacklists blockieren könnte oder einfach per SPF Record [6].
Möglich macht diese Spamwelle ein Russischer Trojaner namens SpamThru (Spam Through) [2], der sogar selbst eine kopierte Version des Antiviren Scanners Kasperskys Antivirus for WinGate [4] installiert. Der kleiner Teufel versteckt sich vor dem Scanner, beendet mal eben die Firewall ohne das der Nutzer es merkt, schaltet anderen Scanner durch ein Eintrag in der hosts-Datei aus und klinkt sich in ein P2P Netzwerk ein. Die Spam Mails werden AES Verschlüsselt von einem Templateserver geladen, genauso wie IP Listen infizierter Rechner. Die Weitergabe des Virus erfolgt schätzungsweise automatisch und nutzt anscheinend Lücken im Windows System, näheres konnte ich weder in den Newsgroups nachlesen, noch sonst wo finden.
Irc ist Tot, es lebe P2P
Wie gesagt hängt sich SpamThru in ein P2P Netzwerk ein, ein dezentralisiertes P2P Netzwerk wie man es aus Emule und Bittorrent kennt um die RIAA und MPAA zu umgehen. Es werden nur wenigen Server verwendet, ein Templateserver für die Spammails, ein Controllserver über die der Autor Kontrolle über das Netzwerk hat, und die Peers tauschen sich relativ autonom aus. Insgesamt ist es ein gewaltiges Botnetwork unbekannter Größe weil niemand 100% sagen kann wie viele Clients wirklich daran beteiligt sind.
Killt man den Controllserver, kann der Autor ein Update der Peers machen, sofern er nur Kontrolle über einen Peer hat. Es wurde schon gewettet, wie lange es dauert bis Trojaner diese Variante der Kommunikation nutzen würden, jetzt ist es soweit.
Früher wurden diese Bots über ein IRC Netzwerk kontrolliert. Einfach gehaltene Perl Scripte sorgten sogar bei manchen Administrator für Schweißausbrüche wenn man es entdeckt hat. Aber diese Art ist anfällig. Ich kann den IRC Channel sperren, die Zugang zum IRC überhaupt sperren, Fehler im Script ausnutzen um die Botnetze auseinander zu nehmen (oftmals muss man sich einfach nur mit dem Nickname im IRC einloggen und nicht einmal authentifizieren, der Update Befehl dauert ja keine 60 Sekunden). Administratoren setzten auch immer mehr auf stärkere Systeme (was ja erklärt warum immer weniger Windows Server eingesetzt werden), aber meist wird nicht nachgesehen, was die Kunden als Webapplikation so verwenden. Nachdem der neuste Sport dann Code-injection über PHP Software immer mehr blockiert wurde, ist man wieder auf das dümmste Glied in der Kette zurück: Den Benutzer. Wie viele DAU´s gibt es, wenn man nur 60 Sekunden braucht im sich den Uralten Blasterwurm einzufangen? Im Schnitt ist jeder zweite Rechner ein Streichelzoo bei dem Getier was da drauf ist. So auch der Rechner meiner Cousine, die mir freudestrahlend Ihren neuen Aldi Rechner präsentiert hat. Nur in die Systemsteuerung kommt Sie nicht mehr, muss aber ein Hardware defekt sein. Nachdem ich den Kübel schon einmal geplättet habe, kam gestern der nächste Anruf :( Ich kannte zwar die Symptome für den SpamThru, aber das Ding auf Ihren Rechner war definitiv anders.
Bekämpfung? Schwerer als man denkt
Seit Jahren muss ich von newbie Rechnern diesen Müll entfernen weil keiner Brain 2.0 verwendet wird. Selten hat es mich herausgefordert die Kiste wieder zu säubern, weil ein Offline-scan mit Knoppicilin es einfach macht. Nicht in diesem Fall.
Knoppicilin erkennt den Virus gar nicht, weder Bitdefender, F-Secure noch Sophos mit aktuellem Update konnten etwas finden. Eigenartig, 2 Stunden scannen und kein Ergebnis. Hijackthis erkannte nichts. Ein lokales Sniffen war irgendwie sinnlos, es gab keinen Traffic laute Wireshark. Traffic lief aber, Ihr Linksys WRT Router zeigte das auch. Rootkit? Zu allererst mal Rootkit Revealer und Blacklight installiert. Nichts :?: Zu diesem Zeitpunkt wusste ich noch nicht was da lief, also hab ich ein Wiretap [3] dazwischen gehängt und Snort mit aktuellen Regeln gestartet. In den Logdateien tauchte schon bald folgende Meldung auf:
SpamThru trojan peer exchange
Wie kam diese Ding durch und auf Ihren Rechner? Der Rechner hing hinter einem Router und Outpost Firewall war installiert, Sie hatte keinen Adminaccount, nur einen Useraccount. Unnötige Dienste waren deaktiviert, außer der Dateifreigabe das Sie mit dem Laptop Ihre Daten runter laden kann (Das ist aber sauber). Also war die Chance, das sich dieser Trojaner einnisten kann, doch gleich Null. Ich sollte eines besseren belehrt werden:
Ich: Hast du an der Router Konfiguration gedreht? Die Firewall abgeschalten? Irgendwas?
Sie: Neeeeiiiin, ich kenn mich doch nicht aus (indeed, Sie fiel durch einen Wordkurs der FH :D )
... klicktedieklick .. Routermenu such ....
Ich: Und warum ist dein Rechner als DMZ Rechner eingetragen?
Sie: Na damit Emule wieder läuft
Ich: Und welcher Depp hat dir diese Geistesweisheit erzählt?
Sie: Jemand im Emule Forum
(Den Schrei hat man sicherlich noch über Kilometer weg gehört)
Ich sag nicht mehr das es unmöglich ist ein Rechner zu Kapern, mich wundert es sogar das die Kiste nicht der Arche Noah gleicht und von jedem Virus zwei Versionen installiert sind.
Nach fast 3 Stunden hab ich es aufgegeben mit Tools wie Blacklight etc. [1] den Virus zu finden, ich installiere die Kiste neu. Einschlägige Seiten und Newsgroups zufolge ist dieser Trojaner eigentlich relativ leicht zu entfernen. Mal sehen ob ich in der Image mehr Glück habe und das Ding entdecke.
Da ich glücklicherweise ein OpenWRT Router mit ein paar Späßen installiert habe, weiß ich wie viel Traffic auf welchen Port raus ging. Deswegen kann ich sagen das es nur 9 GB Mailtraffic waren. Zusätzlich werde ich mich mal einlesen ob es beim OpenWRT die Möglichkeit gibt Snort zu installieren und mit Oinkmaster auf den neusten Stand zu halten, dann sollte die Wahrscheinlichkeit das sich so etwas wiederholt nochmal verringern.
Fazit:
Wir können uns auf den Kopf stellen, Bayes Filter nutzen, Graylists einführen, oder gleich das Mailsystem abschalten. Solange die Leute sich nicht etwas mit dem beschäftigen was sie tun, sondern einfach 08/15 copy-and-paste howtos vertrauen, wird es ein langer Steiniger weg um die Mailserver zu entlasten. Das Rechner von Privatpersonen als Spamschleudern missbraucht werden, ist nicht neu. Wie dieser Horror allerdings aktuell aussieht, kann man an SpamThru sehen. Da hinter diesem Trojaner anscheinend Geldgeilheit steckt, wird er immer weiter entwickelt und es reichen schätzungsweise 1000 Rechner aus um die Welt mit Spam zu versorgen, den wir haben ja alle DSL und sind mit min. 1Mbit unterwegs. Wer Botnetze hat, der kann Geld dafür verlangen. 1000 Rechner sind nichts, es gibt immer noch Leute die meinen keinen Virenscanner oder eine Firewall zu benötigen, das sind dann etwas mehr als 1000 und egal was man unternimmt, es ist immer ein PABKAC [5] . Wie viele von euch haben schon Ihre Kisten neu einrichten müssen weil die einfachen Regeln missachtet wurden? Verblödet die Welt einfach? Lest euch mal die Links durch und macht selbst einmal den Test ob etwas im Hintergrund läuft, wer weiß was da raus kommt.
[1] http://www.heise.de/security/artikel/80369
[2] http://www.secureworks.com/analysis/spamthru/
[3] http://www.snort.org/docs/tap/
[4] http://www.wingate.com/product-antivirus.php
[5] http://de.wikipedia.org/wiki/PEBCAK
[6] http://www.openspf.org/
p.s.: Nicht das ich es leid bin die Kisten von newbies sauber zu machen, format c: lässt mein Herz immer höher schlagen, gefolgt vom strg+p um die Rechnung zu drucken ;)
Woher kommt Spam eigentlich?
Viele die bei größeren Provider eine E-Mail Adresse haben, kotzen wahrscheinlich weil aktuell wieder gewaltige Spamwellen die Postfächer verstopfen. Selbst Einwege-Adressen (wo man z.B.: nur fürs Registrieren benötigt und einmalig genutzt werden) füllen sich zunehmend mit Spam, egal ob Yahoo, Freenet, GMX oder Web.de. Selbst der relativ gute Filter von Gmail ist machtlos gegen den aktuellen Spam, was mein Postfach beweist. Seit fast 2 Jahren versuche ich auch auf meinen Servern den Spam zu bekämpfen, teilweise mit Erfolg. Jetzt bekam ich fast 400 Spam Mails über Nacht *grml* Aber das Problem liegt nicht mehr an falsch konfigurierten Mailservern die man mittels Blacklists blockieren könnte oder einfach per SPF Record [6].
Möglich macht diese Spamwelle ein Russischer Trojaner namens SpamThru (Spam Through) [2], der sogar selbst eine kopierte Version des Antiviren Scanners Kasperskys Antivirus for WinGate [4] installiert. Der kleiner Teufel versteckt sich vor dem Scanner, beendet mal eben die Firewall ohne das der Nutzer es merkt, schaltet anderen Scanner durch ein Eintrag in der hosts-Datei aus und klinkt sich in ein P2P Netzwerk ein. Die Spam Mails werden AES Verschlüsselt von einem Templateserver geladen, genauso wie IP Listen infizierter Rechner. Die Weitergabe des Virus erfolgt schätzungsweise automatisch und nutzt anscheinend Lücken im Windows System, näheres konnte ich weder in den Newsgroups nachlesen, noch sonst wo finden.
Irc ist Tot, es lebe P2P
Wie gesagt hängt sich SpamThru in ein P2P Netzwerk ein, ein dezentralisiertes P2P Netzwerk wie man es aus Emule und Bittorrent kennt um die RIAA und MPAA zu umgehen. Es werden nur wenigen Server verwendet, ein Templateserver für die Spammails, ein Controllserver über die der Autor Kontrolle über das Netzwerk hat, und die Peers tauschen sich relativ autonom aus. Insgesamt ist es ein gewaltiges Botnetwork unbekannter Größe weil niemand 100% sagen kann wie viele Clients wirklich daran beteiligt sind.
Killt man den Controllserver, kann der Autor ein Update der Peers machen, sofern er nur Kontrolle über einen Peer hat. Es wurde schon gewettet, wie lange es dauert bis Trojaner diese Variante der Kommunikation nutzen würden, jetzt ist es soweit.
Früher wurden diese Bots über ein IRC Netzwerk kontrolliert. Einfach gehaltene Perl Scripte sorgten sogar bei manchen Administrator für Schweißausbrüche wenn man es entdeckt hat. Aber diese Art ist anfällig. Ich kann den IRC Channel sperren, die Zugang zum IRC überhaupt sperren, Fehler im Script ausnutzen um die Botnetze auseinander zu nehmen (oftmals muss man sich einfach nur mit dem Nickname im IRC einloggen und nicht einmal authentifizieren, der Update Befehl dauert ja keine 60 Sekunden). Administratoren setzten auch immer mehr auf stärkere Systeme (was ja erklärt warum immer weniger Windows Server eingesetzt werden), aber meist wird nicht nachgesehen, was die Kunden als Webapplikation so verwenden. Nachdem der neuste Sport dann Code-injection über PHP Software immer mehr blockiert wurde, ist man wieder auf das dümmste Glied in der Kette zurück: Den Benutzer. Wie viele DAU´s gibt es, wenn man nur 60 Sekunden braucht im sich den Uralten Blasterwurm einzufangen? Im Schnitt ist jeder zweite Rechner ein Streichelzoo bei dem Getier was da drauf ist. So auch der Rechner meiner Cousine, die mir freudestrahlend Ihren neuen Aldi Rechner präsentiert hat. Nur in die Systemsteuerung kommt Sie nicht mehr, muss aber ein Hardware defekt sein. Nachdem ich den Kübel schon einmal geplättet habe, kam gestern der nächste Anruf :( Ich kannte zwar die Symptome für den SpamThru, aber das Ding auf Ihren Rechner war definitiv anders.
Bekämpfung? Schwerer als man denkt
Seit Jahren muss ich von newbie Rechnern diesen Müll entfernen weil keiner Brain 2.0 verwendet wird. Selten hat es mich herausgefordert die Kiste wieder zu säubern, weil ein Offline-scan mit Knoppicilin es einfach macht. Nicht in diesem Fall.
Knoppicilin erkennt den Virus gar nicht, weder Bitdefender, F-Secure noch Sophos mit aktuellem Update konnten etwas finden. Eigenartig, 2 Stunden scannen und kein Ergebnis. Hijackthis erkannte nichts. Ein lokales Sniffen war irgendwie sinnlos, es gab keinen Traffic laute Wireshark. Traffic lief aber, Ihr Linksys WRT Router zeigte das auch. Rootkit? Zu allererst mal Rootkit Revealer und Blacklight installiert. Nichts :?: Zu diesem Zeitpunkt wusste ich noch nicht was da lief, also hab ich ein Wiretap [3] dazwischen gehängt und Snort mit aktuellen Regeln gestartet. In den Logdateien tauchte schon bald folgende Meldung auf:
SpamThru trojan peer exchange
Wie kam diese Ding durch und auf Ihren Rechner? Der Rechner hing hinter einem Router und Outpost Firewall war installiert, Sie hatte keinen Adminaccount, nur einen Useraccount. Unnötige Dienste waren deaktiviert, außer der Dateifreigabe das Sie mit dem Laptop Ihre Daten runter laden kann (Das ist aber sauber). Also war die Chance, das sich dieser Trojaner einnisten kann, doch gleich Null. Ich sollte eines besseren belehrt werden:
Ich: Hast du an der Router Konfiguration gedreht? Die Firewall abgeschalten? Irgendwas?
Sie: Neeeeiiiin, ich kenn mich doch nicht aus (indeed, Sie fiel durch einen Wordkurs der FH :D )
... klicktedieklick .. Routermenu such ....
Ich: Und warum ist dein Rechner als DMZ Rechner eingetragen?
Sie: Na damit Emule wieder läuft
Ich: Und welcher Depp hat dir diese Geistesweisheit erzählt?
Sie: Jemand im Emule Forum
(Den Schrei hat man sicherlich noch über Kilometer weg gehört)
Ich sag nicht mehr das es unmöglich ist ein Rechner zu Kapern, mich wundert es sogar das die Kiste nicht der Arche Noah gleicht und von jedem Virus zwei Versionen installiert sind.
Nach fast 3 Stunden hab ich es aufgegeben mit Tools wie Blacklight etc. [1] den Virus zu finden, ich installiere die Kiste neu. Einschlägige Seiten und Newsgroups zufolge ist dieser Trojaner eigentlich relativ leicht zu entfernen. Mal sehen ob ich in der Image mehr Glück habe und das Ding entdecke.
Da ich glücklicherweise ein OpenWRT Router mit ein paar Späßen installiert habe, weiß ich wie viel Traffic auf welchen Port raus ging. Deswegen kann ich sagen das es nur 9 GB Mailtraffic waren. Zusätzlich werde ich mich mal einlesen ob es beim OpenWRT die Möglichkeit gibt Snort zu installieren und mit Oinkmaster auf den neusten Stand zu halten, dann sollte die Wahrscheinlichkeit das sich so etwas wiederholt nochmal verringern.
Fazit:
Wir können uns auf den Kopf stellen, Bayes Filter nutzen, Graylists einführen, oder gleich das Mailsystem abschalten. Solange die Leute sich nicht etwas mit dem beschäftigen was sie tun, sondern einfach 08/15 copy-and-paste howtos vertrauen, wird es ein langer Steiniger weg um die Mailserver zu entlasten. Das Rechner von Privatpersonen als Spamschleudern missbraucht werden, ist nicht neu. Wie dieser Horror allerdings aktuell aussieht, kann man an SpamThru sehen. Da hinter diesem Trojaner anscheinend Geldgeilheit steckt, wird er immer weiter entwickelt und es reichen schätzungsweise 1000 Rechner aus um die Welt mit Spam zu versorgen, den wir haben ja alle DSL und sind mit min. 1Mbit unterwegs. Wer Botnetze hat, der kann Geld dafür verlangen. 1000 Rechner sind nichts, es gibt immer noch Leute die meinen keinen Virenscanner oder eine Firewall zu benötigen, das sind dann etwas mehr als 1000 und egal was man unternimmt, es ist immer ein PABKAC [5] . Wie viele von euch haben schon Ihre Kisten neu einrichten müssen weil die einfachen Regeln missachtet wurden? Verblödet die Welt einfach? Lest euch mal die Links durch und macht selbst einmal den Test ob etwas im Hintergrund läuft, wer weiß was da raus kommt.
[1] http://www.heise.de/security/artikel/80369
[2] http://www.secureworks.com/analysis/spamthru/
[3] http://www.snort.org/docs/tap/
[4] http://www.wingate.com/product-antivirus.php
[5] http://de.wikipedia.org/wiki/PEBCAK
[6] http://www.openspf.org/
p.s.: Nicht das ich es leid bin die Kisten von newbies sauber zu machen, format c: lässt mein Herz immer höher schlagen, gefolgt vom strg+p um die Rechnung zu drucken ;)