conficker-botnet: Gedanke zur Bekämpfung
dominik lenné
wie ich gelesen habe, wird die Verbreitung des Wurms sehr aufmerksam
verfolgt, indem man Domains registriert und verwendet, die von
infizierten Rechnern auf eventuellen neuen Worm-Code abgefragt werden.
Somit sind die IP-Adressen sehr vieler infizierte Rechner bekannt.
(u.a.: www.confickerworkinggroup.org)
Es ist doch naheliegend, dann die Besitzer der IP-Adressen zu
benachrichtigen, dass zu derundder Zeit ein infizierter Rechner von
dort aus eine Anfrage durchgef�hrt hat. Dieses sollte dann in kurzer
Zeit zur Entfernung eines sehr gro�en Teils der W�rmer f�hren.
Vergleichbares sollte auch f�r andere Botnets gelten.
Wei� jemand, ob so etwas geplant ist oder gemacht wird oder wenn Nein,
warum nicht?
mfG Dominik
Peter Blancke
> Es ist doch naheliegend, dann die Besitzer der IP-Adressen zu
> benachrichtigen,
Fuer Windows-verseuchte Rechner? Annahme: Bei der Telekom schlaegt
jetzt die Benachrichtigung auf, dasz 200.000 Rechner, die ueber die
Telekom ins Netz gehen, verseucht sind. Die Telekom schlaegt also
200.000 Mal nach, um den derzeitigen Nutzer der IP zu
benachrichtigen. Morgen haben die ganzen Nutzer uebrigens schon
wieder eine andere IP.
Wer soll das denn bezahlen?
Grusz,
Peter Blancke
--
Hoc est enim verbum meum!
Carsten Krueger
> Wei� jemand, ob so etwas geplant ist oder gemacht wird oder wenn Nein,
> warum nicht?
Yeah, endlich mal n�tzlich diese Vorratsdatenspeicherung.
Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/
dominik lenné
> 200.000 Mal nach, um den derzeitigen Nutzer der IP zu
> benachrichtigen.
Das lï¿œsst sich alles automatisieren. Wenn man will. Ein paar Minuten
CPU-Zeit, schï¿œtze ich. Und hoher Kundennutzen.
D.
Juergen P. Meier
ADSL Zugangsprovider werden dich binnen kuerzester Zeit blacklisten.
Manfred Fiebig
> Es ist doch naheliegend, dann die Besitzer der IP-Adressen zu
> benachrichtigen, dass zu derundder Zeit ein infizierter Rechner von
> dort aus eine Anfrage durchgef�hrt hat. Dieses sollte dann in kurzer
> Zeit zur Entfernung eines sehr gro�en Teils der W�rmer f�hren.
Ja und was soll im Anschlu� geschehen? Zwangssuzuid oder Zwangstrennung
vom Netz? Die Securebranche bietet seit Jahren mehr oder weniger
wirksame Removertools an. Sie konnte die Ausbreitung nicht verhindern.
Glaubst du ernstlich, das eine solche Aktion von Erfolg gekr�nt ist?
Selbst hier in dieser Gruppe haben einige Leuts noch immer nicht den
Sinn eines sauberen Image der Startpartition verstanden und diskutieren
�ber den Mehraufwand von wenigen Minuten im Monat oder eventuelle
Gefahren, welche von besch�digten oder gehackten Images ausgehen
k�nnten. Ich schreibe schon gar nichts mehr dar�ber, es ist eh sinnlos
und deswegen beschimpfen, lasse ich mich gleich gar nicht.
Jens Hektor
Am 08.11.2009 18:02, schrieb dominik lennďż˝:
> wie ich gelesen habe, wird die Verbreitung des Wurms sehr aufmerksam
> verfolgt, indem man Domains registriert und verwendet, die von
> infizierten Rechnern auf eventuellen neuen Worm-Code abgefragt werden.
> Somit sind die IP-Adressen sehr vieler infizierte Rechner bekannt.
> (u.a.: www.confickerworkinggroup.org)
>
> Es ist doch naheliegend, dann die Besitzer der IP-Adressen zu
> benachrichtigen, dass zu derundder Zeit ein infizierter Rechner von
> dort aus eine Anfrage durchgef�hrt hat. Dieses sollte dann in kurzer
> Zeit zur Entfernung eines sehr gro�en Teils der W�rmer f�hren.
das ganze kann mit Umsetzen, in dem man in seinem DNS-Server
Conficker-Domains einspeist und auf einen eigenen Lightweight
HTTP-Server umleitet.
Dort sollte man die Logfiles geeignet auswerten und die
Kunden benachrichtigen. Zeitnah.
Wir an der RWTH machen das in unserem "blast-o-mat" und
haben ganz gute Erfolge damit.
URLs:
http://www.cert.at/static/conficker/TR_Conficker_Detection.pdf
http://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt46/forum-sicherheit-goebel.pdf
> Vergleichbares sollte auch f�r andere Botnets gelten.
Einschl�gige Listen sind verf�gbar, allerdings gehen sehr
viele Botnetze �ber ganz legale IRC-Server.
Das Projekt der Wahl hier ist eher "rishi":
http://pi1.informatik.uni-mannheim.de/filepool/presentations/goebel-dfn-rishi-presentation.pdf
Hier werden typische Muste in den IRC-Nicknames bei Bots erkannt.
> Weiďż˝ jemand, ob so etwas geplant ist oder gemacht wird oder wenn Nein,
> warum nicht?
Wir wissen, warum wir es so machen.
Idealerweise hat man aber dazu bereits Infrastruktur
wie einen Whois-Server und automatisierte
Authentifizierungslog-Auswertung am Start, dann ist es
allerdings relativ einfach.
Gruss, Jens Hektor
Gabriele Neukam
On this special day, dominik lennᅵ wrote:
> Vergleichbares sollte auch fï¿œr andere Botnets gelten.
Man sollte besser gleich die Bot-Kommunikation am Wickel kriegen, dann
muss man nicht darauf warten dass vï¿œllig unbeschlagene User *irgendwie*
die Maschinen entseuchen (oder auch nicht). Aber auch das bedeutet
Arbeit, und zwar nicht wenig.
http://www.heise.de/newsticker/meldung/Neues-von-der-Botnet-Front-854912.html
Gabriele Neukam
--
Ah, Information. A property, too valuable these days, to give it away,
just so, at no cost.
dominik lenné
Zwangstrennung
> vom Netz? Die Securebranche bietet seit Jahren mehr oder weniger
> wirksame Removertools an. Sie konnte die Ausbreitung nicht
verhindern.
Das Hauptproblem scheint mir nicht zu sein, dass es keine
Remover-Tools gibt, sondern dass die �berwiegende Mehrzahl der
conficker-Besitzer gar keine Ahnung von dem kleinen Schatz hat, der da
in ihren Datenh�hlen gl�nzt.
Ich bin da noch nicht von Zynismus zerfressen.
D.