TU Wien | ZID | ZIDline 9 | Wurmattacken

Wurmattacken

In diesem Jahr trat weltweit eine der heftigsten Internet-Attacken auf, über die sogar die Presse berichtete. Vor allem der Sobig.F Wurm verbreitete sich im vergangenen August an der TU Wien sehr rasch. Bis Ende September wurden auf den Mail-Bastionsrechnern des ZID etwa 1,5 Millionen verseuchte E-Mails abgefangen. Einschränkend muss man aber sagen, dass nur Windows-Rechner betroffen waren, für Mac- und Linux-User gab es Entwarnung.

W32/Sobig.F

Am 19. August 2003 ab ca. 12 Uhr traten die ersten W32/Sobig.F Wurminfektionen auf Rechnern der TU auf. Zu diesem Zeitpunkt war noch kein Virenupdate für den Virenchecker Cluster verfügbar. Auch die zweite Stufe, der McAfee Virenscanner auf den lokalen Workstations, war bis ca. 16 Uhr nicht geschützt. Der Mail-Bastionsrechner des ZID konnte ab 15 Uhr mit einer Speziallösung gepatcht werden. Vor allem vor dieser Zeit verbreitete sich der Wurm rasch über E-Mails mit gefälschten Absenderadressen und Empfängeradressen, die mitunter vertrauenswürdig wirkten. Die E-Mails haben folgende mögliche Subject-Zeilen: 

Re: Thank you!
Thank you!
Your details
Re: Details
Re:Re: My details
Re:Approved
Re:Your application
Re:Wicked screensaver
Re: That movie

Folgende Attachments sind beobachtet worden, die diesen Wurm in sich tragen: 

your_document.pif
document_all.pif
thank_you.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie_0045.pif

Der Wurm braucht die Interaktion eines Benutzers, der diese Attachments öffnet, oder einen E-Mail Client, der Attachments automatisch öffnet. Bei der erfolgreichen Ausführung installiert sich der Wurm selbst als c:\%windir%\winppr.exe und erzeugt ebenfalls ein File c:\%windir%\winstt32.dat. Ein Eintrag ist ebenfalls im Run Registry Key vorgenommen worden, sodass das Wurmprogramm beim System Start ausgeführt wird.

Der Key ist in HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run mit dem Namen ScanX mit dem Wert c:\winnt\winppr.exe /sinc. Das Programm durchsucht Dateien mit gewissen Extensions (htm, html, dbx, hlp, mht, txt, wab) am kompromittierten System nach E-Mail Adressen und nutzt einen eigenen SMTP-Mechanismus, um den Wurm zu verbreiten. Das hatte insofern Folgen für die TU, da SMTP-Verkehr innerhalb der TU ohne zentralen Virenscan erlaubt ist. Der Wurm nutzt weiters das NTP-Protokoll, um die aktuelle Zeit zu bestimmen. Der Wurm hat ebenfalls Code enthalten, der eine Liste von 20 vorbestimmten IP Adressen an Port 8998/UDP am Freitag und am Sonntag zwischen 19 und 22 Uhr UTC (beginnend um 19 Uhr UTC am 22. August 2003) kontaktiert. Man nimmt an, dass dort eine Lokation ist, die zusätzlichen Code über diesen Kanal überträgt. Die Liste der IP-Adressen ist folgende: 

12.158.102.205
12.232.104.221
218.147.164.29
24.197.143.132
24.202.91.43
24.206.75.137
24.210.182.156
24.33.66.38
61.38.187.59
63.250.82.87
65.177.240.194
65.92.186.145
65.92.80.218
65.93.81.59
65.95.193.138
66.131.207.81
67.73.21.6
67.9.241.67
68.38.159.161
68.50.208.96

Der Wurm hat ein programmiertes "Shut Down" am 10. September 2003, wo er aufhörte, sich zu verbreiten. Alle wichtigen Antivirenhersteller haben mittlerweile Erkennungssignaturen für den Wurm.

W32/Blaster

Der W32/Blaster Wurm nützt eine Schwachstelle in Microsofts DCOM/RPC Interface aus. Wenn er erfolgreich ausgeführt wurde, versucht der Wurm eine Kopie von msblast.exe von dem System, das angegriffen hat, zu laden. Wenn das File geladen ist, arbeitet das kompromittierte System es ab und versucht, weitere Systeme zu verseuchen.

Es wird probiert, zuerst eine Port 135 Session aufzubauen, um den Angriff auszuführen. Port 139 und Port 445 können ebenfalls betroffen sein. Ungewöhnlicher Verkehr zu windowsupdate.com könnte ein Anzeichen für eine Infektion am Netzwerk sein, darum könnte die Überwachung des Netzwerk-Verkehrs nützlich sein.

Das ZID bietet einen eigenen Windows-Update-Server an (sts.tuwien.ac.at/css/ms/MSUS.html), über den automatisch Sicherheitsupdates eingespielt werden können.

Sofortmaßnahmen:

• Physikalisches Abstecken des Rechners
• Den Wurm mit Hilfe des Task Managers löschen.
  Bekannte Varianten nennen sich msblast.exe,
  teekids.exe und penis32.exe.
  Ctrl+alt+del drücken, Taskmanager aufrufen, Prozesse msblast.exe entfernen.
  End Process + ja beim Warnungsdialog drücken.
• Internet Connection Firewall (eingebaut bei Windows XP) oder eine Personal Firewall installieren.

Wichtig: Danach alle aktuellen Sicherheitspatches anbringen. Den Patch findet man unter
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Ein Removal Tool gibt es unter
securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

W32/Welchia

Ein weiterer Wurm, der uns ein wenig später getroffen hat, ist der W32/Welchia Wurm. Er nutzt dieselbe Schwachstelle aus wie der W32/Blaster:

• er löscht W32/Blaster Artefakte,
• er führt ICMP Scannings durch, um Zielsysteme zu identifizieren

Den Patch zum Schutz findet man auf: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Ein Removal Tool für den W32/Welchia Wurm befindet sich auf http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html

Der Grund, dass beide Würmer den Computer infizieren können, liegt im RPC Interface, das Buffer Overruns zulässt. Remote Procedure Call ist ein Kommunikations-Protokoll, das vom Windows Betriebssystem genutzt wird. RPC stellt einen Interprozesskommunikationsmechanismus zur Verfügung, der einem Programm erlaubt, Code auf einem anderen System auszuführen.

Das Protokoll selbst ist ein Abkömmling des Open Software Foundation RPC Protokolls, aber mit Microsoft Spezifika. Die aufgetretene Lücke hat mit dem Basissystem zum Austausch von Nachrichten via TCP/IP zu tun, auf das sich diverse komplexere Protokolle (wie etwa DCOM) stützen. Der Fehler resultiert aus der inkorrekten Behandlung von schlechtgeformten Nachrichten. Das Interface verwendet DCOM Aktivierungs-Requests, die von Client-Maschinen zum Server gesendet werden. Ein Angreifer, der diese Lücke erfolgreich ausgenützt hat, kann beliebige Aktionen auf dem System starten, z. B. Programme installieren, Daten anschauen, verändern oder gar neue Accounts mit vollen Privilegien anlegen.

Schlussfolgerungen

Was sind also die Schlussfolgerungen, die ein Benutzer aus diesen vergangenen Internet-Attacken zu ziehen hat?

Auch wenn es Ausnahmesituationen gibt, wo gleich mehrere Sicherheitsstufen versagen, ist und bleibt ein regelmäßiges Patchen nicht nur bei kommerziellen, sondern auch für den privaten Anwender unerlässlich. Natürlich gibt es dabei immer die Gefahr, dass nachher Programme nicht mehr funktionieren, aber ist ein gehacktes System nicht eine größere Gefahr? Auch muss bei den Securitymaßnahmen auch die Waage Security versus Usability im Auge behalten werden.

Der ZID stellt sowohl personelle als auch materielle Ressourcen zur Verfügung, um den Betrieb auf der Universität zu garantieren.

Wo Systemunterstützungs-Wartungsverträge bestehen (sts.tuwien.ac.at/pss/), werden die Viren und Würmer von uns beseitigt und die Rechner gepatcht, in den anderen Fällen geben wir Hinweise zur Sicherung der Systeme.

Aktuelle Informationen zur Viren- und Würmer-Problematik finden sich auf den Webseiten der ZID Security: www.zid.tuwien.ac.at/security/

An dieser Stelle soll wiederum darauf hingewiesen werden, dass selbst von anscheinsmäßig vertrauenswürdigen Absendern (diese Information ist in einer E-Mail beliebig fälschbar) Attachments mit Vorsicht zu behandeln sind. Denn auch TUNET-intern kann sich ein Virus/ Wurm trotz aller globalen Anti-Viren und Firewall-Vorkehrungen verbreiten. Eine erhöhte Sicherheit erreicht man durch den Einsatz einer Desktop-Antivirensoftware (siehe Campus-Software), speziell dann, wenn man nicht einfach überprüfen kann, ob das eine oder andere Attachment wirklich verdächtig ist bzw. vom Absender guten Glaubens (aber leider viren- bzw. wurmbehaftet) auf den Weg gebracht wurde.

Als verdächtig haben sich immer wieder Attachments mit Dateinamenserweiterungen der Art .exe, .com, .scr, .pif, .doc, .xls, .ppt u.a. herausgestellt, die entweder ein direkt ausführbares Programm oder ein Dokument mit Makrofunktionen enthalten. Als wesentliche Grundvoraussetzung für eine Beurteilung muss allerdings gewährleistet sein, dass das Betriebssystem bzw. die Applikationen wirklich alle Dateierweiterungen darstellen (Explorer) und Attachments obiger Art nicht automatisch von einem Programm zur Ausführung gelangen (Outlook Express älteren Datums).

Im Zweifelsfall hilft hier eventuell auch die direkte (telefonische) Kontaktaufnahme mit dem Absender.

Weiters empfehlen wir, Anti-Viren-Software laufend auf dem aktuellen Stand zu halten und regelmäßig einen Viren-Scan über alle Laufwerke durchzuführen. Entsprechende Software wird im Rahmen der Campussoftware für Institute der TU zu günstigen Preisen angeboten: sts.tuwien.ac.at/css/.

Wie kommt es zur Wurmverbreitung innerhalb des TUNET?

Trotz TUNET-weiter Sperren auf der TU Firewall für eine Reihe von problematischen Protokollen und Diensten zum Schutze vor einer äußeren Bedrohung, bieten sich noch immer genügend von "innen" kommende Schlupflöcher, durch die in der Regel aus Unachtsamkeit und Riskovernachlässigung mehr oder wenig fahrlässig Viren oder Würmer ins TUNET gelangen können. Klassische Fälle sind:

• externe Zugänge (Dialin/Modem, WLAN, VPN, Chello StudentConnect, ADSL, xDSL),
• Notebooks, die in "fremden" Netzen und im TUNET wechselweise betrieben werden,
• Abruf von außerhalb des TUNET gelegenen Mailaccounts (z. B. von Freemail-Providern), ev. in Kombination mit dem Ignorieren von Warnmeldungen lokal installierter Virenwächter.

Welche Schutzmöglichkeiten sind vorhanden bzw. kann man in Anspruch nehmen?

• von außerhalb des TUNET sind typische "gefährliche" Protokollzugänge/Services (Ports) gesperrt:
  www.zid.tuwien.ac.at/security/portsperren.php
• von außerhalb des TUNET kann optional ein Institutssubnetz mit dem Zugriffsschutz versehen werden (alle Zugänge bis auf definierte IP-Adressen(-Bereiche) und Ports sind gesperrt):
  www.zid.tuwien.ac.at/security/zugriffsschutz.php
• von außerhalb und im TUNET kann optional das Institutssubnetz mit einer Firewall abgeschottet werden:
  www.zid.tuwien.ac.at/security/firewall2.php
• von außerhalb und im TUNET samt Institutsnetzwerk schützt optional eine Personal Firewall (ev. in Kombination mit einer Anti-Viren-Software), z. B.
  www.zid.tuwien.ac.at/security/freeware.php#kerio
  oder entsprechendes Campus-Software Angebot unter: sts.tuwien.ac.at/pss/.

Wichtig in diesem Zusammenhang ist, dass eine Anti-Viren-Software alleine (auch wenn sie am aktuellen Signaturenstand ist) im Normalfall nicht vor einer Wurmattacke schützt. Hierzu sind Firewall-Maßnahmen bzw. die Beseitigung der entsprechenden Betriebssystemlücken (Einspielen von Sicherheits-Patches) Pflicht.

Eine weitere Kategorie von Plagegeistern ist so genannte Ad- oder Spy-Ware, die zwar von vornherein nicht als gefährlich gelten müssen, aber den Rechnerbetrieb dennoch empfindlich beeinträchtigen (verlangsamen) können und die Privatsphäre durch Aussenden oder Umlenken von Datenströmen aufs Gröbste verletzen. Diese Klasse von parasitärer Software ist ebenfalls im Normalfall nicht durchgängig von diversen Anti-Viren-Software Packeten in den Griff zu bekommen. Dieser Nische haben sich darauf spezialisierte Programme (z. B. Spybot, Ad-aware) verschrieben.

Definitionen

Ein Wurm ist ein Programm, das in der Regel (aber nicht zwingend) einen Viruscharakter aufweist, sich selbst repliziert und verbreitet, ohne ein Wirtsprogramm befallen zu müssen. Der Wurm transferiert sich selbstständig durch das Netzwerk und befällt andere Systeme zumeist auch durch Ausnutzung von Sicherheitslücken.

Unter Spy- bzw. Ad-Ware versteht man Programme, die dem Verhalten eines Parasiten recht nahe kommen und prinzipiell keinen Schaden anrichten oder eine Verbreitung anstreben, sondern hauptsächlich Informationen aus dem Rechner sammeln und zu fremden Rechnern außerhalb übermitteln bzw. von dort Daten (Werbung) beziehen.