Storm-Botnet von Hackern gekapert

In ihrem Vortrag erläuterten die Hacker Felix Leder, Georg Wicherski, Mark Schlösser und Tillmann Werner wie sie durch Reverse Engineering des Storm-Bots herausfanden, wie die Bots nach dem über das von eDonkey bekannte Overnet-Protokoll kommunizieren und mit welchen Sicherungsmechanismen der Datenaustausch zwischen den Bots und den Kontrollservern (C&C-Server) von den Botnetz-Betreibern geschützt wird. Jeder frisch installierte Bot hat eine Tabelle mit bereits aktiven Stormnodes an Bord, so dass er weiß, welche Nodes er kontaktieren muss, um seine eigene Routingtabelle zu erweitern.Anschließend sucht der Bot nach dem C&C-Server, der Kommandos zum Versand von Spam, dem Start einer DDos-Attacke oder ein Update der Botsoftware verschicken kann.

Nachdem die im Storm-Netz verwendeten Schutztechniken nicht sonderlich ausgefeilt sind, kann sich ein von den Hackern programmiertes Tool (Stormfucker) gegenüber Storm-infizierten PCs (Zombies) als C&C-Server ausgeben. Auf diese Art kann Stormfucker den verbundenen Zombies auch beliebige ausführbare Dateien unterschieben. Die Hacker demonstrierten dies, indem sie dem in einer virtuellen Maschine laufenden Zombie den Windows-Taschenrechner (calc.exe) schickten und starten ließen. Die Übernahme eines echten »in the wild«-Bots wollten die Hacker aus Furcht vor rechtlichen Konsequenzen nicht zeigen, versicherten jedoch, dass Stormfucker in der Praxis zum Beispiel ein Storm-Desinfektionsprogramm verteilen könnte.

Momentan kann Stormfucker die Zombies von einem PC aus angreifen. Würde auf diese Art versucht, eine große Anzahl von Zombies zu übernehmen, wäre eine selbst verursachte DDoS-Attacke die Folge: Einerseits würde zu viel Datenverkehr auf den vermeintlichen C&C-Server einstürmen, andererseits würden die Botnetz-Betreiber alarmiert und selbst mit einer DDoS-Attacke reagieren. Die Funktion zur rekursiven Bot-Übernahme soll in Zukunft nachgerüstet werden.