Auf den Leim gegangen

BOFH sagt

"manager in the cable duct"

Rechtliches

Creative Commons License - Some Rights Reserved

Monday, 31. October 2005

Botnets erfreuen sich heutzutage einer stetig wachsenden Beliebtheit. Die "Betreiber" sind allerdings bei weitem nicht mehr "nur" ein paar Scriptiddies, die sich so gegenseitig ihre "Macht" zeigen wollen. Aufgrund der schieren Macht, die tausende Zombies im Netz entfachen können, werden sie mittlerweile schon häufig "kommerziell" betrieben. Über Erpressungen von Online-Wettbüros war bis dato schon öfters in der einschlägigen Fachpresse zu lesen.

Nicht zuletzt aus diesem Grund hat sich (besonders) das Honeynet-Projekt (u.a.) die Analyse und Erkennung von Botnetzen auf die Fahnen geschrieben. In diesem Fall wird ein besonderes Augenmerk auf dafür spezialisierte Tools gelegt, die in der Lage sind, verdächtige Aktivitäten oder Angriffe auf potentielle Zombies zu erkennen und protokollieren zu können.
Ein solches ist das gestern in Version 3 freigegebene mwcollect (kurz für Malware collect).

mwcollect kann als kleiner Honeypot angesehen werden, der darauf spezialisiert ist, Viren und Würmer, mit denen Botnetze automatisiert um weitere Zombies "ergänzt" werden zu sammeln, damit diese im weiteren Verlauf analysiert werden können. Der Daemon läuft auf Linux, FreeBSD und innerhalb von Cygwin sogar unter Windows.
Zur Sammelung der Daten öffnet das Tool bestimmte, von Malware für Infektionen genutzte Ports, und kommuniziert dann direkt mit dem Rechner, von dem sie ausgeht, z.B. um Schadcode einfach nachladen zu können.

Erste Spielereien mit dem Tool fand ich sehr beeindruckend: es dauerte keine 5 Minuten, bis die ersten Würmer hier aufschlugen. Innerhalb weniger Stunden war bereits ein recht beachtliches Arsenal verschiedenster Würmer auf der Platte, die Daten verschiedenster Herkunft in den Logfiles verewigt haben.
Mir persönlich hat allein dieser kleine Test einmal wieder deutlich gemacht, dass es absolut unverantwortlich ist, einen Rechner (vornehmlich mit einem der Betriebssysteme aus Redmond) ungeschützt ans Internet zu hängen.

Über kurz oder lang wird das Projekt wohl auch ins "Hybrid-IDS" Prelude integriert werden, was Logging und Auswertung der Daten noch erheblich vereinfachen wird. Spätestens dann werde ich mich dann wohl einmal ganz genau mit dem Tool auseinandersetzen, und bin jetzt schon gespannt, was dabei wohl herauskommen wird.

11:26 | Kommentare (0) | Trackbacks (0)

Abstimmungszeitraum abgelaufen.

Derzeitige Beurteilung: keine, 0 Stimme(n) 6724 Klicks

Tags für diesen Artikel: freebsd, hacking, honeypot, linux, network, security, tool

< S9Y 0.9 has landed | Beängstigendes Halloween >

Verwandte Links:

Trackbacks

Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen