ratNetw0rk Statistik

Freitag, 1. Juli 2011

TDSS - Malware 3.0

In den letzten Monaten Monaten ist sehr viel im Underground geschehen.Soney wurde gehackt,die beiden Gruppen Anonymous und LulzSec haben einen sehr großen Bekanntheitsgrad erreicht durch ihre Attacken. Im Underground wurde der Source-Code des Banking Trojaners ZeUs veröffentlicht. Aber keiner dieser berichte hat meine Aufmerksamkeit so erregt wie die neue Version des Rootkits TDSS.

TDSS in der neuen Version TDL-4 ist ein Rootkit welches von Kaspersky Labs entdeckt wurde und durch seine Funktionen als unverwühstbar gield. Aber was macht TDL-4 so besonders gegenüber anderen Botnetzen. Wie wir wissen ist der Schachpunkt eines Botnetzes immer der C&C Server und im Laufe der zeit haben Professionelle Cyberkriminelle immer wider versucht ihre Server zu verstecken durch Techniken wie Fast-Flux oder Domain-Flux.

TDL-4 ist ein P2P Bot welcher auch ohne ein Command & Control Server befehle der Herder entgegennehmen kann. Dazu ein Auszug aus einer Analyse von Kaspersky.

--------------------------------------------------------------------------------------
by Kaspersky Labs
Zugriff des Botnetzes auf das Kad-Netz

Eine der bedeutendsten Neuheiten der Version TDL-4 besteht in dem Modul kad.dll, das eine Zugriffsmöglichkeit des TDSS-Botnetzes auf das Kad-Netz bietet. Doch wofür brauchen die Cyberkriminellen ein Filesharing-Netzwerk?

Botnetze, die über P2P-Protokolle gesteuert werden, sind schon seit langem bekannt, doch handelte es sich dabei bisher um verborgene Verbindungsprotokolle, die von Cyberkriminellen entwickelt wurden. TDSS nutzt hingegen ein öffentliches P2P-Netz, um die Befehle der Botnetzbetreiber an alle Rechner im Zombie-Netzwerk weiterzuleiten. Die Kommunikation von TDSS mit diesem Netz stellt sich folgendermaßen dar:

1. In dem öffentlichen Netz Kad ermöglichen die Cyberkriminellen den Zugriff auf eine Datei mit der Bezeichnung „ktzerules“. Die Datei ist verschlüsselt und enthält die Befehlsliste für TDSS.

2. Die mit TDSS infizierten Computer empfangen den Befehl zum Download und zur Installation des Moduls kad.dll.

3. Die installierte Datei kad.dll lädt die Datei nodes.dat, die wiederum eine öffentliche Liste von IP-Adressen der Server und Clients des Kad-Netzes enthält.

4. Im öffentlichen Netz Kad sendet das Modul kad.dll eine Suchanfrage nach der Datei ktzerules.

5. Nach Download und Entschlüsselung der Datei ktzerules führt kad.dll die in ktzerules enthaltenen Befehle aus.



Nachfolgend eine Aufstellung der Befehle, die in der verschlüsselten Datei ktzerules enthalten sind.
- SearchCfg – Suche nach einer neuen ktzerules-Datei im Kad-Netz
- LoadExe – Laden und Starten der ausführbaren Datei
- ConfigWrite – Eintragung in cfg.ini
- Search – Datei im Kad-Netz suchen
- Publish – Datei im Kad-Netz veröffentlichen
- Knock – vom Steuerzentrum eine neue Datei nodes.dat herunterladen, die eine Liste der IP-Adressen der Server und Clients des Kad-Netzes enthält, darunter auch die mit TDSS infizierten Computer.

Für Kaspersky ist der Befehl Knock besonders Interessant. Mit Hilfe dieses Befehls sind die die Cyberkriminellen in der Lage ihr eigenes P2P-Kad-Netz aufzubauen, deren einzige Kunden mit TDSS infizierte Computer sind.


Eine Überschneidung des öffentlichen und geschlossenen KAD-Netzes

Bei der Steuerung des TDSS-Botnetzes ist das Modul kad.dll im Grunde identisch mit cmd.dll. Indem sie mit den Dateien nodes.dat und ktzerules operieren, sind die Botnetzbetreiber in der Lage, infizierte Computer an das öffentliche Netz Kad anzuschließen und sie auch wieder davon auszuschließen. Während in der Datei nodes.dat die IP-Adressen aller Teilnehmer des Netzes Kad stehen, enthält ktzerules den Befehl für den Download einer neuen nodes.dat-Datei von den Servern der Cyberkriminellen. Zum öffentlichen Kad-Netz gehören nicht mehr als zehn mit TDSS infizierte Computer. Dadurch wird der Austauschprozess der Datei ktzerules so ineffizient wie nur möglich gemacht und behindert damit die Übernahme des Botnetzes durch andere Cyberkriminelle. Die Zahl der zu dem geschlossenen Netz gehörenden Computer, die mit TDSS infiziert sind, beträgt einige zehntausend.


Teil des Codes von kad.dll, der für die Übermittlung der Befehle
der Cyberkriminellen an TDL-4 verantwortlich ist

Zudem ermöglicht der Zugriff auf das Kad-Netz den Cyberkriminellen, beliebige Dateien auf die zum Botnetz gehörenden Computer zu laden und sie für die Nutzer des P2P-Netzes verfügbar zu machen – egal, ob es sich dabei um pornografische Inhalte oder um gestohlene Datenbanken handelt.

Die Gefährlichkeit eines derartigen Botnetzes besteht darin, dass die Botnetzbetreiber selbst dann die Kontrolle über die infizierten Rechner behalten, wenn die Steuerungszentralen offline genommen werden. Allerdings hat ein solches System auch seine Tücken:

1. Mit der Nutzung des öffentlichen Kad-Netzes riskieren die Cyberkriminellen, mit falschen Befehlen für ihr Botnetz konfrontiert zu werden.

2. Bei der Entwicklung des Moduls kad.dll, das die Zusammenarbeit mit dem Kad-Netz sicherstellt, wird Code verwendet, der unter die freie Software-Lizenz GPL fällt . Das bedeutet, dass die Autoren die Lizenzvereinbarung verletzen.
------------------------------------------------------------------------------------

TDSS nutzt während seiner Arbeit verschiedene Quellen, um an die Domainlisten der Command & Control-Server zu gelangen. Standardmäßig wird die Liste der Datei cmd.dll entnommen. Sollten die Server aber nicht verfügbar sein, wird die Liste aus cfg.ini gezogen. Steht in der Liste von cfg.ini aus einem unersichtlichen Grund kein einziger C&C, wird die Liste aus der verschlüsselten Datei bckfg.tmp zusammengestellt, die der Bot vom Command & Control-Server bei der ersten Verbindung mit diesem erhalten hat. Seit Anfang des Jahres wurden um die 60 C&Cs des Botnetzes ausfindig gemacht.

P2P Botnetze sind nicht neu,schon der bekannte Storm Worm nutze P2P Techniken um mit seinen Dronen zu Kommunizieren,dabei verwendete er aber eine BulletProof Domain mit Fast-Flux Technik um seinen C&C zu verbergen. TDL-4 kann aber auch ohne ein C&C auskommen und Befehle entgegen nehmen. Dieses erschwert es um so mehr das gesammte Botnetz still legen zu können.

Quellen:
http://www.viruslist.com/de/analysis?pubid=200883742

http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792131/TDSS
http://www.securelist.com/en/blog/208188095/TDSS_loader_now_got_legs
http://www.securelist.com/en/blog/337/TDL4_Starts_Using_0_Day_Vulnerability