Archive for Oktober 2009

 
 

Conficker größte Bedrohung im Netz

Heute Nachmittag wurde von GMX und WEB.DE ein Artikel herausgegeben der besagt:

Conficker sei laut Experten die momentan größte Gefahr im Internet.

Was tut Conficker?

Nun im Moment tut der Wurm nichts weiter, als immer neue PCs zu infizieren. Wer hinter diesem Wurm steckt und wann er aktiv wird, das weiß allein der Programmierer des Wurms, der zum Leitwesen der Behörden auch weiterhin unbekannt ist.

Bisher schlummert Conficker in den Rechnersystemen und keiner weiß was passieren wird wenn der Wurm aktiv wird. Tatsache ist, dass der Wurm auch kein halt vor Behörden wie „Royal Navy, Bundeswehr oder Krankenhäusern.“ macht.

Was kann man gegen Conficker unternehmen?

Man findet ab heute, einen kostenlosen sofort Test für den Conficker-Wurm unter den Adressen:

http://scan.web.de
http://scan.gmx.de

Um einen Wiederbefall zu vermeiden, helfen die üblichen Maßnahmen. Das heißt, sein Anti-Viren-Programm immer auf den neuesten stand halten und regelmäßig einen kompletten Systemcheck durchführen. Auch gratis Anti-Viren-Programme können in der Regel Conficker inzwischen erkennen und beseitigen.

quellen:
http://de.wikipedia.org/wiki/Conficker
http://presse.web.de/de/unternehmen/presse/pressemitteilungen/9210902.html

DSL Honeypot goes Botnetzprovider.de

Ich setze nun die Reihe fort mit den Berichten über meine HoneyPots.

Heute geht es um den DSL HoneyPot.
Ich habe mich gegen „nepenthes“ entschieden, da ich einen anderen Weg einschlagen möchte.

Daher verwende ich einen HoneyPot, der es auch zulässt unbekannte Angriffe mit zu protokollieren und auszuwerten.

In der HoneyPot-Szene sollte „honeytrap“ bekannt sein. Er zeichnet sich vor allem durch seine verschiedenen Einsatzmöglichkeiten aus.
Er ermöglicht es seinem Betreiber unbekannte Angriffe zu sammeln und auszuwerten. HoneyTrap emuliert verschiedene Dienste auf diversen Ports. Das schöne dabei ist, man kann dem Honeypot selber „response“ einpflegen, die er zurück gibt, wenn der jeweilige Port angesprochen wird.

Doch das kann „ „nepenthes““ auch, warum sollte man dann „honeytrap“ verwenden?

Mir geht es um die undokumentierten Angriffe die „honeytrap“ mit protokolliert. Gestern sind wieder verschiedenste Angriffe auf Ports jenseits von Port 1000 bei mir ein getrudelt.
Durch eine Echtzeit IRC Protokollierung, kann ich schon frühzeitige Angriffswellen erkennen und versuchen mehr über die Art des Angriffes in erfahrung zu bringen.

Des weiteren kann man, bei einer solchen Angriffswelle, gerne mal die „response“ ändern und beobachten wie der Angreifer darauf reagiert.

Hier mal ein kleiner Logauszug von gestern:
Okt 20 02:59:15 [2009-10-20 02:58:22] 1433/tcp Connection from 219.148.108.143:3474 accepted.
Okt 20 02:59:17 [2009-10-20 02:58:25] * 1433/tcp 349 bytes attack string from 219.148.108.143:3474.
Okt 20 02:59:19 [2009-10-20 02:58:25] 1433/tcp Connection from 219.148.108.143:4080 accepted.
Okt 20 02:59:21 [2009-10-20 02:58:28] * 1433/tcp 349 bytes attack string from 219.148.108.143:4080.

Das wars zu dem DSL „honeytrap“, ich werde euch auf dem laufenden halten, was meine HoneyPot Serie angeht.

HoneyPot goes botnetzprovider.de

Nun endlich ist es so weit, mein “Honeypot goes Botnetzprovider.de”

Ich habe mir gedacht mein Blog ist eine gute Plattform um das Honeypot Projekt einmal vorzustellen. Es handelt sich dabei um mehrere “Sensoren” die ich auf der ganzen Welt verteilt habe. Dabei handelt es sich um kleinere Server die zusammen in eine “Zentrale Datenbank” (zDB) schreiben.

Bei den Honeypot handelt es sich um einen von Lukas entwickelten RFI-Honeypot mit dem Name “GlasTopf” (http://trac.1durch0.de/trac). Die Honeypots sind “low-interaction Honeypot”

Ein low-interaction Honeypot emuliert die angegriffenen Dienste nur. Es eignet sich besonders für die Analyse von automatisierten Angriffe von RFI Attacken. Diese automatisierten Angriffe werden durch einen Parser analysiert und in die “Zentrale Datenbank” (zDB) geschrieben.

Unser Honeypots sind spezialisiert auf Remote File Inclusion / Local File Inclusion (RFI/LFI) Diese werden mit Hilfe von unserem “Vulnerability Emulator” erstellt und für die Suchmaschinen aufbereitet.

Zentrale Datenbank:
Hier ist der aktuelle Counter zur zDB, dieser Counter zeigt an wie viele uniq Hits wir bis jetzt gesammelt haben.

zentrale_datenbank