TDL-4: Neues Botnet ist "praktisch unzerstörbar"

Sicherheitsforscher entdeckten vor kurzem ein neues Botnet. Dieses weist gegenüber älteren Botnets eine massiv verbesserte technische Beschaffenheit auf und ist nach Ansicht vieler Experten "praktisch unzerstörbar". Das als "TDL-4" bezeichnete Botnet hat bereits über vier Millionen Windows-PCs infiziert.
Sicherheitsforscher Sergej Golovanov vom Unternehmen Kaspersky Labs erklärte, TDL-4 sei "die am höchsten entwickelte Bedrohung momentan" und "praktisch unzerstörbar". Kaspersky Labs veröffentlichte eine detaillierte Analyse des neuen Botnets. Auch andere Kaspersky-Mitarbeiter halten TDL-4 für äußerst hochentwickelt und widerstandsfähig.

Der Einschätzung des russischen Unternehms schließen sich andere Experten an. "Ich würde nicht sagen, dass es vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar," sagte etwa Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWorks. Stewart gilt als Experte für Botnets. Er ergänzte, TDL-4 sei "gut darin, sich selbst zu erhalten".

Die beiden Sicherheitsforscher begründen ihre Meinung mit mehreren Eigenschaften des TDL-4-Botnets. Die Kombination dieser Eigenschaften mache es sehr schwer, TDL-4 zu erkennen, entfernen oder an der weiteren Ausbreitung zu hindern. So infiziert TDL-4 den Master Boot Record (MBR) des betroffenen Datenträgers mit einem Rootkit, durch das der zugehörige Schadcode vor dem Betriebssystem und eventueller sicherheitssoftware versteckt wird (weswegen Microsoft im Falle einer Infektion mindestens eine komplette Systemwiederherstellung und das Überschreiben des MBR empfiehlt, gulli:News berichtete). Für noch problematischer halten die Sicherheitsforscher aber die von TDL-4 verwendete Mischung aus hochentwickelten Verschlüsselungstechnologien und der Nutzung des öffentlichen Peer-to-Peer-Netzwerkes "Kad" für das Verschicken von Befehlen an die infizierten "Zombies". Außerdem kann TDL-4 bereits auf dem System vorhandene Malware - darunter den verbreiteten Online-Banking-Trojaner "ZeuS" - deaktivieren.

Der von TDL-4 verwendete Verschlüsselungs-Algorithmus wurde allem Anschein nach von den Betreibern des Botnets selbst entwickelt. Als Key werden die Domains der Command-and-Control-Server des Botnets verwendet. Neu ist auch die Art und Weise, wie TDL-4 die Peer-to-Peer-Technologie verwendet. Per P2P kommunizierende Botnets sind zwar nichts Neues, sondern schon seit einigen Jahren bekannt. Bisher verwendeten die Cyberkriminellen aber geschlossene P2P-Netzwerke, die sie selbst aufgebaut hatten, zur Kommunikation. Die Nutzung eines öffentlichen Netzwerkes als Backup-Kommunikationsmedium erschwert einen Takedown des Botnets erheblich. Nehmen Sicherheitsexperten die Command-and-Control-Server des Botnets vom Netz, können die Betreiber per Kad eine Liste neuer Server herumschicken und so das Botnet weiter betreiben.

TDL-4 wird von den Betreibern für verschiedene Zwecke benutzt. Einer davon sind die üblichen DDoS-Attacken, für die das Botnet vermietet wird. Daneben kann TDL-4 aber auch beliebige andere Malware installieren - entweder auf Anweisung der Betreiber selbst oder, indem das Botnet für diesen Zweck vermietet wird. Da sich TDL-4 nach diesen Aktionen nicht löscht, bleibt es auf dem System und kann die andere Malware jederzeit wieder entfernen, wenn dies den Zielen der Betreiber dient.

Gefährliches Bot-Netzwerk TDL-4:

"Es ist praktisch unzerstörbar"
Mehr als vier Millionen PCs sind bereits infiziert, davon knapp 150.000 in Deutschland. Sicherheitsexperten warnen vor einer neuen Schadsoftware, die sich extrem gut tarnt und sehr gefährlich ist. Einige halten sie sogar für unzerstörbar.

Der Sicherheits-Experte Sergey Golovanov hat schon viele gefährliche Programme gesehen. Er arbeitet für das russische Software-Unternehmen Kaspersky Lab, einem der Marktführer für Sicherheitssoftware wie Firewalls und Antiviren-Programme. Doch die aktuelle Malware (zu deutsch "Schadsoftware") namens TDL-4, die Rechner infiziert und in Bot-Netzwerken für kriminelle Machenschaften versammelt, hat auch ihn beeindruckt: "Im Moment ist TDL-4 die größte Bedrohung im Internet. Das Bot-Netzwerk ist praktisch unzerstörbar", lautet das Fazit seines Berichts.

Was verbirgt sich hinter TDL-4?
Hinter dem Kürzel TDL-4 verbirgt sich eine besonders ausgeklügelte Schadsoftware. Es ist bereits die vierte Version der gefährlichen TDL-Reihe. Sie versteckt sich anders als ihre Vorgänger nicht auf dem Rechner, sondern im sogenannten Master-Boot-Record (MBR). Das ist der erste Datenblock einer Festplatte, der noch vor dem eigentlichen Betriebssystem geladen wird. Damit ist die Malware unsichtbar für aktuelle Antiviren-Programme. Hat sie sich einmal eingenistet, wird der Rechner Teil eines weltumspannenden Bot-Netzwerks.

Was ist ein Bot-Netzwerk?
Bei einem Bot-Netzwerk werden fremde Computer unbemerkt mit einer Art Trojaner infiziert, der den Rechner anschließend "versklavt". Experten bezeichnen diese Rechner als "Zombie", "Drohne" oder schlichtweg als Bot, die Kurzfassung von "Robot". Die infizierten Computer vernetzen sich untereinander und werden von einem zentralen Computer, dem Kommando-Server, ferngesteuert. Je mehr Computer sich zusammenschließen, desto größer ist die Schlagkraft des Netzwerks. Sind genügend Rechner infiziert, reicht ein Befehl des Besitzers, um alle Computer angreifen zu lassen.

Die Besitzer von Bot-Netzwerken führen die Angriffe selten persönlich aus, die meisten vermieten ihre "Zombie-Armee" an andere Kriminelle. Je größer das Gefahrenpotential des Netzwerks, desto höher ist der Preis. Deshalb versuchen die Besitzer, so viele Rechner wie möglich unter ihre Kontrolle zu bringen. Laut Kaspersky zahlen die Betreiber von TDL-4 zwischen 20 und 200 Dollar für 1000 Neuinfektionen, je nach Standort der Computer. Besonders wertvoll sind Rechner in Westeuropa und den USA.

Was unterscheidet TDL-4 von anderen Bot-Netzwerken?
Erst im April sorgte die Abschaltung des Coreflood-Netzwerks für Aufsehen. Die Betreiber spähten mit ihren Computerklaven die Online-Banking-Zugänge von ahnungslosen Nutzern aus und erbeuteten mehr als 100 Millionen Dollar. Das FBI konnte nach jahrelangen Ermittlungen die Kommando-Server ausfindig machen und beschlagnahmen. Nur so können die kriminellen Computer-Armeen ausgeschaltet werden. Denn ohne den Hauptcomputer erhalten die Bots keine Befehle, sie werden wirkungslos.

Doch dieses Vorgehen ist bei TDL-4 nicht möglich. Das Problem: Die Malware funktioniert dezentral, sie benötigt keinen Kommando-Server, um ihre Befehle zu verbreiten. Stattdessen nutzt sie eine sogenannte Peer-to-Peer-Verbindung zwischen den einzelnen Rechnern, die auch bei Tauschbörsen eingesetzt wird. Hier verbinden sich die Rechner gleichberechtigt untereinander und tauschen sich unbemerkt aus. "Die Art und Weise, wie Peer-to-Peer für TDL-4 genutzt wird, macht es unglaublich schwer, dieses Botnetz abzuschalten", sagt Kasperskys Sicherheitsverantwortlicher Roel Schouwenberg dem Technik-Blog Gizmodo. Zwar existieren Kommando-Server als zusätzliche Kommunikationskanäle, um die Anweisungen schneller zu verbreiten - im Notfall kann das Bot-Netzwerk aber eigenständig weiterarbeiten. "Jeder Versuch, das Netzwerk abzuschalten, kann von der TDL-Gruppe umgangen werden. Da sie zwei verschiedene Kanäle nutzen, wird ein Eingreifen sehr, sehr schwierig", sagt Schouwenberg.

Warum ist die Malware so gefährlich?
Ist ein Computer mit TDL-4 infiziert, lädt der Trojaner bis zu 30 weitere Schadprogramme herunter. Einige davon spionieren Bank- und Kreditkartendaten aus, andere verschicken Spam-Mails oder versuchen den Nutzer mit Falschmeldungen einzuschüchtern. Mittlerweile sind rund 4,5 Millionen PCs mit dem gefährlichen Trojaner infiziert, wie Kasperskys Virus-Analyst Stefan Ortloff bestätigt. Rund ein Viertel der infizierten Rechner steht in den USA, in Deutschland sind knapp 150.000 Computer betroffen, und die Zahl der Neuinfektionen täglich, wie Ortloff betont. Vor allem die raffinierte Tarnung sorgt für eine schnelle Verbreitung: Während die Nutzer ahnungslos an ihrem PC arbeiten, bleiben die Schadprogramme unsichtbar im Hintergrund.

"Ich würde nicht sagen, dass ein TDL-4 Botnetz vollkommen unzerstörbar ist, aber es ist ziemlich unzerstörbar. Es ist sehr gut darin, sich selbst am Leben zu erhalten", sagt Joe Stewart, Leiter der Malware-Forschungsabteilung bei Dell SecureWork dem Technik-Magazin Dailytech. Stewart gilt als Experte für Bot-Netwerke. Denn nicht nur der dezentrale Aufbau macht das Netzwerk unangreifbar, sondern auch die komplexe Verschlüsselung der Befehle. Selbst wenn es die Polizei schafft, sich in das Netzwerk einzuklinken, sind die Befehle gut vor fremden Zugriffen geschützt. Die Befehle sind so verschlüsselt, dass nur der Urheber darauf zugreifen kann. Mit Peer-to-Peer-Verbindungen können sie die Malware auch jederzeit updaten.

Wie kann man sich schützen?
Ein Computer wird nur durch einen Befall von Viren, Trojanern oder anderer Schadsoftware in ein Bot-Netzwerk eingebunden. Um sich gegen die Schädlinge zu schützen, sollten eine aktuelle Antiviren-Software und eine Firewall auf dem Rechner installiert sein. Die meisten Bedrohungen aus dem Netz prallen dann wirkungslos an den Schutzmechanismen ab. Allerdings gilt im Fall von TDL-4 erhöhte Vorsicht: Software wie das weitverbreitete Antivir sind gegen die neue Version noch machtlos. Nur Version 1 bis 3 werden von der Software erkannt, die vierte entzieht sich bisher den Blicken. Updates hat der Ersteller gegenüber stern.de angekündigt.

Sollte der Rechner bereits infiziert sein, empfiehlt Stefan Ortloff eine Neuinstallation von Windows: "Zunächst sollte man den Rechner mit einer Boot-CD oder einen Boot-USB-Stick starten, um den Master-Boot-Record zu umgehen, indem sich die Malware befindet. Anschließend sollte Windows neu installiert werden." Die Daten können beim Start von einer Boot-CD aber noch gesichert werden. Sicherheitshalber sollten die aber auf einem sauberen System von einer Antiviren-Software überprüft werden.

Das TDL-4 unbesiegbar ist, bezweifelt auch Roger Grimes von Infoworld Today: "Seit 24 Jahren kämpfe ich gegen Schadsoftware, und ich kann mit absoluter Sicherheit sagen, dass es keine Bedrohung gibt, die nicht in den Griff zu kriegen ist. Es kann Monate dauern, sogar Jahre, aber am Ende werden die Guten gewinnen."

Bereits über 4,5 Millionen Zombie-Rechner

Botnetzwerk TDL-4: unzerstörbar, raffiniert, dezentralisiert - Video-Update
Ein neues Botnetzwerk hat sich etabliert. Das TDL-4 Botnet verfügt bereits über 4,5 Millionen versklavter Rechner und breitet sich weiter aus. Die Kombination aus allen möglichen Tarnungs- und Angriffstechniken machen es laut Kaspersky Labs "fast unzerstörbar". Eine Löschung kann die Festplatte vollständig unbrauchbar machen.

Das Botnetzwerk TDL-4 scheint das aktuell am weitesten entwickelte Botnetzwerk der Welt zu sein. Wenn bereits die Sicherheitsexperten von Kaspersky zu drastischen Worten wie "unzerstörbar" greifen, muss es sich hier wohl um eine ernstzunehmende Bedrohung handeln. Schließlich wollen die Sicherheitsfirmen ihre Antiviren-Produkte verkaufen. "Unzerstörbar" passt da nicht so richtig in das Marketing-Konzept.

Die "Feature-Liste" von TDL-4 liest sich dabei wie die Wunderformel für Zombie-Netzwerke. Der Trojaner nistet sich unbemerkt auf dem Master Boot Record (MBR) der Festplatte ein, entzogen von jedem Zugriff des Betriebssystems und Antiviren-Programmen installiert der Trojaner über 30 Schadprogramme auf den Rechner, darunter diverse Spionage-Tools, die bevorzugt Bank- und Kreditkarteninformationen aufzeichnen, gefälschte Antivirenprogramme und ein Programm zum Versenden von Spam-Emails gehören ebenfalls dazu. Wird der MBR gelöscht und ist kein Restore-Backup davon vorhanden, kann die Festplatte zunächst nicht weiter verwendet werden. Die Kommunikation mit Host-Servern erfolgt dezentral über Peer-to-Peer-Netzwerke (Kad Network), die vorzugsweise auch von zweifelhaften Streaming- und File-Sharing-Webseiten verwendet werden. Ausgetrickst werden selbst heuristische, proaktive und signaturbasierte Antiviren-Systeme.

Aktuell scheint noch kein Antiviren-Programm mit dem Trojaner fertig zu werden. Den Nutzern sei also geraten vorsichtig mit fremden Dateien, Links und E-Mails umzugehen. Bereits 4,5 Millionen Zombie-Rechner seien in das Botnetzwerk integriert. Tendenz steigend.

Sie wollen wissen, was unsere Community davon denkt? Dann schauen Sie in die User-News von "master_of_disaster". (Danke an dieser Stelle!) oder kommentieren Sie den Artikel.

Quelle: computer.t-online.de