Betrachtungen über das Kido/Conficker-P2P-Netzwerk

Georg Wicherski

Durch eine Verhaltensanalyse des Kido-Netzwerks waren wir in der Lage, ein Programm zu entwickeln, mit dem wir einen grundlegenden Einblick in die Kommunikationswege der Schadsoftware über das P2P-System gewinnen konnten. Dieses Netzwerk wurde von dem Schädling in den letzten Wochen dazu benutzt, sich selbst mit Updates zu unterhalten. Über einen Beobachtungszeitraum von 24 Stunden haben wir 200652 eindeutige betroffene IP-Adressen identifiziert, d.h. weitaus weniger als die ursprünglich erwartete Zahl an Infektionen.
Diese niedrigere Zahl ist hauptsächlich darauf zurückzuführen, dass das Peer-to-Peer-Netzwerk lediglich aus den neuesten Varianten des Conficker-Wurms gebildet wird, und dass lediglich ein Bruchteil der mit früheren Varianten befallenen Knoten mit diesen neuen Varianten aktualisiert wurde.
Die globale Verbreitung des Wurms entspricht durchaus dem Bild, das mit der ursprünglichen Einschätzung der Infektionszahl gezeichnet wurde. In Hinblick auf die Peer-Zahl heben sich Brasilien und Chile deutlich ab:

Allerdings scheint keine einzige Region auf der Welt von Infektionen verschont geblieben zu sein. Aufgrund der unterschiedlichen Auflösung der verwendeten GeoLocation-Datenbanken für IP-Adressen ist die Punktdichte in einem Land jedoch nicht repräsentativ für die Anzahl an Infektionen:

Bei einem genaueren Blick auf die USA stellt man fest, dass in deren östlichen Staaten mehr P2P-Knoten laufen als im westlichen Teil:

Eine interessante Tatsache, die wir durch die Beobachtung des Netzwerks herausfinden konnten, ist, dass es wegen der Größe der von jedem Knoten betriebenen Peer Caches sehr schnell möglich ist, den Kern des Netzwerks (der gut vernetzt ist) auszumachen. Innerhalb der ersten zwanzig Minuten stellten wir fest, dass 10,4% der gesamten Peer-Population nicht das exponentielle Wachstum aufwies, wie es im Falle kleinerer Peer Caches erwartet worden wäre:

Daher ist anzunehmen, dass ein Knoten stabile Verbindungen aufrecht halten kann, sobald er einen anderen infizierten Knoten, der bereits mit dem Netzwerk verbunden ist, gefunden hat, und dass eine Separation des Netzwerks unwahrscheinlich ist. Allerdings scheint das Auffinden dieses ersten Knotens für einige Hosts relativ schwierig zu sein: So haben wir eine ganze Reihe Knoten ausgemacht, die mit keinem anderen Knoten verbunden waren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.