News

Betrachtungen über das Kido/Conficker-P2P-Netzwerk

Georg Wicherski

Durch eine Verhaltensanalyse des Kido-Netzwerks waren wir in der Lage, ein Programm zu entwickeln, mit dem wir einen grundlegenden Einblick in die Kommunikationswege der Schadsoftware über das P2P-System gewinnen konnten. Dieses Netzwerk wurde von dem Schädling in den letzten Wochen dazu benutzt, sich selbst mit Updates zu unterhalten. Über einen Beobachtungszeitraum von 24 Stunden haben wir 200652 eindeutige betroffene IP-Adressen identifiziert, d.h. weitaus weniger als die ursprünglich erwartete Zahl an Infektionen.
Diese niedrigere Zahl ist hauptsächlich darauf zurückzuführen, dass das Peer-to-Peer-Netzwerk lediglich aus den neuesten Varianten des Conficker-Wurms gebildet wird, und dass lediglich ein Bruchteil der mit früheren Varianten befallenen Knoten mit diesen neuen Varianten aktualisiert wurde.
Die globale Verbreitung des Wurms entspricht durchaus dem Bild, das mit der ursprünglichen Einschätzung der Infektionszahl gezeichnet wurde. In Hinblick auf die Peer-Zahl heben sich Brasilien und Chile deutlich ab:

Allerdings scheint keine einzige Region auf der Welt von Infektionen verschont geblieben zu sein. Aufgrund der unterschiedlichen Auflösung der verwendeten GeoLocation-Datenbanken für IP-Adressen ist die Punktdichte in einem Land jedoch nicht repräsentativ für die Anzahl an Infektionen:

Bei einem genaueren Blick auf die USA stellt man fest, dass in deren östlichen Staaten mehr P2P-Knoten laufen als im westlichen Teil:

Eine interessante Tatsache, die wir durch die Beobachtung des Netzwerks herausfinden konnten, ist, dass es wegen der Größe der von jedem Knoten betriebenen Peer Caches sehr schnell möglich ist, den Kern des Netzwerks (der gut vernetzt ist) auszumachen. Innerhalb der ersten zwanzig Minuten stellten wir fest, dass 10,4% der gesamten Peer-Population nicht das exponentielle Wachstum aufwies, wie es im Falle kleinerer Peer Caches erwartet worden wäre:

Daher ist anzunehmen, dass ein Knoten stabile Verbindungen aufrecht halten kann, sobald er einen anderen infizierten Knoten, der bereits mit dem Netzwerk verbunden ist, gefunden hat, und dass eine Separation des Netzwerks unwahrscheinlich ist. Allerdings scheint das Auffinden dieses ersten Knotens für einige Hosts relativ schwierig zu sein: So haben wir eine ganze Reihe Knoten ausgemacht, die mit keinem anderen Knoten verbunden waren.

Betrachtungen über das Kido/Conficker-P2P-Netzwerk

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach