Slammer – war’s das?

Den Wurm Slammer (Helkern) und mich verbindet eine mittlerweile schon recht lange Beziehung. Am 25 Januar 2003 hatte ich meine erste „Feuertaufe“ als Virenanalyst bei Kaspersky Lab. Es war ein Samstag, und an diesem Wochenende hatte ich die Aufgabe, allein über den Strom eingehender verdächtiger Dateien zu wachen. Damals arbeitete ich gerade etwas mehr als einen Monat in der Firma.
An diesem Tag kam eine der grandiosesten Virenepidemien der Geschichte über das Internet – ein Wurm, der eine Sicherheitslücke im MS SQL-Server ausnutzte, infizierte innerhalb von fünfzehn Minuten mehrere hunderttausend Computer auf der ganzen Welt, und nach einigen Stunden war Südkorea vom Netz abgeschnitten.

Diese 376 Byte erwiesen sich als die erste Umsetzung eines so genannten „körperlosen“ Virus, der keine Kopien von sich im System erstellt und ausschließlich im Arbeitsspeicher vorkommt.

Seitdem sind bereits 8 Jahre vergangen, doch ungeachtet dessen hat Slammer bis heute im Internet überlebt und belegt in den Hitlisten der häufigsten Netzattacken stets einen der obersten Plätze. Millionen und Milliarden schädlicher Pakete werden nach wie vor jeden Tag verschickt, die sich ihre Opfer suchen und eine beträchtliche Menge an Junk-Traffic produzieren.

Am 9. März 2011 geschah etwas bisher Unerklärliches. Unser System zur automatischen Bedrohungsanalyse, Kaspersky Security Network, registrierte einen entscheidenden Rückgang der Zahl angreifender Stationen. Diese Statistik erhalten wir von dem Modul IDS (intrusion detection system), dessen Aufgabe in der Abwehr von Netzattacken besteht. Dabei bestimmt das System auch die Quelle der Attacke.

Werfen wir einmal einen Blick auf die folgende Grafik:

Man sieht, dass die Zahl der angreifenden Stationen, von denen aus die Pakete des Wurms verbreitet wurden, im Laufe der letzten Monate stark schwankte, doch nie unter die Marke von 200 000 Hosts pro Tag sank. Doch seit dem 9. März ist die Menge der Stationen praktisch um das 10-fache gesunken und beträgt zurzeit um die 15 000 Hosts pro Tag.

Unsere erste Annahme: Möglicherweise hängt dieser Rückgang mit dem Erdbeben in Japan und der anschließenden Abschaltung einer Reihe von Internet-Kanälen zusammen. Allerdings hat sich diese Theorie als falsch erwiesen. Bis zum „Absturz von Slammer“ registrierten wir auf dem Territorium dieses Landes nur etwa 150 mit diesem Wurm infizierte Stationen. Nach dem 11. März sank ihre Zahl auf 35, doch insgesamt können diese Zahlen keinen Einfluss auf die Gesamtzahl der Wurm-Quellen haben, die in die hunderttausende gehen.

Die zweite Theorie, die darauf basiert, dass der Wurm genau zu dem Zeitpunkt zu schwinden begann, als Microsoft turnusmäßig seine Patch-Sammlung veröffentlichte, klingt plausibel. Allerdings hatte nicht ein Patch dieses Tages etwas mit MS SQL zu tun. Zudem sind wir der Meinung, dass die Computer, die als Quellen des Wurms fungieren, nicht aktualisiert werden, denn auf ihnen läuft ein Wurm, der eine bereits im Jahr 2002 gestopfte Sicherheitslücke ausnutzt.
Eine weitere Theorie erklärt das Geschehene als Folge der Aktivität irgendeines großen Internet-Providers, der eine Filterung des Traffics an Port 1434 aktiviert hat (der vom Wurm angegriffene Port). Doch auch durch die Betrachtung der Situation nach Ländern und Regionen wird diese Theorie nicht bestätigt. Die TOP 10 der Länder und Regionen mit den meisten Angriffsquellen des Wurms stellte sich am 8. März, einen Tag vor dem „Absturz“, folgendermaßen dar:

Und so sahen die entsprechenden TOP 10 am 12. März aus:

In Kontinentalchina, dem Spitzenreiter des Rankings, ist der Rückgang der Wurm-Quellen am auffälligsten, doch ähnliche Veränderungen wurden auch in Russland, Brasilien, in den USA und in Spanien registriert. Nur Taiwan passt nicht in diese Reihe, denn hier wurde, ganz im Gegenteil, eine Zunahme verzeichnet. Im Übrigen widerlegen diese Daten praktisch die Idee vom Einfluss irgendeines großen Providers, da es ganz einfach keinen Provider gibt, der in allen diesen Ländern tätig ist.

Die Daten von dem drastischen Rückgang der Zahl der Angriffsquellen werden auch von dem Internet Storm Center SANS bestätigt:

Quelle: Internet Storm Center SANS Inst.

Die Fachleute dieser Organisation stellen sich ebenfalls die Frage nach den Gründen für diese Entwicklung, doch auch sie haben bisher keine Antwort gefunden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.