Wie das ISC Schädlinge analysiert

Das Internet Storm Center (ISC) hat die Analyse eines unbekannten Bots veröffentlicht, welcher angeblich mittels verschlüsselter Peer-to-Peer-Kommunikation arbeitet und via AIM verbreitet wird. Das Dokument stammt nicht direkt vom ISC selbst, wird dort aber ohne weitere Korrekturen bereitgestellte. Es gibt meiner Ansicht nach mehrere Unstimmigkeiten, welche Zweifel an der Arbeitsweise des Verfassers aufkommen lassen:

  • Die Analyse behauptet, dass die Bots in einem Peer-to-Peer-Netzwerk kommunizieren würden, beweist dies allerdings nicht hinreichend. Der Autor identifiziert 22 (anscheinend fest codierte) IPs, mit welchen sein Bot Kontakt aufnehmen wollte. Als er dies zuließ, kam noch eine weitere Adresse hinzu. Da (dazu komme ich weiter unten) keine ausreichende Analyse des Codes und des Netzwerkverkehrs vorgenommen wurde, ist nicht sicher zu sagen, ob der Bot wirklich eine Liste weiterer Bot-Adressen von einem seiner Kommunikationspartner erhalten hat. Es könnte auch einfach eine Liste weiterer Server gewesen sein, oder der Client hat nach dem Zufallsmuster IPs gescannt. Der Autor stellt die Liste der 22 IPs nicht zur Verfügung und gibt auch nicht an, ob sie sich via Reverse DNS auflösen lassen.
  • Es gab keinerlei Analyse des Binärcodes. Ab diesem Moment werden sämtliche “Erkenntnisse” zu Vermutungen, und auch eine Aussage wie “The file distributed via the AIM link and %WINDIR%\System32\mstc.exe are identical – no other files are dropped, etc.” verliert ihren Wert, da eine solche Aktion dem Beobachter vielleicht einfach entgangen wäre. Man muss ja immer davon ausgehen, dass eine Schadsoftware Rootkit-Techniken anwendet. Soweit ich sehe, wird das Binary auch nicht zum Download angeboten.
  • Art und Funktion der angeblich verschlüsselten Kommunikation wurden nicht analysiert, sondern lediglich erraten (!). Die Aussage “It also does not use any human readable strings in its client/server communication” aus dem Text wird durch die Fußnote
    "I am using 'encrypted' in quotes because I have not identified the protocol -
     but it is not human-readable. I'm sorry if this sounds FUD-like, but I wanted to
     get the word out sometime *before* I had done hours of analysis!"

    und den Absatz (Auszug)

    One of the packets from the remote host contained a full 1460 bytes of data.
    (Other packets to/from 8/tcp on infected hosts thus far had contained 64 bytes of
    data or less.) There was no SSL/TLS negotiation evident, and again, the contents
    were not human readable. I haven't taken the time yet to see if it's something
    simple like XOR or Base64. I suspect the content was an updated list of other
    infected hosts.

    weiter ausgeführt. Mit Verlaub, das IST FUD. Man weiß nicht, was es ist, man weiß nicht, was es tut, aber Hauptsache man redet darüber.

  • Der Autor nimmt an, dass das P2P-Protokoll WASTE zum Einsatz kommt. Einziger “Zusammenhang”:
    "I realize that phatbot has been able to use Waste as the C&C for several
     years. However, I remember finding these botnets years ago, and the bots involved,
     and they typically were 600KB or more in size. The bot involved here is
     comparatively lean at 173KB."

    Das sagt alles und gar nichts, die Stelle kann auch ersatzlos gestrichen werden. Eine richtige Analyse hätte einfach den Sourcecode von WASTE (welcher ja frei verfügbar ist!) herangezogen, dann ließe sich die Frage nach WASTE auch klar mit ja oder nein beantworten.

  • Wenn der Bot wirklich P2P und Verschlüsselung verwendet, wäre das nichts neues. Wie der Autor selbst aussagt, kann Phatbot schon seit längerem mit WASTE.

Mal schauen was aus der Geschichte wird und ob brauchbarere Analysen auftauchen.