Wieder Gefahr von DDoS-Attacken

Neues Hacker-Tool bedroht Netze von Unternehmen

15.09.2000
FRAMINGHAM (IDG) - Sicherheitsexperten haben ein neues Hacker-Tool entdeckt. Mit "Trinity" lassen sich die gefürchteten Distributed-Denial-of-Service-(DDoS-) Attacken auslösen. Angriffe können damit über Internet-Chat-Programme gestartet werden.

Trinity ist nach Einschätzung der Experten von Internet Security Systems (ISS) gefährlicher als "Tribal Flood Network" und "Trin00". Diese zwangen im Frühjahr dieses Jahres die Web-Server von Anbietern wie Ebay, Yahoo und CNN in die Knie. Im Prinzip funktioniert Trinity wie seine Vorgänger: Spezielle Agenten der Software werden zunächst auf möglichst vielen Rechnern im Web verteilt. Ein Hacker kann diese dann fernsteuern, um ein Opfer mit speziellen Anfragen regelrecht zu überfluten, was dann zu einem Denial of Service führt: Der Ziel-Server versagt seine Dienste.

Trinity ist speziell für Linux-Server geschrieben. Chris Rouland, Director der X-Force von ISS, befürchtet, das sich das Tool schon auf 400 Linux-Rechnern weltweit einnisten konnte. Vor allem in den USA, Rumänien und Australien seien infizierte Maschinen zu vermuten.

Das besondere an Trinity ist die Benutzung von Internet-Chat-Technologie zur Steuerung der Agentensoftware. Infizierte Rechner werden gezwungen, dem speziellen Internet-Relay-Chat- (IRC-)Kanal "#b3eblebr0x" beizutreten. Laut Rouland handelt es sich dabei um einen Untergrund-Channel, den Hacker zum Verteilen ihrer Tools benutzen. Dadurch braucht sich ein Angreifer nun seine mit einem Agenten verseuchten Opfer nicht mehr zu merken: "Alle Trinity-Agents melden sich danach in einem Chat-Raum", erklärt der Sicherheitsexperte. DDoS-Attacken ließen sich zudem viel leichter von dort aus starten.

Administratoren können bestimmte Maßnahmen ergreifen, um zu verhindern, dass Trinity sich auf ihren Rechnern einnistet. Sicherheits-Produkte wie der "Internet Scanner" von ISS sind laut Rouland in der Lage, das Programm zu entdecken. Außerdem empfiehlt er, die Ports 6665, 6666 und 6667 für IRC-Datenverkehr zu sperren. Darüber hinaus sei es ratsam, generell den Internet-Zugang zu Chat-Kanälen zu blocken: "Chat ist ein beliebter Weg, bösartigen Code zu verbreiten", warnt der Experte. So sei es möglich, Trojaner-Programme über Chat auf Rechner einzuschleusen.

Die Sicherheitsexperten wurden durch eine amerikanische Bildungseinrichtung auf Trinity aufmerksam gemacht. Diese hatte das Tool auf einigen ihrer Rechner entdeckt und gemeldet. ISS hat die Wirkungsweise dann über Re-Engineering analysiert. Da die Spezialisten dabei mehrfach auf den Begriff "Trinity" stießen, tauften sie das Hacker-Tool dementsprechend.