Tarnung für Bot-Netze
Online-Gangster führen Sicherheitsanbieter in die Irre
In dem Film "Jagd auf Roter Oktober" mit Sean Connery und Alec Baldwin in den Hauptrollen setzt der Kommandant des supermodernen sowjetischen U-Boots unter anderem auf Köder, um der Zerstörung zu entgehen. Die Jagd auf Schädlinge, die infizierte Systeme etwa zu ferngesteuerten Zombierechnern machen, gleicht diesem Szenario immer mehr, erklärt Udo Schneider, Sicherheitsexperte beim IT-Sicherheitsanbieter Trend Micro. Auch wenn die Torpedos der Sicherheitshersteller immer besser werden. Zurzeit machen laut Schneider neue Varianten des Spamming-Bot-Netzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken.
Botnet mit über 550.000 Macs entdeckt
Kaspersky Lab identifiziert Bot-Trojaner auf 670.000 Computern
Trend Micro warnt vor erpresserischen Schadcode-Varianten
Wer Böses im Schilde führt, tut am besten harmlos. So bauen die neuen Bot-Net-Varianten nicht nur mit den kriminellen Servern Verbindungen auf, sondern auch und vor allem mit legitimen Web-Adressen. Außerdem generieren sie mittels eines neuen Algorithmus – Domain Generation Algorithm oder kurz DGA – Web-Adressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Im Ergebnis erzeugt der Schädling also eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist.
Dies stellt insbesondere für einen der neuen Torpedos im Arsenal der Sicherheitsanbieter ein Problem dar: die Sandbox. Diese arbeitet in der Regel mit einer White List. Ist diese unvollständig oder nur leidlich gepflegt, kommt es zu zahlreichen Fehlalarmen bei Web-Adressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht viel Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen.
Die neu aufgetauchten Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen. Das könnte speziell für Unternehmen ein Problem werden. Ein Spam-Bot-Netz mag noch harmlos erscheinen, aber wenn auch Online-Spione diese Köder einsetzen, ist das geistige Eigentum in Gefahr.
Den falschen Ködern ist laut Schneider nur mittels Informationen und Analyseergebnissen beizukommen, die außerhalb des zu schützenden Netzwerks liegen und mit den internen Informationen korreliert werden. Erst dann können die vor Ort installierten Abwehrmechanismen die falschen Fährten in kurzer Zeit erkennen und den Torpedo zuverlässig ins Ziel führen.
Weitere Informationen zu den neuen Pushdo-Varianten sind im deutschen Trend Micro-Blog erhältlich.
Lesen Sie mehr zum Thema
