Falsche Köder: Online-Gangster führen Sicherheitsanbieter in die Irre

Ein Kommentar von Udo Schneider, Sicherheitsexperte und Pressesprecher beim IT-Sicherheitsanbieter Trend Micro

Tags: #pushdo #bot #botnet #botnetz #cyberkriminelle #cyberspione #sandbox #security #sicherheit #trendmicro #korrelation #smartprotectionnetwork #spn #news #nachrichten #malware #spam #datenverlust #datendiebstahl #angriff

Hallbergmoos, 01. Juli 2013. In dem Film „Jagd auf Roter Oktober“ mit Sean Connery und Alec Baldwin in den Hauptrollen setzt der Kommandant des supermodernen sowjetischen U-Boots unter anderem auf Köder, um der Zerstörung zu entgehen. Die Jagd auf Schädlinge, die infizierte Systeme etwa zu ferngesteuerten Zombierechnern machen, gleicht diesem Szenario immer mehr. Auch wenn die Torpedos der Sicherheitshersteller immer besser werden – zurzeit machen neue Varianten des Spamming-Botnetzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken.

Wer Böses im Schilde führt, tut am besten harmlos. So bauen die neuen Botnetz-Varianten nicht nur mit den kriminellen Servern Verbindungen auf, sondern auch und vor allem mit legitimen Webadressen. Außerdem generieren sie mittels eines neuen Algorithmus – Domain Generation Algorithm oder kurz DGA – Webadressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Im Ergebnis erzeugt der Schädling also eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist.

Dies stellt insbesondere für einen der neuen Torpedos im Arsenal der Sicherheitsanbieter ein Problem dar: die Sandbox. Diese arbeitet in der Regel mit einer White List. Ist diese unvollständig oder nur leidlich gepflegt, kommt es zu zahlreichen Fehlalarmen bei Webadressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht viel Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen.

Die neu aufgetauchten Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen. Das könnte speziell für Unternehmen ein Problem werden. Ein Spam-Botnetz mag noch harmlos erscheinen, aber wenn auch Online-Spione diese Köder einsetzen, ist das geistige Eigentum in Gefahr.

Den falschen Ködern ist nur mittels Informationen und Analyseergebnissen beizukommen, die außerhalb des zu schützenden Netzwerks liegen und mit den internen Informationen korreliert werden. Erst dann können die vor Ort installierten Abwehrmechanismen die falschen Fährten in kurzer Zeit erkennen und den Torpedo zuverlässig ins Ziel führen.

Weitere Informationen zu den neuen Pushdo-Varianten sind im deutschen Trend Micro-Blog erhältlich.

 

Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Senior Manager PR Communications DACH antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.