Malware-Tarnung

Botnetz trickst Sicherheitstechnik aus

von - 01.07.2013
Malware-Tarnung: Botnetz trickst Sicherheitstechnik aus
Foto: stroemung GmbH
Neue Varianten des Spamming-Botnetzes Pushdo verstecken sich im allgemeinen Netzwerk-Verkehrsaufkommen und machen per DGA-Spezialalgorithmus eine Erkennung schwer.

Derzeit machen neue Varianten des Spamming-Botnetzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken. Dabei setzen die Angreifer vor allem auf die Tarnung der Netzwerk-Datenkommunikation, um sich vor Sicherheits-Tools zu verbergen. Diesbezüglichen haben die Angreifer ihre Techniken erheblich verbessert.
Die neuen Pushdo-Varianten bauen die nicht nur zu den Servern der Angreifer Verbindungen auf, sondern auch und wesentlich häufiger zu legitimen Webadressen, so Sicherheitsexperte Udo Schneider von Trend Micro. Außerdem generieren sie mittels eines neuen Domain Generation Algorithm (DGA) Webadressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Auf diese Weise produziert der Schädling eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist.
Diese Tarn- und Verwirrspieltechnik stellt für die zur Malware-Erkennung in Netzen genutzte Sandbox-Funktion ein Problem dar. Eine Sandbox arbeitet meist mit einer Positivliste. Ist diese unvollständig oder schlecht gepflegt, kommt es zu Fehlalarmen bei Webadressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen.
„Die neu aufgetauchten Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen“, so Schneider. Herkömmliche Abwehrmethoden wie das Erkennen der Dateisignatur reichen gegen diese Art von Malware nicht mehr aus. Den falschen Ködern ist nur mittels umfangreicher Analysen beizukommen, die außerhalb des zu schützenden Netzwerks liegen.

Fazit

Bleibt abzuwarten, wie schnell die Virenjäger entsprechende Lösungen erarbeiten, um das strukturierte Erzeugen und Besuchen von unverfänglichen Webadressen durch Malware zu bewältigen.
Verwandte Themen