01.07.2013
Malware-Tarnung
Botnetz trickst Sicherheitstechnik aus
Autor: Michael Rupp
Foto: stroemung GmbH
Neue Varianten des Spamming-Botnetzes Pushdo verstecken sich im allgemeinen Netzwerk-Verkehrsaufkommen und machen per DGA-Spezialalgorithmus eine Erkennung schwer.
Derzeit machen neue Varianten des Spamming-Botnetzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken. Dabei setzen die Angreifer vor allem auf die Tarnung der Netzwerk-Datenkommunikation, um sich vor Sicherheits-Tools zu verbergen. Diesbezüglichen haben die Angreifer ihre Techniken erheblich verbessert.
Die neuen Pushdo-Varianten bauen die nicht nur zu den Servern der Angreifer Verbindungen auf, sondern auch und wesentlich häufiger zu legitimen Webadressen, so Sicherheitsexperte Udo Schneider von Trend Micro. Außerdem generieren sie mittels eines neuen Domain Generation Algorithm (DGA) Webadressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Auf diese Weise produziert der Schädling eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist.
Diese Tarn- und Verwirrspieltechnik stellt für die zur Malware-Erkennung in Netzen genutzte Sandbox-Funktion ein Problem dar. Eine Sandbox arbeitet meist mit einer Positivliste. Ist diese unvollständig oder schlecht gepflegt, kommt es zu Fehlalarmen bei Webadressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen.
„Die neu aufgetauchten Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen“, so Schneider. Herkömmliche Abwehrmethoden wie das Erkennen der Dateisignatur reichen gegen diese Art von Malware nicht mehr aus. Den falschen Ködern ist nur mittels umfangreicher Analysen beizukommen, die außerhalb des zu schützenden Netzwerks liegen.
Fazit
Bleibt abzuwarten, wie schnell die Virenjäger entsprechende Lösungen erarbeiten, um das strukturierte Erzeugen und Besuchen von unverfänglichen Webadressen durch Malware zu bewältigen.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>
Termine
SecDays - Securepoint geht auf Tour
Der Sicherheitsspezialist Securepoint erwartet auf seiner Roadshow rund 1.000 Systemhäuser und Fachhändler. Unter dem Motto „Horizon“ erfahren diese Neues über die Channel- und Produktstrategie des Herstellers.
>>