Gastkommentar: Online-Gangster führen Sicherheitsanbieter mit Ködern in die Irre

Aktuell machen neue Varianten des Spamming-Botnetzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken. [...]

In dem Film „Jagd auf Roter Oktober“ mit Sean Connery und Alec Baldwin in den Hauptrollen setzt der Kommandant des supermodernen sowjetischen U-Boots unter anderem auf Köder, um der Zerstörung zu entgehen. Die Jagd auf Schädlinge, die infizierte Systeme etwa zu ferngesteuerten Zombierechnern machen, gleicht diesem Szenario immer mehr. Auch wenn die Torpedos der Sicherheitshersteller immer besser werden – zurzeit machen neue Varianten des Spamming-Botnetzes Pushdo die Runde, die mittels ausgefeilter Ködertechniken vom eigentlichen Ziel ablenken.

Wer Böses im Schilde führt, tut am besten harmlos. So bauen die neuen Botnetz-Varianten nicht nur mit den kriminellen Servern Verbindungen auf, sondern auch und vor allem mit legitimen Webadressen. Außerdem generieren sie mittels eines neuen Algorithmus – Domain Generation Algorithm oder kurz DGA – Webadressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Im Ergebnis erzeugt der Schädling also eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist.

Dies stellt insbesondere für einen der neuen Torpedos im Arsenal der Sicherheitsanbieter ein Problem dar: die Sandbox. Diese arbeitet in der Regel mit einer White List. Ist diese unvollständig oder nur leidlich gepflegt, kommt es zu zahlreichen Fehlalarmen bei Webadressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht viel Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen.

Die neu aufgetauchten Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen. Das könnte speziell für Unternehmen ein Problem werden. Ein Spam-Botnetz mag noch harmlos erscheinen, aber wenn auch Online-Spione diese Köder einsetzen, ist das geistige Eigentum in Gefahr.

Den falschen Ködern ist nur mittels Informationen und Analyseergebnissen beizukommen, die außerhalb des zu schützenden Netzwerks liegen und mit den internen Informationen korreliert werden. Erst dann können die vor Ort installierten Abwehrmechanismen die falschen Fährten in kurzer Zeit erkennen und den Torpedo zuverlässig ins Ziel führen.

*Udo Schneider ist Sicherheitsexperte und Pressesprecher bei Trend Micro.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*