Falsche Fährten

Pushido-Varianten punkten mit Domain Generation Algorithm. [...]

Die neuen Botnetz-Varianten bauen nicht nur mit den kriminellen Servern Verbindungen auf, sondern auch mit legitimen Webadressen. Außerdem generieren sie mittels eines neuen Algorithmus – Domain Generation Algorithm oder kurz DGA – Webadressen und verbinden sich mit diesen nach einem bestimmten Zeitplan. Im Ergebnis erzeugt der Schädling also eine Vielzahl von Verbindungsanfragen, die alle analysiert werden müssen, um zu entscheiden, welche davon gefährlich ist. Dies stellt insbesondere für einen der neuen Torpedos im Arsenal der Sicherheitsanbieter ein Problem dar: die Sandbox. Diese arbeitet in der Regel mit einer White List. Ist diese unvollständig oder nur leidlich gepflegt, kommt es zu zahlreichen Fehlalarmen bei Webadressen, die legitim sind. Bis diese Fehler entdeckt und korrigiert sind, vergeht viel Zeit und der Schädling kann währenddessen großen Schaden anrichten. Hinzu kommt: Sandbox-Analysen ohne Reverse Engineering sind meist nicht in der Lage, einen DGA zu identifizieren und daran den Schädling zu erkennen. Die neuen Pushdo-Varianten belegen, dass die Online-Kriminellen sich erfolgreich an die aufgerüsteten Abwehrmechanismen in einem Netzwerk anzupassen beginnen. Das könnte speziell für Unternehmen ein Problem werden. Ein Spam-Botnetz mag noch harmlos erscheinen, aber wenn auch Online-Spione diese Köder einsetzen, ist das geistige Eigentum in Gefahr. Den falschen Ködern ist nur mittels Informationen und Analyseergebnissen beizukommen, die außerhalb des zu schützenden Netzwerks liegen und mit den internen Informationen korreliert werden. Erst dann können die vor Ort installierten Abwehrmechanismen die falschen Fährten in kurzer Zeit erkennen.

* Udo Schneider ist Senior Manager PR Communications DACH bei Trend Micro.