100
07.11.2010, 18:08
Viele Botnets verwenden nach einem bestimmten Algorithmus generierte Domains, um den Kontakt zwischen den Command-and-Control-Servern (CnC-Servern) und den infizierten "Zombies" zu ermöglichen. Ein neu entwickeltes "Frühwarn-System" soll nun solche Domains erkennen und Admins dadurch auf Infektionen in ihrem Netzwerk aufmerksam machen.
Zahlreiche Botnets, darunter die berüchtigten Netze Conficker und Kraken, verwendeten entsprechend generierte Domains, um die Kommunikation sicherzustellen. Durch die Veränderung der Domains sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen CnC-Server und Bots zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Botnets herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.
Allerdings hat das Verfahren für die Botnet-Betreiber auch Nachteile. Einer davon: die generierten Domains weisen charakteristische Merkmale dafür auf, dass sie generiert und nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin Infektionen schnell entdecken können. Anschließend kann der Datenverkehr unterbunden und der betroffene Rechner gesäubert werden.
Quelle: Gulli.com
gulli.com - news - view - Analyse-Software soll Zombies entdecken (http://www.gulli.com/news/analyse-software-soll-zombies-entdecken-2010-11-06)
Zahlreiche Botnets, darunter die berüchtigten Netze Conficker und Kraken, verwendeten entsprechend generierte Domains, um die Kommunikation sicherzustellen. Durch die Veränderung der Domains sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen CnC-Server und Bots zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Botnets herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.
Allerdings hat das Verfahren für die Botnet-Betreiber auch Nachteile. Einer davon: die generierten Domains weisen charakteristische Merkmale dafür auf, dass sie generiert und nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin Infektionen schnell entdecken können. Anschließend kann der Datenverkehr unterbunden und der betroffene Rechner gesäubert werden.
Quelle: Gulli.com
gulli.com - news - view - Analyse-Software soll Zombies entdecken (http://www.gulli.com/news/analyse-software-soll-zombies-entdecken-2010-11-06)