Das Georgia Institute of Technology hat unter dem Titel „A Lustrum of Malware Network Communication: Evolution and Insights” eine Studie veröffentlicht, die für eine neue Herangehensweise beim Aufspüren von Schadsoftware plädiert. Anstatt nach der Malware selbst zu suchen, sollten Unternehmen lieber auf die Symptome achten, die auf eine Infektion hinweisen. Auf diese Weise ließe sich Schadsoftware erheblich schneller erkennen als mit herkömmlichen Methoden.
Für ihre Untersuchungen bekamen die Wissenschaftler Zugriff auf die Daten eines großen amerikanischen Internet Service Providers. Sie analysierten rund fünf Milliarden Netzwerk-Ereignisse aus den vergangenen fünf Jahren, untersuchten die DNS-Abfragen von etwa 27 Millionen Malware-Samples und studierten die Registrierung von bereits abgelaufenen Domains. Die Hypothese für diesen Ansatz war, dass Malware nahezu immer mit einem Command & Control-Server im Internet kommuniziert. Diese Netzwerk-Kommunikation ist wie das Fieber, das bei Menschen und Tieren auf eine Erkrankung hinweist. Wenn es gelänge, diesen Netzwerk-Traffic frühzeitig zu erkennen, würde auch die Malware schneller entdeckt und könnte weniger Schaden anrichten.
Wonach muss man suchen im Traffic-Sturm?
Und die Ergebnisse der Untersuchung geben den Forschern recht. Zum Zeitpunkt, wenn die Malware selbst aufgespürt wird, ist es in vielen Fällen schon beinahe zu spät. Denn dann sind die Command & Control-Server und die Verbindung zur Schadsoftware bereits seit Wochen oder sogar Monaten aktiv. In dieser Zeit können sie ungestört Informationen sammeln und Schaden anrichten. So fanden die Wissenschaftler bei der Auswertung der Daten rund 300.000 Malware-Domains, die mindestens zwei Wochen vor der Entdeckung der zugehörigen Schadsoftware im Netz erreichbar waren.
Die Schwierigkeit bei diesem Ansatz ist natürlich, den Netzwerk-Traffic zu identifizieren, der auf die Präsenz einer Malware hinweist. Ein Indikator sind beispielsweise DNS-Abfragen zu verdächtigen Server-Adressen. Leider sind die diversen Blacklists im Internet selten so aktuell, dass sie eine sichere, ständig aktuelle Unterscheidung zwischen „guten“ und „bösen“ Servern erlauben würden. Als ein weiterer Indikator erwies sich eine signifikante Zunahme von Abfragen nach dynamischen DNS-Adressen. Sie sind bei Kriminellen sehr beliebt, da die Registrierung bei vielen Anbietern kostenlos ist und sie eine Möglichkeit bieten, schnell und unkompliziert eine Domain aufzusetzen. Die Forscher hatten zudem im Vorfeld vermutet, dass auch die erneute Registrierung von abgelaufenen Domains ein Zeichen für einen Command & Control-Server sein könnte, was sich bei der Analyse der Daten jedoch nicht bestätigte.
Das Fazit dieser Studie ist, dass sich über eine Überwachung des Netzwerkverkehrs Malware tatsächlich erheblich früher aufspüren lässt als etwa durch ein Antiviren-Programm. Letztlich ist es dazu allerdings erforderlich, dass der Administrator den normalen, virenfreien Netzwerkverkehr möglichst weitgehend analysiert und zuordnet, so dass der zusätzliche Traffic einer Schadsoftware sofort auffällt.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.