Viele Botnets wie Conficker,Kraken,Srizbi oder Sinowal verwenden nach einem bestimmten Algorithmus generierte Domains, um den Kontakt zwischen den Command-and-Control-Servern und den infizierten "Dronen" aufrecht zu erhalten. Ein neu entwickeltes "Frühwarn-System" (PDF) soll nun genau solche Domains erkennen und Admins dadurch auf Infektionen in ihrem Netzwerk aufmerksam machen.
Durch den Domain-Generation-Algorithmus (DGA) sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen dem C&C und seinen Dronen zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Bots herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.
Allerdings weisen die generierten Domains charakteristische Merkmale dafür auf, dass sie nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin eine Infektionen schnell entdecken können so das der Datenverkehr anschließend unterbunden und das betroffene System von der Malware gereinigt werden kann.
Quelle: http://gulli.com
09.11.2010 09:28 Uhr