Technik

Nur scheinbar verwundbar

System beobachtet und analysiert Angreifer in Echtzeit

Um Botnetze zu studieren, benutzen die Bochumer IT-Forscher eine spezielle Art von Honeypots. Die Grundidee dahinter ist die Nachbildung (Emulation) von Schwachstellen: Sie emulieren die Teile eines Computersystems, die eine Schwachstelle enthalten und daher als Einfallstor während eines Angriffs dienen. Die Forscher spielen dem Angreifer dabei aber nur vor, ein verwundbares System zu betreiben, in Wirklichkeit haben sie aber die volle Kontrolle während des Angriffs. Dies erlaubt es ihnen, nach einem Angriff das System schnell wieder auf den Ursprungszustand zurückzusetzen. Dadurch können sie den Honeypot sofort wieder einsetzen, um neue Angriffe zu beobachten.

Wird der Honeypot angegriffen, so kann der Angreifer nicht unterscheiden, ob er ein reales System oder einen Köder angreift. Als Resultat können Holz und seine Kollegen automatisiert neue Exemplare von Schadsoftware „sammeln“; an einem typischen Tag können dies Hunderte sein. Eine manuelle Analyse der gesammelten Computerprogramme ist allerdings kaum möglich – vor allem deshalb nicht, weil die Analyse einer einzelnen Datei Tage oder sogar Wochen dauern kann.

Gekaperte Netzwerkressourcen liefern Daten zum Verhalten der Angreifer © Holz/RUB

Analyse in Echtzeit

Deshalb wurden in den letzten Jahren Techniken und Tools entwickelt, um eine automatisierte Analyse von Schadsoftware durchführen zu können. Der Schwerpunkt der Bochumer Forschung liegt dabei auf der dynamischen Analyse von Programmen: Das zu untersuchende Programm wird in einer speziellen Umgebung ausgeführt, in der man zur Laufzeit das Verhalten des kompletten Systems beobachten kann. Um das zu erreichen, erweitern die Forscher bestimmte Teile des Systems um Komponenten, die Veränderungen aufzeichnen und ihnen einen detaillierten Überblick zu den einzelnen Aktionen eines Programms liefern. Dadurch können sie beispielsweise Änderungen am Dateisystem oder an der Windows Registry beobachten sowie den Netzwerkverkehr aufzeichnen.

Nach dem Abschluss der dynamischen Analyse wird ein Verhaltensreport erstellt, der das beobachtete Verhalten zusammenfasst. Im Fall der Analyse eines Bots enthält ein solcher Report die Adresse des C&C-Servers sowie Informationen über das verwendete Kommunikationsprotokoll. Man erhält damit wertvolle Informationen über das zu der analysierten Schadsoftware gehörende Botnetz.

Eine solche Analyse ist technisch allerdings sehr anspruchsvoll, vor allem, weil die Forscher keinen Quellcode der Schadsoftware besitzen, sondern sie im Binärformat analysieren müssen: Sie führen die Untersuchung auf einer sehr niedrigen Ebene aus, indem sie die einzelnen Befehle studieren, die das Programm auf dem Prozessor eines Computers ausführt. Darüber hinaus haben sie einen intelligenten Gegenspieler: Der Angreifer möchte ihnen das Leben schwer machen und entwickelt deshalb Techniken, um eine automatisierte Analyse kompliziert zu gestalten. Viel Entwicklungszeit ist deshalb nötig, um robuste und effiziente Analysetechniken zu entwickeln.

  1. zurück
  2. |
  3. 1
  4. |
  5. 2
  6. |
  7. 3
  8. |
  9. 4
  10. |
  11. 5
  12. |
  13. 6
  14. |
  15. weiter

Thorsten Holz / RUBIN – Wissenschaftsmagazin der Ruhr-Universität Bochum
Stand: 16.11.2012

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

Inhalt des Dossiers

Hacker im Honigtopf
Elektronische Köder locken Internet-Angreifer in die Falle

Gekaperte Rechner
Von Bots, Botnetzen und DdoS-Angriffen

Elektronischer Honigtopf als Köder
Wie funktionieren Honeypots?

Nur scheinbar verwundbar
System beobachtet und analysiert Angreifer in Echtzeit

Der Gegenangriff
Spione im gegnerischen Netz

Kontrolle über 120.000 Rechner
Forscher knacken Spam-Botnetz

Diaschauen zum Thema

News zum Thema

Spam-Flut muss nicht sein
Fraunhofer-Studie untersucht Spam-Aufkommen bei kostenlosen E-Mail-Diensten

Weltweit größter Schlag gegen Spam-Netzwerk
Konzertierte Aktion legt „Waledac- Botnetz" lahm

Dossiers zum Thema