Zombie Detektor? 50 Jahre altes Tool soll helfen Botnets aufzuspüren

Ein statistisches Tool, das erstmals 1966 genutzt wurde und derzeit vorrangig bei Sprach- und Gestenerkennungen Anwendung findet, soll Forschern zufolge geeignet sein um Botnets aufzuspüren. Wie Sience Daily berichtet, wird mit dem Tool das Verhalten von Computern überprüft und prognostiziert, um infizierte von gesunden Computern zu unterscheiden.

Forscher des PSG Kollege für Technologie in Coimbatore, Indien, haben dieses Tool entwickelt, mit dem jegliche Computeraktivitäten umgehend analysiert werden. In einem Bericht von Slashdot wird der Prozess, bei dem Zombie-Computer von gesunden unterschieden werden, mit dem „Versuch, einen Goldfisch in einem riesigen Aquarium zu identifizieren“ verglichen.

Das Tool nutzt ein Hidden-Markov-Model – ein statistisches Analysewerkzeug –, das ein- und ausgehende Datenpakete verfolgt, um Voraussagen darüber zu treffen, wie sich ein infizierter Computer verhalten wird und das mit dem Verhalten gesunder Computer vergleicht. Für dieses Vorgehen brauchen die Forscher nicht einmal Informationen aus der History eines Systems.

Laut der Forscher kann das Team mithilfe des Semi-Markov-Prozesses Merkmale der Internetaktivitäten von Computern, die unter Verdacht stehen von einem Botnet aus gesteuert zu werden, voraussagen. Über das Internetprotokoll werden ein- und ausgehende Datenpakete des Computers kontrolliert. Mit diesem Vorgehen kann das normale Verhalten von Computern ermittelt und Abweichungen aufgezeigt werden, ohne dafür die spezifischen Variablen zu nutzen, die auf eine Veränderung durch Malware hinweisen.

Zwar kann auch Antiviren-Software Malware aufspüren, aber Cyberkriminelle entwickeln ihre Techniken stets weiter, um diese Schutzfunktionen auszutricksen. Die Forscher sind der Meinung, dass ihr Tool eine zusätzliche Hilfe sein kann, um Botnets und Zombie-Computer schnell zu identifizieren und lahmzulegen.

Die Forscher machen darauf aufmerksam, dass Malware-Entwickler sich derzeit auf typische Web-Anwendungen konzentrieren, weil es hier aufgrund der unzähligen Datenpakte, die in einem Netzwerk hin und her geschoben werden und auf einzelnen Computer ein- und ausgehen, leichter ist, einen unbemerkten Zugriff zu erlangen. Sie gehen davon aus, dass ihr Hidden-Markov Tool eine gute und schnelle Aufspürlösung bietet, mit der Malware umgehend entdeckt werden kann. Bei einer weitreichenden Implementierung, so die Hoffnung, können diese Arten von Botnets schnell lahmgelegt und die Verbreitung von Zombie-Computern verhindert werden.

„In einem Unternehmen mit Tausenden von Computersystemen kann man die Identifizierung eines Zombie-Computers mit dem Versuch, in einem riesigen Aquarium einen Goldfisch zu finden, vergleichen: Wenn sich alle Fische nahezu gleich verhalten, ist es schwer den einen Fisch zu finden, der Böses im Sinn hat”, heißt es in dem Bericht von Slashdot. „Aber ein 50 Jahre altes statistisches Analysewerkzeug gibt nun neue Hoffnung. Mit dessen Hilfe werden Informationen über das Verhalten ausgeglichener Fische gesammelt, sodass von dieser Norm abweichende Verhaltensmuster identifiziert und die bösen Fische ausfindig gemacht werden können.“

Autor , We Live Security