Wie Schädlinge ihren Netzwerkverkehr tarnen

Originalartikel von Sabrina Sioting, Threat Response Engineer

Cyberkriminelle stecken viel Aufwand in die Weiterentwicklung von Techniken, mit denen sie die Analyse und Entdeckung ihrer Schädlinge zu vermeiden suchen. Sie reagieren auf jede Verbesserung in den Sicherheitsprodukten mit einer weiterentwickelten Technik.

Stuxnet beispielsweise ebnete anderen Bedrohungsfamilien den Weg zur Nutzung der LNK-Schwachstelle. Conficker/DOWNAD förderte die Beliebtheit des Domain Generation Algorithm (DGA), der nun auch von weiterer Schadsoftware, wie ZeroAccess und TDSS, genutzt wird.

Das Ziel dieser Vemeidungstechniken ist einfach: Sie sollen eine frühe Entdeckung verhindern und es einem Angreifer ermöglichen, Fuß zu fassen auf der anvisierten Maschine. Das Forschungspapier Network Detection Evasion Methods: Blending with Legitimate Traffic” zeigt auf, wie manche Bedrohungen versuchen, der Entdeckung zu entkommen, indem sie sich in den normalen Netzwerkverkehr mischen. Dazu gehört der Verkehr durch Verbindungen zu Google und Microsoft Update und auch de durch beliebte Instant Messenger wie Yahoo!Messenger verursachte. Zu den Remote Access Trojans (RATs), die diese Methode anwenden, um unter dem Radar zu bleiben, gehören die folgenden:

  • FAKEM. Dieser RAT kommt üblicherweise in Spear-Phishing Mails vor und tarnt seine Netzwerkkommunikation als Windows Live Messenger, Yahoo! Messenger und HTML-Verkehr.
  • Mutator. oder Rodecap, wird in Verbindung gebracht mit dem Stealrat-Botnet. Der Trojaner lädt Stealrat-Module oder –Komponenten herunter, spooft in manchen Fällen seine HTTP-Header als „google.com” und mischt sich so unter den normalen Verkehr.

Die Liste ist nicht sehr lang und die Methoden sind einfach, doch zeigt das Papier, welche Fähigkeiten Cyberkriminelle haben, um ihre Techniken anzupassen und zu verbessern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*