57806

BotHunter: Botnets aufspüren

06.08.2007 | 16:19 Uhr |

Eine neu entwickelte Software soll Rechner im lokalen Netzwerk aufspüren, die unter der Kontrolle eines Botnets stehen. Sie verwendet ein zum Patent angemeldetes Verfahren zur Erkennung Botnet-typischer Muster im Datenverkehr.

Nicht nur die PCs von Privatpersonen sind zunehmend mit Bots verseucht und zu fremdgesteuerten Spam-Schleudern mutiert. Auch in den Netzwerken von Unternehmen, Universitäten und Behörden tummeln sich die so genannten Zombies. Neben Privat-PCs mit DSL-Anschluss sind solche Rechner bei Botnet-Betreibern besonders beliebt. Sie verfügen oft über eine breitbandige Internet-Anbindung mit fester IP-Adresse und laufen täglich viele Stunden oder sogar rund um die Uhr. Jetzt hat das Forschungsprojekt Cyber-TA (Cyber-Threat Analytics) eine Software-Lösung namens BotHunter entwickelt, die solche Zombies aufspüren soll.

BotHunter läuft unter Linux und analysiert passiv den Datenverkehr im Netzwerk. Mit einem zum Patent angemeldeten Verfahren soll BotHunter typische Muster in der Kommunikation zwischen einem infizierten Rechner (Zombie) und dem Kontroll-Server im Internet erkennen. Wird ein solches Muster erkannt, sammelt BotHunter alle relevanten Informationen in einem umfassenden Bericht. Dieser Bericht enthält neben Angaben zu den beteiligten Rechnern etwa auch Kopien der Malware, die der verseuchte Rechner herunter geladen hat.

Eine spezielle Version von BotHunter ist bereits seit etwa einem Monat beim US-Militär und in Regierungsbehörden erfolgreich im Einsatz. Eine kostenlose öffentliche Version ist jetzt ebenfalls erhältlich. Das Installationspaket ist für die Linux-Distributionen Fedora, Novell/Suse und Debian geeignet und 3,6 MB groß. Vorausgesetzt wird unter anderem eine installierte Java-Laufzeitumgebung von Sun (JRE, Java Runtime Environment).

Das Forschungsinstitut SRI international , das an der Entwicklung von BotHunter beteiligt ist, betreibt ein so genanntes Honeynet, in dem BotHunter eingesetzt wird. Es sammelt Daten über aktive Botnets und ihre Kommando-Server. Die täglich veröffentlichten Analysen können sehr hilfreich zum Verständnis von BotHunter sowie der aktuell eingesetzten Malware sein. Einige Informationen, etwa die aufgefangene Malware selbst, sind in diesen öffentlich und kostenlos zugänglichen Berichten nicht enthalten.

0 Kommentare zu diesem Artikel
57806