Security

Abwehr von Botnet-Attacken

Mit ACDC gegen die Zombie-PCs

14.10.2013
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Alle Artikel des Autors
Email: Connect:

Online-Dienste von Sicherheitsanbietern

Online-Scanner wie der von F-Secure können dabei helfen, eine Bot-Infektion auf Endgeräte zu entdecken.
Online-Scanner wie der von F-Secure können dabei helfen, eine Bot-Infektion auf Endgeräte zu entdecken.
Foto: Screenshot F-Secure.com

Ob Teilnehmer am ACDC, ABBZ oder nicht, viele IT-Sicherheitsanbieter leisten einen Beitrag zur Bekämpfung der Botnets - zum Beispiel durch eigene (Online-)Scanner, die zum Aufspüren einer Bot-Infektion genutzt werden können. Beispiele sind Bitdefender QuickScan, Emsisoft Web Malware Scan, F-Secure Online-Scanner, McAfee Security Scan Plus, Panda Security ActiveScan 2.0, Seculert oder Trend Micro HouseCall und RUBotted.

Online-Scanner können zeitnah einen Eindruck über mögliche Verseuchungen auf dem Endgerät geben, wie Bitdefender bereits mit dem Namen Quick Scan zeigt.
Online-Scanner können zeitnah einen Eindruck über mögliche Verseuchungen auf dem Endgerät geben, wie Bitdefender bereits mit dem Namen Quick Scan zeigt.
Foto: Screenshot Bitdefender.de

Der wesentliche Vorteil des ACDC-Konzeptes besteht darin, dass in einem europaweiten Projekt mit 28 Partnern weitaus mehr Informationen über aktive Botnet-Attacken vorliegen werden, als es ein einzelner Sicherheitsanbieter leisten kann. Basis der Sicherheitsinformationen und damit der Botnet-Warnung und -Erkennung können bei einzelnen IT-Sicherheitsanbietern schließlich immer nur die Daten der Kundeninstallationen oder Nutzer sein, die einer Weiterleitung definierter Sicherheitsprotokolle zugestimmt haben.

Anti-Malware-Lösungen wie die von Kaspersky bieten einen erweiterten Schutz, indem zusätzlich zu den regelmäßigen Signaturupdates auch Informationen zu aktuellen Gefahren in Echtzeit ausgewertet werden.
Anti-Malware-Lösungen wie die von Kaspersky bieten einen erweiterten Schutz, indem zusätzlich zu den regelmäßigen Signaturupdates auch Informationen zu aktuellen Gefahren in Echtzeit ausgewertet werden.
Foto: Kaspersky Security Network (KSN), Screenshot O. Schonschek

So nutzen zum Beispiel verschiedene Kaspersky-Lösungen das sogenannte Kaspersky Security Network (KSN). Dieser Cloud-Dienst sammelt sicherheitsrelevante Informationen von Kaspersky-Nutzern, die einer Teilnahme an KSN zugestimmt haben. Auf Basis dieser Nutzerinformationen wird in Echtzeit nach aktuellen Bedrohungen wie zum Beispiel Botnets gesucht. Ein ähnliches Konzept verfolgen auch andere IT-Sicherheitsanbieter - Beispiele sind die Websense ThreatSeeker Intelligence Cloud oder Trend Micro mit Smart Protection Network. Laut Trend Micro werden jeden Tag mehr als sechs Terabyte an Risikosdaten aus der ganzen Welt gesammelt und ausgewertet, um einen Einblick in die verschiedenen Bedrohungsarten zu erlangen. Auf dieser Basis würden mehr als 200 Millionen Bedrohungen täglich erkannt und blockiert.

Botnet-Attacken und andere Malware-Angriffe lassen sich durch die Analyse umfassender Bedrohungsdaten besser und schneller erkennen. Das Beispiel Trend Micro Smart Protection Network zeigt, wie die Menge an täglich analysierten Daten, durchgeführten Prüfungen und entdeckten Gefahren in den vergangenen Jahren angewachsen ist.
Botnet-Attacken und andere Malware-Angriffe lassen sich durch die Analyse umfassender Bedrohungsdaten besser und schneller erkennen. Das Beispiel Trend Micro Smart Protection Network zeigt, wie die Menge an täglich analysierten Daten, durchgeführten Prüfungen und entdeckten Gefahren in den vergangenen Jahren angewachsen ist.
Foto: Trend Micro

Spezielle Anti-Bot-Scanner

Norton AntiBot ist eine spezialisierte Sicherheitslösung, die sich gezielt gegen die rapide zunehmende Übernahme und Fernsteuerung von Computern durch Botnetze richtet.
Norton AntiBot ist eine spezialisierte Sicherheitslösung, die sich gezielt gegen die rapide zunehmende Übernahme und Fernsteuerung von Computern durch Botnetze richtet.
Foto: Symantec

Generell bieten die professionellen Anti-Malware-Lösungen integrierte Funktionen wie Applikationskontrolle, Scanner, Firewall und Schwachstellensuche, um Bot-Infektionen verhindern, erkennen und beseitigen zu können. Trotzdem können spezielle Anti-Bot-Scanner zusätzlich Sinn geben, wenn eine Infektion vermutet wird, oder wenn bestimmte Anwendergruppen wie Operators eine Lösung suchen. Spezial-Tools zur Bot-Erkennung und -Bekämpfung sind beispielsweise F-Secure Antibot und Norton AntiBot. Trotz der ähnlichen Bezeichnung richten sich diese Produkte an ganz unterschiedliche Anwenderkreise: Das Norton-Produkt ist Teil von Norton AntiVirus und sucht nach Bot-Infektionen auf einzelnen Endgeräten, während das F-Secure-Produkt für Operateure zum Beispiel im Hosting-Business gedacht ist.

Das Check Point Anti-Bot Software Blade unterstützt beim Aufspüren von Bots.
Das Check Point Anti-Bot Software Blade unterstützt beim Aufspüren von Bots.
Foto: Check Point

Das Anti-Bot Software Blade von Check Point wurde speziell entwickelt, um Bots aufzuspüren und zu beseitigen. Die entsprechend konfigurierte Appliance analysiert den Netzwerkverkehr und bewertet für das Aufspüren von Bots verschiedene Risikofaktoren, blockiert die Kommunikation zwischen einer infizierten Maschine und den Botnet-Servern und kann mit bestehenden Sicherheitslösungen wie Intrusion Prevention, Anti-Malware/Anti-Spam oder URL-Filtering integriert werden.

Marktforscher wie IDC berichten, dass sich eine neue Produktgruppe unter den IT-Sicherheitslösungen bildet, die speziell gegen Gefahren wie Advanced Persistent Threats (APT) und Botnets helfen sollen. IDC nennt diese Lösungen Specialized Threat Analysis and Protection (STAP).

Zur Startseite