VirusTotal analysiert Netzwerkverkehr
Der populäre Scan-Dienst Virustotal, der über 20 Antiviren-Scanner unter einem Dach vereint, fahndet jetzt auch in Mitschnitten von Netzwerkverkehr nach Anzeichen von Schädlingen.
Der populäre Scan-Dienst Virustotal, der über 20 Antiviren-Scanner unter einem Dach vereint, fahndet jetzt auch in Mitschnitten von Netzwerkverkehr nach Anzeichen von Schädlingen. Statt einer verdächtigen EXE-, PDF- oder HTML-Datei lädt man dazu aufgezeichnete Netzwerk-Pakete im dafür üblichen PCAP-Format hoch.
Ein solcher Mitschnitt von Netzwerkverkehr lässt sich etwa mit Sniffern wie Wireshark oder tcpdump erstellen. Virustotal extrahiert daraus dann alle übertragenen Dateien und wirft sie den bereits bekannten Virenscannern vor; registrierten Nutzern stellt Virustotal diese Dateien dann auch zur Verfügung. Darüber hinaus analysiert der Scan-Dienst den Netzwerkverkehr auch mit den Intrusion Detection Systemen Snort und Suricata. Die erkennen darin dann etwa die Kommunikation eines Botnetz-Clients mit seinem Kontrollserver oder typische Angriffsmuster.
Allerdings muss man sich bei dieser Art der Analyse mit dem Gedanken anfreunden, dass man häufig Meldungen wie "Potentially Bad Traffic" erhält und dann selbst entscheiden muss, ob es sich vielleicht um einen Fehlalarm handelt. Ebenfalls interessant sind Zusatzinformationen, die bei der Analyse anfallen und Aufschlüsse über die Aktivitäten im Netz geben können. So listet Virustotal alle gefundenen DNS-Anfragen und die Abrufe von Web-Seiten (HTTP-Requests).
Im Prinzip kann man all die Analysen, die Virustotal durchführt, auch Stück-für-Stück von Hand machen. Insgesamt richtet sich die neue Analysefunktion weniger an unbedarfte Laien, denen Meldungen wie "NETBIOS SMB-DS DCERPC NetrpPathCanonicalize request (possible MS06-040)" nicht sonderlich viel sagen dürfte. Doch einem Administrator oder Sicherheitsspezialisten liefert es sehr flott nützliche Erkenntnisse. (kbe)
