InterCloud soll beim Kampf gegen Botnetze helfen

Trend Micro hat einen neuen Dienst zur Bekämpfung so genannter Botnetze angekündigt. Bei Botnetzen handelt es sich um den Zusammenschluss von bis zu mehreren hunderttausend infizierten Rechnern, die von einem Command&Control-Server (C&C) gesteuert werden. Neben DDoS-Attacken werden Botnetze auch zum Spamversand, Klickbetrug und Phishing eingesetzt.

Der InterCloud Security Service (ICSS) getaufte Dienst richtet sich im Wesentlichen an Internet Service Provider, große Unternehmen respektive Universitäten und soll bei der Erkennung, Eindämmung und Bereinigung von Zombie-PCs helfen. Dabei kommt eine spezielle Appliance von Trend Micro zum Einsatz, die unter anderem Daten über DNS-Requests und BGP-Routing-Tabellen sammelt. Zusammen mit den vom Trend Micro Bot Identification Team gesammelten und an die Geräte verteilten Daten soll InterCloud mit seiner Behavioral Analysis Security Engine (BASE) abweichendes, botnetz-bezogenes Verhalten von PCs erkennen können. Verdächtige PCs werden dann automatisch in eine Art Quarantäne isoliert.

Die Idee, Bots im Netzwerk über DNS zu erkennen, ist nicht neu und wurde bereits Anfang des Jahres in einem Projekt der Universität Amsterdam vorgestellt (PDF). Allerdings ist es für einen Bot relativ einfach, die Analyse der DNS-Requests auszuhebeln, indem er den C&C-Server über feste IP-Adressen abfragt oder statt des internen einen externen DNS-Server nutzt, sofern etwa ICSS direkt die Query-Logs eines Name-Servers abfragt. Andernfalls müsste ICSS sämtliche DNS-Queries im LAN mitsniffen, um verdächtige Anfragen zu erkennen. Zudem zeichnet sich bereits eine neue Generation von Botnetzen ab, die P2P-Strukturen aufbauen und keinen zentralen C&C-Server mehr benötigen.

Siehe dazu auch: (dab)

• InterCloud Security Service, Produktbeschreibung von Trend Micro