BotHunter spürt Zombie-PCs im LAN auf

Die Entwickler des Botnetz-Aufspür-Tools BotHunter haben in Version 1.0.1 mehrere neue Funktionen hinzugefügt, um noch schneller und zuverlässiger Bots im eigenen LAN aufzuspüren. Dazu gehört ein dynamischer Update-Service, mit dem das Bothunter-Tool automatisch neue Regeln und Blacklists übermittelt bekommt sowie eine grafische Oberfläche, mit der sich infizierte PCs anzeigen lassen.

BotHunter liest den Netzwerkverkehr mit und versucht, anhand verschiedener Analysen Verbindungen von Bots zum Bot-Herder zu erkennen. Dazu nutzt es unter anderem Listen bekannter Command&Control-Server, involvierter DNS-Server und zum Russian Business Network gehörender IP-Adressen. Zudem versucht es, Verbindungsabläufe zu erkennen und dies mit anderen Daten zu korrelieren. Daraus resultiert ein Wert, wie wahrscheinlich ein PC ein Bot ist.

Die Listen werden vom BotHunter-Hersteller SRI International anhand eigener Honeypots erstellt und per Update verteilt. Einer der Sponsoren des Projekts ist das US-Army Research Office (ARO). Das rund 10 MByte große BotHunter-Paket steht für Windows und Linux zum Download bereit. Wer das ganze ohne Installation testen möchte, kann sich das ISO-Image für eine Live-CD herunterladen. (dab)