Suchen

Suchmaschine spürt Schadcode-Schleudern auf Google bekämpft Malware-Websites mit Antivirus-Tools und Algorithmen

| Redakteur: Stephan Augsten

Bösartige und infizierte Webseiten können zu richtigen Malware-Schleudern werden, wenn sie in den Top-Suchergebnissen von Google, Bing und Co. gelistet werden. Im Rahmen der Sicherheitskonferenz SecTor 2010 hat der größte Suchmaschinen-Anbieter Google gezeigt, wie er infizierte Webseiten identifiziert.

Firma zum Thema

Bösartige Webseiten im Fokus: Google macht sich selbst auf die Suche nach infizierten und manipulierten Webseiten.
Bösartige Webseiten im Fokus: Google macht sich selbst auf die Suche nach infizierten und manipulierten Webseiten.
( Archiv: Vogel Business Media )

Drive-by-Downloads sind eine der hinterlistigsten Angriffsarten im Web, da die Malware über meist ungepatchte Zero-Day-Schwachstellen in ein System vordringt. Der Anwender selbst bekommt davon nur selten etwas mit und muss sich auf Antivirus-Techniken wie Heuristik oder Verhaltenserkennung verlassen.

Um die Abwehr von Internet-Gefahren kümmern sich aber nicht nur die Security-Hersteller, sondern auch Suchmaschinen-Anbieter. Immerhin haben diese einen „direkten Draht“ zu den Websites, die mit Schadcode infiziert oder eigens zur Malware-Verbreitung aufgesetzt wurden.

Fabrice Jaubert vom Google Antimalware-Team ist im Rahmen der SecTor-Konferenz 2010 auf die Bemühungen seines Arbeitgebers eingegangen, Schadcode-Schleudern mithilfe eigens entwickelter Algorithmen zu identifizieren. Millionen infizierter Webseiten habe Google schon entdeckt und geblockt.

Bis zu 1,5 Prozent der Google-Suchergebnisse verlinken laut Jaubert auf bösartige oder manipulierte Webseiten. Reine Spam-Seiten machten dabei den größten Anteil aus und könnten relativ einfach durch ein Ingenieursteam vom Suchindex entfernt werden. Doch reine Malware-Schleudern verbleiben laut Jaubert oft im Index und müssten mithilfe der Google-Algorithmen gefunden werden.

Auf jede Aktion…

Der Scan-Prozess beginnt damit, dass virtuelle Windows-Maschinen per Internet-Explorer ins Web gehen und sämtlichen Traffic protokollieren und überwachen. Alle initiierten Prozesse, jede neue Datei und sämtliche Registry-Änderungen werden der jeweiligen Website zugeordnet, heruntergeladene Dateien mithilfe einer Antivirus-Software gescannt. Anschließend werden die gesammelten Informationen mit den Daten der Google-Webcrawler in Beziehung gesetzt.

Die eigentliche Herausforderung besteht laut Jaubert darin, dass der Kampf gegen die Cyber-Kriminellen ein typisches Katz-und-Maus-Spiel darstellt. Die Kräfteverhältnisse könnten sich tagtäglich verschieben.

… folgt eine Reaktion

„Das entspricht in weiten Teilen dem Antivirus-Prozess“, erläutert Jaubert. „Machen wir Fortschritte bei der Identifizierung, dann finden die bösen Jungs ein neues Schlupfloch.“ In den vergangenen zwölf Monaten hätten die Angreifer beispielsweise die Entdeckung ihrer infizierten Server durch Redirects auf „unschuldige“ Server erschwert.

Ein großes Problem geht von Webseiten aus, über die gefälschte Antivirus-Produkte beworben und verteilt werden. Fake-AV-Software mutiert derart schnell, dass Antivirus-Signaturen nicht mehr Schritt halten können. Also muss Google eigene Algorithmen entwerfen und stetig weiterentwickeln, um entsprechende Webseiten aufzuspüren. „Aktuelle Fake-AV-Seiten gehen innerhalb einer Stunde on- und wieder offline“, berichet Jaubert, „es ist also sehr schwierig sie zu stoppen.“

(ID:2048016)