Malware-Vorhersage Internet Storm Center sucht Anomalien im Web Traffic

Autor / Redakteur: Manuel Schönthaler* / Stephan Augsten

Je eher eine Malware erkannt wird, desto weniger Schaden kann sie anrichten. Das Internet Storm Center sucht deshalb nach Traffic-Anomalien im World Wide Web. In diesem Beitrag sehen wir uns genauer an, wie die Sicherheitsforscher in Florida dabei vorgehen.

Firmen zum Thema

Über verschiedene Tools des ISC-Blogs wird unter anderem die TCP/UDP-Port-Aktivität im Internet gemessen und dargestellt.
Über verschiedene Tools des ISC-Blogs wird unter anderem die TCP/UDP-Port-Aktivität im Internet gemessen und dargestellt.
(Bild: SANS Institute)

In den vergangenen Jahren haben Hacker-Angriffe mit ausgefeilter Schadsoftware – Viren, Würmer und Bots – kontinuierlich zugenommen. Dabei werden inzwischen nicht mehr einzelne Computersysteme manuell infiltriert. Über manipulierte Webseiten oder präparierte E-Mail können Hacker abertausende von Rechnern automatisch infizieren und dann beispielsweise auf Passwörter oder Benutzeroberflächen zugreifen.

Um diesen Angriffen effektiv zu begegnen, ist eine frühe Lokalisierung von Malware im Netz unerlässlich. Nun ist das Aufspüren einzelner Malware für gewöhnlich mit einem erheblichen Zeitaufwand verbunden. Doch es besteht eine zeitsparende Alternative.

Die massenhafte Ausbreitung von Malware gibt sich in den Datenströmen des Internets als Anomalie zu erkennen. Daher bietet sich aus einer globalen Perspektive die Möglichkeit, derlei Schadsoftware frühzeitig zu erkennen, so dass rechtzeitig Gegenmaßnahmen ergriffen werden können. Solch eine globale Perspektive bietet das Internet Storm Center (ISC).

Ausgestattet mit einem in unzählige Computersysteme von Freiwilligen implementierten Sensoren-Netzwerk arbeitet dieses Frühwarnsystem wie ein digitaler Wetterdienst, der regional und global Anomalien im Netz zum Vorschein bringt und auswertet. So können massierte Angriffe frühzeitig lokalisiert und zielgenau angegangen werden.

Von der Website zur Datenbank

Gegründet wurde das ISC bereits im Jahr 2001 in Jacksonville, Florida. Sein Ursprung liegt in der Website Incidents.org, die Ende der 1990er vom SysAdmin, Networking and Security Institut, auch bekannt als SANS Institute, ins Leben gerufen worden war. Ursprünglich wollte man die Computeranlagen privatwirtschaftlicher und staatlicher Einrichtungen bei der Umgehung des Millenium-Bugs zu unterstützen.

Nachdem diese Aufgabe erfolgreich abgeschlossen worden war, wurde die Website Anfang 2000 vom SANS-Institut um das Programm DShield erweitert. DShield geht auf Dr. Johannes Ulrich, den damaligen Gründer und heutigen Leiter des ISC zurück. Seine Idee war es, aktuelle Firewall-Logs aus der ganzen Welt in einer Datenbank zu bündeln und so zur Anhebung der Sicherheit aller mit dem Internet verbundenen Computersysteme beizutragen.

Es entstand eine sogenannte Consensus Incidents Database (CID) für Intrusion Detection Log-Einträge. Bereits im März 2000 gelang damit ein erster größerer Fund: der Wurm Li0n. Da er in einem frühen Verbreitungsstadium entdeckt wurde, konnten rechtzeitig Gegenmaßnahmen eingeleitet und größere Schäden abgewehrt werden.

Dieser Erfolg ermutigte das SANS-Institut, weitere Investitionen in das CID-Projekt zu tätigen, so dass es zügig ausgebaut werden konnte. Noch im November 2000 begann es damit, den gesamten Internet-Verkehr auf Anomalien zu überwachen. Wenige Monate später wurde der Name des CID geändert, um dessen erweitertem Aufgabenbereich gerecht zu werden: Das Internet Storm Center war geboren.

Sensoren und Honeypots schaffen mehr Sicherheit

Um effektiv arbeiten zu können, benötigt das ISC eine ständige Zufuhr von Log-Einträgen. Täglich erreichen es mehrere Millionen dieser Datenpakete von rund 500.000 unterschiedlichen IP-Adressen aus über 50 Staaten. Sie stammen größtenteils von Privatpersonen, die sie dem ISC über eine freie Software senden und zur Verfügung stellen. Hinzu kommt eine wachsende Zahl von Unternehmen, die sich inzwischen ebenfalls bereit erklärt hat, mit ihren Log-Einträgen zum Erfolg des ISC beizutragen.

Alle Beteiligten bilden ein Netz von Sensoren, das über die gesamte Welt verteilt das Internet auf ungewöhnliche Datenströme hin überwacht. Während hierbei ursprünglich vor allem Log-Einträge von Firewalls gesammelt wurden, bilden zunehmend auch Honeypots eine lohnende Informationsquelle.

Erreichen die Daten das ISC, werden sie in das DShield-Programm eingespeist. Es verarbeitet die Informationen automatisch und ermöglicht es, die gewaltige Datenmenge und in kurzer Zeit zu analysieren. Hierfür stehen mehrere Dutzend freiwillige IT-Sicherheitsexperten zur Verfügung. Sie überprüfen, ob es sich bei einer Anomalie um eine echte Malware-Attacke handelt und ordnen dieser dann einem Gefährdungsgrad zu.

All diese Informationen, die Analysen und Gedanken der Experten zu Anomalien und potenziellen Angriffstrends, werden gesammelt und täglich in sogenannten „Handler Diaries“ auf der Website des ISC veröffentlicht. In zusammengefasster Form werden sie zudem an die rund 100.000 Abonnenten des SANS Security Alert Consensus, weitere IT-Sicherheits-Analysezentren, Medien, öffentliche Foren und staatliche Sicherheitsdienste weitergereicht. Die an der Informationssammlung beteiligten Personen und Organisationen erhalten die Daten natürlich in ausführlicherer Form, um ihrem Engagement Rechnung zu tragen.

Mehr Sicherheit durch Vernetzung und Transparenz

Zusammenarbeit und Öffentlichkeit, diese Eigenschaften sind es, die das ISC auszeichnen: Die Fähigkeit, Daten in Echtzeit dezentral über den ganzen Erdball verteilt zu erfassen, diese dann zentral auszuwerten, aus den Analyseergebnissen regionale wie globale Angriffsmuster abzuleiten und schließlich der Öffentlichkeit frei zugänglich zu machen.

Mit diesen Informationen ausgestattet, kann neue ausgefeilte Schadsoftware schon in einem frühen Verbreitungsstudium erkannt, können infizierende Websites ausgemacht und entsprechende Abwehrmaßnahmen eingeleitet werden. Darüber hinaus bietet die Arbeit des ISC auf lange Sicht aber auch die Möglichkeit, Einsicht in die Entwicklung der Angriffsmuster zu nehmen und dadurch mit jedem Tag besser auf künftige Bedrohungslagen reagieren zu können.

So konnte das ISC zum Beispiel genau verfolgen, wie die Hackerszene nach dem gescheiterten Angriff mit dem Wurm Li0n im Jahr 2000 noch einige weitere Jahre auf Würmer setzte, inzwischen aber wohl auf den Einsatz von Bots umgeschwenkt hat. Auch konnte ein kontinuierlicher Anstieg der Angriffe auf Industrieunternehmen und damit von Vorfällen mit einem primär finanziellen Hintergrund festgestellt werden.

Hacker werden den Sicherheitsexperten wohl auch in Zukunft immer einen Schritt voraus sein. Das ISC kann aber entscheidend daran mitwirken, diesen Abstand nicht zu groß werden zu lassen.

* Manuel Schönthaler ist Direktor Deutschland beim SANS Institute.

(ID:43282550)