Effektives Sammeln von Malware mit Honeypots
(Sorry folks, this posting is in German...)
Anlässlich des 13. DFN-CERT Workshop "Sicherheit in vernetzten Systemen" gibt es einen Artikel, der das Sammeln von Malware mit Hilfe von mwcollect beschreibt.
Abstract:
Ein Großteil der sich heutzutage autonom verbreitenden Malware infiziert weitere Opfer über bereits bekannte Schwachstellen in Netzwerkdiensten, die sich automatisiert exploiten lassen. Darüber hinaus tauchen immer mehr Bots auf, die auf der gleichen Quellcode-Familie basieren, jedoch oft mit unterschiedlichen und teilweise modifizierten Packern gepackt sind. Daher ist es wichtig, solche Malware automatisiert sammeln zu können, um effektiv neue Signaturen für Virenscanner zu erstellen oder das Verhalten von Botnetzen zu studieren.
Da es sich um bekannte Schwachstellen handelt, lassen sich reaktiv Pattern für diese Schwachstellen erstellen und ein Daemon kann implementiert werden, der verwundbare Services gegenüber sich autonom verbreitender Malware simuliert. Dabei ist es nicht nötig, diese Services vollständig und korrekt nachzubilden, sondern es ist ausreichend, eine vereinfachten Emulation der Dienste zu implementieren.
Einen solchen Daemon stellt das seit März 2005 vom Honeynet Project entwickelte Projekt mwcollect bereit.
Den vollständigen Artikel gibt es als effektives-sammeln-von-malware.pdf.
Anlässlich des 13. DFN-CERT Workshop "Sicherheit in vernetzten Systemen" gibt es einen Artikel, der das Sammeln von Malware mit Hilfe von mwcollect beschreibt.
Abstract:
Ein Großteil der sich heutzutage autonom verbreitenden Malware infiziert weitere Opfer über bereits bekannte Schwachstellen in Netzwerkdiensten, die sich automatisiert exploiten lassen. Darüber hinaus tauchen immer mehr Bots auf, die auf der gleichen Quellcode-Familie basieren, jedoch oft mit unterschiedlichen und teilweise modifizierten Packern gepackt sind. Daher ist es wichtig, solche Malware automatisiert sammeln zu können, um effektiv neue Signaturen für Virenscanner zu erstellen oder das Verhalten von Botnetzen zu studieren.
Da es sich um bekannte Schwachstellen handelt, lassen sich reaktiv Pattern für diese Schwachstellen erstellen und ein Daemon kann implementiert werden, der verwundbare Services gegenüber sich autonom verbreitender Malware simuliert. Dabei ist es nicht nötig, diese Services vollständig und korrekt nachzubilden, sondern es ist ausreichend, eine vereinfachten Emulation der Dienste zu implementieren.
Einen solchen Daemon stellt das seit März 2005 vom Honeynet Project entwickelte Projekt mwcollect bereit.
Den vollständigen Artikel gibt es als effektives-sammeln-von-malware.pdf.
".
