Botnetz Check

Überprüfung des Botnetzes

Botnet-Check: Wie erkennt man Bots auf dem Heimnetzwerk? Bei vielen Virenscannern ist es schwierig, Roboter zu erkennen oder neue Roboter erst später in die Signaturliste und Verhaltensheuristik aufzunehmen. Die Hauptursache dafür ist das unauffällige Verhalten vieler Roboter. Die zweite Problematik ist die der Legitimität: Ein Mail-Server zum Versenden von Spam ist aufgrund der Verhaltensheuristik nur schwierig von einem Mail-Server zum Versenden von (legitimen) Newslettern zu trennen - und wie bereits im Kapitel "Unauffälligkeit" erwähnt: Rechtmäßige und illegale Grabungsprogramme unterschieden sich nur darin, ob derjenige, der die Elektrizitätsrechnung zahlt, auch die Cryptowährung hat.

Hier kommt eine unscheinbare Haltung vieler Viren-Scanner ins Spiel: Nahezu alle wissen den deutschen Ausdruck Potentially Unwanted Applications (PUA) oder Potentially Unwanted Programs (PUP), oft mit potentiell unerwünschter Zusatzsoftware umgesetzt. Für Heimvirenscanner ist die PUA-Erkennung normalerweise ausgeschaltet, da die Hersteller von Virusscannern davon ausgegangen sind, dass Benutzer und Verwalter gleich sind.

Bei eingeschalteter PUA-Erkennung entdecken viele Viren-Scanner auch Computerspiele (auf Firmen-PCs) oder Joker als potentiell ungebeten. Trotzdem: Trotz vieler Fehlalarme auf dem privaten PC kann die PUA-Einstellung oft rasch dazu beitragen, illegale Bitcoin Miner zu finden. Aber nicht jedes Rechnersystem im Haus beinhaltet einen Viren-Scanner - eigentlich sind Viren-Scanner die Ausnahme: Der Verfasser entdeckte in seinem Haus etwa 20 Linux-basierte Rechner auf ARM- oder MIPS-Prozessoren, das sind Smart-Phones, Tablet-PCs, ein unter Titen laufender TV, Netzwerk-Geräte wie Access Points und Powerline-Adapter, ein Internet-Radio und ein Himbeer-Pi.

Weil Malware in der Regel erst nach einem Restart startet und löscht, ist weder eine Auswertung des Betriebssystem-Images noch die Überprüfung bestehender Daten hilfreich. Infizierte IoT Geräte werden daher in der Regel über das Netz gefunden. Mithilfe des IDS ( "Intrusion-Detection-System ") können Sie den Datenverkehr im Netz automatisiert auswerten, um z. B. Verbindungen zu spezifischen C&C-Servern zu detektieren und einen Alarmsignal auszulösen.

In der Zwischenzeit haben die ersten Anbieter von DSL-Routern begonnen, gewisse Anforderungen zu beobachten und den Zugriff auf C&C-Server zu erfassen - kein vollwertiger IDS, sondern ein richtiger Fortschritt. Dies sind die grundlegenden Werkzeuge gegen Bot und Spyware: Flexikiller: Dieses Tool entfernt FlexySpy Stalking-Software besser als die meisten Viren-Scanner.

Mehr zum Thema