Um Botnetze zu studieren, benutzen die Bochumer IT-Forscher eine spezielle Art von Honeypots. Die Grundidee dahinter ist die Nachbildung (Emulation) von Schwachstellen: Sie emulieren die Teile eines Computersystems, die eine Schwachstelle enthalten und daher als Einfallstor während eines Angriffs dienen. Die Forscher spielen dem Angreifer dabei aber nur vor, ein verwundbares System zu betreiben, in Wirklichkeit haben sie aber die volle Kontrolle während des Angriffs. Dies erlaubt es ihnen, nach einem Angriff das System schnell wieder auf den Ursprungszustand zurückzusetzen. Dadurch können sie den Honeypot sofort wieder einsetzen, um neue Angriffe zu beobachten.

Wird der Honeypot angegriffen, so kann der Angreifer nicht unterscheiden, ob er ein reales System oder einen Köder angreift. Als Resultat können Holz und seine Kollegen automatisiert neue Exemplare von Schadsoftware „sammeln“; an einem typischen Tag können dies Hunderte sein. Eine manuelle Analyse der gesammelten Computerprogramme ist allerdings kaum möglich - vor allem deshalb nicht, weil die Analyse einer einzelnen Datei Tage oder sogar Wochen dauern kann.

Gekaperte Netzwerkressourcen liefern Daten zum Verhalten der Angreifer © Holz/RUB

Analyse in Echtzeit
Deshalb wurden in den letzten Jahren Techniken und Tools entwickelt, um eine automatisierte Analyse von Schadsoftware durchführen zu können. Der Schwerpunkt der Bochumer Forschung liegt dabei auf der dynamischen Analyse von Programmen: Das zu untersuchende Programm wird in einer speziellen Umgebung ausgeführt, in der man zur Laufzeit das Verhalten des kompletten Systems beobachten kann. Um das zu erreichen, erweitern die Forscher bestimmte Teile des Systems um Komponenten, die Veränderungen aufzeichnen und ihnen einen detaillierten Überblick zu den einzelnen Aktionen eines Programms liefern. Dadurch können sie beispielsweise Änderungen am Dateisystem oder an der Windows Registry beobachten sowie den Netzwerkverkehr aufzeichnen.

Nach dem Abschluss der dynamischen Analyse wird ein Verhaltensreport erstellt, der das beobachtete Verhalten zusammenfasst. Im Fall der Analyse eines Bots enthält ein solcher Report die Adresse des C&C-Servers sowie Informationen über das verwendete Kommunikationsprotokoll. Man erhält damit wertvolle Informationen über das zu der analysierten Schadsoftware gehörende Botnetz.

Eine solche Analyse ist technisch allerdings sehr anspruchsvoll, vor allem, weil die Forscher keinen Quellcode der Schadsoftware besitzen, sondern sie im Binärformat analysieren müssen: Sie führen die Untersuchung auf einer sehr niedrigen Ebene aus, indem sie die einzelnen Befehle studieren, die das Programm auf dem Prozessor eines Computers ausführt. Darüber hinaus haben sie einen intelligenten Gegenspieler: Der Angreifer möchte ihnen das Leben schwer machen und entwickelt deshalb Techniken, um eine automatisierte Analyse kompliziert zu gestalten. Viel Entwicklungszeit ist deshalb nötig, um robuste und effiziente Analysetechniken zu entwickeln.