Armasuisse und ETH: Neuer Ansatz zur Erkennung von Malware-Verseuchung

Ein Team der ETH Zürich sowie Armasuisse Wissenschaft und Technologie haben eine neue Methode entwickelt, um Malware, die ein System infiziert hat, schnell und automatisiert aufzuspüren, wie das VBS heute mitteilt. Bisher wird eine Verseuchung durch sogenannte "Advanced Persistent Threats" (APTs), wenn sie sich einmal unbemerkt eingenistet haben, oft erst nach Monaten oder sogar Jahren entdeckt. Das gilt sowohl für KMU als auch für Grosskonzerne und Behörden.
 
Das Team glaubt nun, zwar nicht direkt die Malware, aber die http-Netzwerkkommunikation zwischen Malware auf infizierten PCs und den Steuerungsservern (C&C-Servern) der Angreifer aufspüren zu können. Dies sei schon nach wenigen Stunden möglich.
 
Das Forscherteam besteht aus Vincent Lenders von Armasuisse sowie Pavlos Lamprakis, Ruggiero Dargenio, David Gugelmann, Markus Happe und Laurent Vanbever von der ETH Zürich. Die Publikation "Unsupervised Detection of APT C&C Channels using Web Request Graphs" wird Anfang Juli auf der DIMVA Konferenz in Bonn präsentiert.
 
Dafür, dass sich das zum VBS gehörende Bundesamt für Rüstung Armasuisse gerade jetzt für eine solche Methode interessiert, gibt es eine naheliegende Motivation: Der grosse Datenklau beim bundeseigenen Rüstungskonzern Ruag. Die von den Angreifern eingesetzte Malware wurde mindestens 15 Monate lang – vielleicht auch noch wesentlich länger – nicht bemerkt. (hjm)