Eine Studie des Georgia Institute of Technology zeigt das eine Malware-Infektion anhand des Netzwerk Traffic aufgespürt werden kann.
Die Studie unter dem Namen „A Lustrum of Malware Network Communication: Evolution and Insights“ wurde in Zusammenarbeit mit einem grossen Internet Service Provider durchgeführt. Dieser Lieferte Daten aus 5 Jahren mit ungefähr 5 Milliarden Netzwerkereignissen.
Der Hintergedanke war dass Malware meistens mit einem Command and Control Server Kontakt aufnimmt und dadurch im Netzwerk Spuren hinterlässt.
Aber nach was muss man Suchen?
Bei der Untersuchung haben die Forscher festgestellt das es rund 300.000 Malware Domains gab die mindestens zwei Wochen vor Entdeckung der eigentlichen Malware bereits aktiv aufgerufen wurden. Diese aufrufe kamen meistens von Infizierten Clients.
Die Schwierigkeit ist natürlich den Traffic zu erkennen und richtig zu lesen. Auf Malware können zum Beispiele DNS-Abfragen zu verdächtigen Servern, der Anstieg von Anfragen an dynamische DNS Dienste sowie die Registrierung von abgelaufenen Domainen hinweisen.
Die Studie zeigt dass, die aktive Überwachung des Netzwerk Traffics eine Infizierung frühzeitig erkennen lässt und man so noch reagieren kann bevor die Malware aktiv wird. Dafür ist jedoch notwendig das der Administrator bereits den Netzwerk Traffic kennt ohne Infizierung um Abnormalitäten schneller zu erkennen.
Leider gibt es bis an hin noch keine 100% Liste um die Verbindungen zu filtern und abzugleichen.