allgemein: Malware und ihr Netzwerkverhalten

[MatthiasO]

Guten Tag,

ich habe keine bestimmte Problemstellung mit der ich mich befassen muss, sondern interessiere mich im Allgemeinen für das Netzwerkkommunikationsverhalten von Malware, seien es Botnetze, Trojaner, Viren oder Spyware etc.

Dabei geht es mir darum wie sie kommunizieren, also welche Protokolle benutzt werden, mit wem sie kommunizieren, im Falle eines Botnetzes also beispielsweise die Kommuniktation zwischen einem Botmaster und den infizierten Hostrechnern. Des weiteren würde ich gern eine Möglichkeit kennen lernen wie man die Netzwerkpakete mitschneidet. Mittels pcap und beispielsweise Wireshark lässt sich natürlich der gesammte Datenverkehr protokollieren, in diesem Fall bräuchte ich Ideen wie man die einzelnen Verbindungen einem Programm zuordnen kann, sofern das möglich ist.

Wenn jemand Ahnung von der Thematik hat, oder generell Interesse hat, vllt auch ein paar weiterführende Links kennt, würde mir eine Freude machen, wenn er sich hier beteiligen würde.

Wir lesen uns,
Matthias

[kira]

Hallo Matthias,

Vlt folgende Webseiten zum Thema, könnten für Dich interessant sein::
http://www.tippsundtricks24.de/compu...-trojaner.html
http://www.f-a-r-t.net/downloads/tos...erUndTrojaner/
http://de.wikipedia.org/wiki/Hacker#...utersicherheit
http://de.wikipedia.org/wiki/Botnet
http://www.viruslist.com/de/analysis?pubid=200883611
http://www.kaspersky.com/de/download..._v1_0_0909.pdf

gruß
argos

[MatthiasO]

Hi argos,

vorneweg schon einmal vielen Dank für deine Antwort und die teilweise recht interessanten Links.

Was Malware ist und wie sie im großen und ganzen funktionieren ist mir eigentlich bekannt. Wovon ich bisher absolut keine Ahnung habe ist ihr Netzwerkverhalten. Die Links beschäftigen sich hauptsächlich mit Botnetzen und hier steht auch einiges darüber, welche Möglichkeiten zum Aufbau eines Netzes bestehen, dass beispielsweise das IRC Protokoll mit Master-Server verwendet werden kann. Von Interesse sind aber natürlich auch Viren und Trojaner, Würmer etc.

Was ich mich frage ist, natürlich ohne eine tolle Lösung zu erwarten, die es wohl auch noch gar nicht gibt, ob es im Bereich des Möglichen wäre Malware anhand ihres Netzwerkverhaltens zu kategorisieren. Also bei ähnlichen Netzwerkaufrufen, Protokollnutzungen, Abläufen von Anfragen, etc. Regeln zu erstellen die bestimmte Schadsoftware zusammen fassen in der Hoffnung, dass sie ähnlich behandelt werden können. Wenn ich dann mit beispielsweise Wireshark den Internettraffic protokolliere, worauf könnte man achten. (Dabei fällt mir noch etwas anderes ein: Wireshark schneidet den kompletten Traffic mit, gibt es eine Möglichkeit die einzelnen Verbindungen bestimmten Programmen zuzuordnen?)

Ich habe das Gefühl, dass meine Fragestellung noch immer ein wenig schwammig ist, aber vllt. kommen wir im Laufe des Threads meinen Gedanken ein wenig näher. Danke für weitere Beteiligung und einen schönen Freitag morgen.

LG Matthias

[Petra]

Hallo Matthias,

gib doch einfach mal bei Google => Malware Netzwerkverhalten ein - da kommen ganz interessante Links bei heraus

Vor allem aber auch, dass Du Crossposting betreibst ;-)

[MatthiasO]

Hallo,

ah, hab schon vieles in google eingegeben, manches ist nützlicher, manches weniger. Ich schreibe hier um nichts zu übersehen, vllt hat ja jemand ein wenig Ahnung davon.

Für das Crossposting möchte ich mich entschuldigen, auch wenn ich nicht ganz verstehe warum es so verpönt ist. Ich gehe davon aus, dass unterschiedliche Menschen unterschiedliche Foren benutzen und mich die Meinung aller interessiert und ich lieber Redundanz in Kauf nehme als Informationen zu verpassen. Möchte da aber bitte keine Grundsatzdiskussion draus machen, hoffe also, dass es mir verziehen wird.

Ansonsten danke für deinen Beitrag.

LG Matthias

[Petra]

Hallo Matthias,

sagen wir mal so: unser Forum ist in erster Linie da, um private Computer von Malware zu befreien. Um tiefergehende Informationen zum Thema zu erhalten, müsstest Du eine mehrmonatige Schulung durchlaufen, das können (und wollen) wir hier im öffentlichen Bereich nicht leisten. Weitergehende Infos zur Schulung entnehme bitte meiner Signatur.

Für das Crossposting möchte ich mich entschuldigen, auch wenn ich nicht ganz verstehe warum es so verpönt ist.

Hast Du die Infos in meinem Link dazu gelesen? Es ist eigentlich im Netz immer und überall verpönt, ein Thema gleich in mehreren Foren zu posten, aber ok, ist jetzt hier nicht so wichtig und war nur als Hinweis gedacht.