Shadowserver Foundation: Unbesungene Helden in den Botnet-Kriegen

Es gibt eine Gruppe von Sicherheitsexperten, die ihre Zeit - viel Zeit - freiwillig zur Verfügung stellen, um das Internet von Cyberkriminalität zu befreien. Entdecken Sie, wie sie etwas bewirken.

-------------------------------------------------- -------------------------------------

Ich habe 2006 zum ersten Mal von der Shadowserver Foundation erfahren. Um ehrlich zu sein, war ich zunächst verdächtig. Das liegt daran, dass sie kein Produkt vorangetrieben haben. Ihnen zufolge bestand ihr einziger Zweck darin, die Internetkriminalität so weit zu verstehen, dass sie anderen helfen konnten, Abschreckungsmittel zu schaffen.

Vier Jahre später glaubt die Shadowserver Foundation immer noch daran, und die Stiftung hat sich zu einer mächtigen Kraft entwickelt, die sich der Bekämpfung der Internetkriminalität verschrieben hat. Das Leitbild der Stiftung bestätigt ihre Überzeugung:

"Es ist die Mission der Shadowserver Foundation, die Sicherheit des Internets zu verbessern, indem das Bewusstsein für das Vorhandensein gefährdeter Server, böswilliger Angreifer und die Verbreitung von Malware geschärft wird."

Um ihr Ziel zu erreichen, unternimmt die Shadowserver Foundation Folgendes:

  • Erfassen und empfangen Sie schädliche Software oder Informationen zu gefährdeten Geräten
  • Zerlegen, sandboxen und analysieren Sie Viren und Trojaner
  • Überwachen und melden Sie böswillige Angreifer
  • Verfolgen und berichten Sie über Botnet-Aktivitäten
  • Cyberthreat-Informationen verbreiten
  • Reaktion auf Vorfälle koordinieren

Das sind keine einfachen Aufgaben, aber Dinge, die die Shadowserver Foundation täglich erledigt. Als neugieriger Typ hoffte ich, mehr Details herauszufinden. Ein vielbeschäftigter Andre 'M. Di Mino, einer der Gründer und Co-Direktor der Organisation, war bereit zu helfen, indem er die folgenden Fragen beantwortete:

TechRepublic : Können Sie einen persönlichen Einblick in die Shadowserver Foundation, die beteiligten Personen und ihren Hintergrund geben? Andre 'M. Di Mino : Shadowserver begann ursprünglich als kleine Gruppe von Menschen, die daran interessiert waren, schädliche Software zu erfassen, zu analysieren und zu sehen, was sie tat. Nachdem wir mit der Aufzählung der Botnet Command and Control-Server begonnen hatten, beschlossen wir, die betroffenen ISPs und Hosting-Anbieter zu benachrichtigen. Anschließend haben wir unseren Prozess optimiert und der Community eine Vielzahl von verwertbaren Daten zur Verfügung gestellt.

Unsere Philosophie war und ist, dass Informationen über böswillige Aktivitäten im Netzwerk einer Organisation kostenlos und unverbindlich an diese Organisation weitergegeben werden sollten. Shadowserver bietet diesen Service seit über zwei Jahren vielen Abonnenten kostenlos an und generiert derzeit über 10.000 Berichte pro Nacht.

Im Laufe der Zeit haben wir einige sehr talentierte und engagierte Sicherheitsexperten eingestellt. Derzeit haben wir 12 Mitglieder des Kernteams auf der ganzen Welt.

TechRepublic : Die Shadowserver Foundation besteht aus mehreren unterschiedlichen Gruppen. Könnten Sie kurz beschreiben, was jeder tut? Andre 'M. Di Mino : Nachfolgend sind die aktuellen operativen Bereiche aufgeführt. Jedes Team besteht aus freiwilligen Sicherheitsberatern, die daran arbeiten, die Ziele der Abteilung zu erreichen:
  • E-Fraud : Online-Identitätsdiebstahl, Phishing und Kreditkartendiebstahl sind ein überwältigender Bestandteil des Internet-Untergrunds. Die eFraud-Abteilung durchsucht diesen Untergrund, um Informationen zu sammeln und zu verarbeiten, die die zuständigen Behörden bei der Einstellung dieser Operationen unterstützen können.
  • Botnet Intelligence : Unser anfänglicher Fokus und unsere beliebteste Abteilung bezieht sich auf Botnet Intelligence. Botnetze werden als Waffe bei Online-Kriminalität eingesetzt. Von DDoS-Angriffen, Spam-E-Mails, Identitätsdiebstahl durch Key Logger bis hin zur Verbreitung von Malware sind diese Netze die Mafia des Internets. Zu jedem Zeitpunkt werden Hunderte von Botnetzen überwacht.
  • Malware : Diese Abteilung konzentriert sich auf die Demontage und das Reverse Engineering von Viren, Trojanern und anderen Arten von feindlichem Code. Mehrere tausend Dateien wurden rückentwickelt, mit einem aktuellen Repository von 50 Millionen Beispielbinärdateien und 30 Millionen einzigartigen Viren.
  • Honeypots : Der Hauptfokus liegt auf der Erfassung von Malware, Phishing-Betrug und Daten, die später von den anderen Abteilungen untersucht werden. Mit verschiedenen Arten von Honigtöpfen und Sammelmechanismen können wir in fast allen Teilen der Welt Ereignisse so sehen, wie sie eintreten, anstatt Tage oder Wochen später.
TechRepublic : Können Sie uns einen Eindruck davon geben, was passiert, wenn Sie auf einen neuen Botnet-Stamm aufmerksam gemacht werden? Andre 'M. Di Mino : Unser Prozess umfasst ein ziemlich breites Spektrum von der Malware-Analyse bis zur Untersuchung der beteiligten Netzwerke. In der Regel analysieren wir die Malware mithilfe verschiedener Methoden, um ihr Verhalten und das der zugehörigen Netzwerke zu bestimmen.

Von dort aus können wir einige Überwachungssysteme einrichten, um passiv Daten über das Botnetz und seine Aktivitäten zu sammeln. Wir können auch etwas tiefer in die Botnets selbst eintauchen, um die Topologien und die Netzwerkverteilung besser zu verstehen.

Für uns geht es wirklich darum, so viele Daten über böswillige Aktivitäten wie möglich zu sammeln. Zum Beispiel, wenn wir die Drohnen-Systeme bestimmen können, die an einem bestimmten Botnetz beteiligt sind. Anschließend werden die betroffenen Netzwerkanbieter benachrichtigt. Dadurch können sie die infizierten Drohnen in ihrem Netzwerk reparieren.

TechRepublic : Ich schrieb einen Artikel mit dem Titel "GhostNet: Warum es eine große Sache ist", in dem eine erstaunliche Untersuchung des Information Warfare Monitor und der Shadowserver Foundation zusammengefasst wurde, wie die Büronetzwerke des Dalai Lama kompromittiert wurden. Könnten Sie bitte Ihre Rolle bei den Bemühungen erläutern? Andre 'M. Di Mino : Eine unserer Stärken ist die Malware-Analyse. Wir verfügen über eine Vielzahl von Systemen, mit denen wir große Mengen an Malware detailliert analysieren können. Wir wurden gebeten, einige Dateien und Daten zu untersuchen, die für diese Bemühungen von Interesse waren.

Aus der Analyse konnten wir wichtige Informationen zu den an den Angriffen beteiligten Netzwerken und Zielen bereitstellen. Weitere Einzelheiten zu unserem Engagement finden Sie in dem kürzlich veröffentlichten Bericht "Shadows in the Cloud" von Information War Monitor.

TechRepublic : In den letzten Jahren hat die Shadowserver Foundation mit Microsoft an Botnet-Projekten gearbeitet, zuletzt am B49 Waledac Effort. Halten Sie diese Art der Zusammenarbeit für vorteilhaft? Einige Spam-Experten sagten, das Waledac-Botnetz sei nur vorübergehend verlangsamt worden. Warum ist das so? Andre 'M. Di Mino : Botnet- / Malware-Projekte werden stark von der weltweiten Koordination und Zusammenarbeit zwischen Industrie, Regierung und Strafverfolgung profitieren. Arbeiten in Silos und isoliert funktioniert nicht mehr. Als gemeinnützige, herstellerneutrale Organisation engagiert sich Shadowserver für die Zusammenarbeit mit anderen Gruppen, die sich für die Verbesserung der Sicherheit des Internets einsetzen.

Spam wird weiterhin ein Hauptprodukt der produktiveren Botnetze sein. Während die Spam-Levels mit den Bemühungen zum Entfernen des Botnetzes ab- und abfließen, muss der Kampf fortgesetzt werden. Wie ich kürzlich in einem Blogbeitrag erwähnt habe, wird der Erfolg nicht an dem Prozentsatz an Spam gemessen, der über einen kurzen Zeitraum reduziert wurde. Der Erfolg in diesem Bereich besteht darin, neue Wege bei der Analyse und Störung von „berüchtigten“ Botnetzen zu beschreiten

TechRepublic : Ihre Forschungsanstrengungen faszinieren viele von uns. Welche Ausbildung und Erfahrung würde jemand benötigen, um ein effektiver Sicherheitsforscher zu werden? Andre 'M. Di Mino : Es gibt viele Aspekte der Informationssicherheit, die für Anfänger von Interesse sein könnten. Das Verständnis der Netzwerkkommunikationsprotokolle und der zugehörigen Analysetools ist ein starkes Plus.

Auch statisches und dynamisches Malware-Reverse-Engineering ist ein wichtiges Interessensgebiet. Das allgemeine Verständnis von Sicherheit, Schwachstellen sowie der allgemeinen Netzwerkerkennung und -verteidigung ist ebenfalls von grundlegender Bedeutung.

Es gibt so viele Aspekte in diesem Bereich, aber zwei Eigenschaften, die ich als wesentlich betrachte:

  • Du liebst wirklich, was du tust.
  • Erkenne, dass du nie aufhören wirst, jeden Tag etwas Neues zu lernen. entweder alleine oder von anderen.
Machen Sie mit

Während unserer Gespräche betonte Herr Di Mino, wie wichtig es ist, dass wir teilnehmen müssen. Zu diesem Zweck hat die Stiftung verschiedene Möglichkeiten, wie wir Partner im Kampf werden können:

  • Abrufen von Berichten in Ihrem Netzwerk : Berichte sind für Organisationen konzipiert, die den Netzwerkbereich direkt besitzen oder steuern. Die Verantwortlichen können benutzerdefinierte Berichte erhalten, in denen erkannte böswillige Aktivitäten aufgeführt sind, um ihr Erkennungs- und Minderungsprogramm zu unterstützen.
  • Einreichen eines Botnetzes : Mithilfe eines Ticket-Tracking-Systems kann jeder Botnetz-Informationen an die Shadowserver Foundation senden, wo sie analysiert und bearbeitet werden.
  • Erstellen eines Honeypots : Auf der Website der Shadowserver Foundation finden Sie eine hervorragende Dokumentation zum Einrichten eines Honeypots. Sie empfehlen dies offensichtlich, um mehr Informationen über Malware in Echtzeit zu sammeln.
Abschließende Gedanken

Die Shadowserver Foundation ist eine Gruppe engagierter Malware-Kämpfer, die unsere Hilfe und Ermutigung gebrauchen könnten. Sie versuchen schließlich, uns zu schützen, während wir das Internet durchqueren.

Ich möchte Andre 'M. Di Mino dafür danken, dass er sich die Zeit genommen hat, meine Fragen zu beantworten, und der Shadowserver Foundation für ihre Bemühungen.

© Copyright 2020 | mobilegn.com