Sandnet
Das Sandnet ist eine kontrollierte Umgebung, die von uns für eine umfassende Analyse und zugleich schadlose Ausführung von Malware entwickelt wurde. Das Sandnet zeichnet sich durch eine detaillierte Analyse des durch Malware verursachten Netzwerkverkehrs aus. Auf dieser Webseite geben wir Auszüge von aktuellen Malware-Trends, die wir im Sandnet beobachten können. Eine ausführliche Beschreibung der Sandnet-Architektur sowie weitere Statistiken können der wissenschaftlichen Veröffentlichung "Sandnet: Network Traffic Analysis of Malicious Software" entnommen werden.
Netzwerkaktivität von Malware
Das Sandnet gibt einen Überblick über die Netzwerkaktivität von Malware. Die Verteilung der genutzten Netzwerkprotokolle zeigt, dass sich insbesondere DNS und HTTP als prävalente Protokolle hervorheben. Mehr als 9 aus 10 Malware-Samples nutzen DNS zur Auflösung von Hostnamen – die Verwendung von hart in der Malware eincodierten IP-Adressen nimmt spürbar ab. Mit einem Anteil von 58.6% ist HTTP das von Malware mit Abstand weit verbreitetste Anwendungsprotokoll. Auch SSL wird von immerhin knapp 12% der Malware-Samples verwendet. Abbildung 1 zeigt eine Übersicht der im Sandnet beobachteten Netzwerkprotokolle sortiert nach Popularität.
Detailanalyse des HTTP-Verkehrs
Wegen seiner Prävalenz eignet sich HTTP, um die Verwendung des Protokolls von Malware-Autoren im Detail zu untersuchen. So lädt Malware beispielsweise häufig eigene HTTP-Implementierungen nach, die zu Auffälligkeiten im Netzwerkverkehr führen. Abbildung 2 gibt einen Eindruck, wie viele HTTP-Requests Malware typischerweise während unserer einstündigen Analyse aufweist. Eine umfassendere Analyse der Verwendung von HTTP durch Malware wurde von den Autoren Christian Rossow und Christian J. Dietrich in Form des o.g. wissenschaftlichen Artikels veröffentlicht.
Weitere Informationen zum Sandnet
Das Sandnet wird derzeit zu Forschungszwecken intensiv vom Institut für Internet-Sicherheit verwendet. Wir sind insbesondere darum bemüht, neue Kooperation zu etablieren, die dem Austausch von Malware-Samples dienen oder die Entwicklung von verwandten Forschungsaufgaben als Ziel haben. Als Ansprechpartner stehen Christian J. Dietrich und Christian Rossow jederzeit gerne zur Verfügung.