03.03.2017 15:41

Lernkurve mit neuem Feed

Wir sammeln aus vielen Quellen Informationen zu Infektionen und anderen Sicherheitsproblemen im österreichischen Internet und geben diese an die Netzbetreiber weiter. Details dazu stehen in unserem Jahresbericht.

Kürzlich haben wir eine neuen Anbieter in unser Portfolio aufgenommen, der unser Lagebild zu Infektionen verbessern sollte. Seit vorgestern verteilen wir Daten aus dieser Quelle.

Wir bekamen von einigen Seiten Feedback, dass hier was nicht stimmen kann. Es wurden IP-Adressen als infiziert gemeldet, die nie und nimmer von der angegebenen Malware befallen sein können.

Was ist passiert?

Der klassische Sensor für einen Datenfeed ist ein http-Sinkhole: Man besorgt sich Domains, welche die Malware für Command & Control Kommunikation benutzt, setzt die A Records so, dass die Domain auf einen Webserver zeigt, den man selber betreibt. Aus dem Access-Log dieses Webservers extrahiert man dann IP-Adressen und Timestamps.

Neben diesen Web-Sinkhole Daten sind in unserem neuen Feed aber auch Information aus Nameserver-Querylogs enthalten. Bevor die Malware die TCP-Verbindung zum Sinkhole aufbauen kann, muss sie die Domain auflösen. Das kann natürlich auch beobachtet werden und das sind auch sinnvolle Hinweise auf Infektionen.

Aber: die IP-Adresse, die bei der Namensauflösung in den Sensoren aufschlägt, ist typischerweise nicht des infizierten PCs, sondern die des rekursive Nameservers, den dieser gefragt hat.

Diesen Fall hatten wir in unserem Datenschema so nicht vorgesehen, worauf unsere Mails an die Netzbetreiber diesen Unterschied nicht kommuniziert haben.

Wir bitten daher um Entschuldigung; das lief nicht so gut, wie es von uns erwartet wird. Wir werden an unserer Qualitätskontrolle arbeiten. Bei manchen Themen werden wir aber immer auf das Feedback von den Netzbetreibern angewiesen sein.

Macht es überhaupt Sinn, dass wir Daten zu DNS-Requests aussenden?

Meiner Einschätzung nach ist das für ISPs sinnlos, da dort ziemlich sicher kein Query-logging am Nameserver gemacht wird, und daher das Ausforschen des infizierten Clients nicht möglich ist.

Für Firmennetze kann das aber sehr wohl Sinn machen: Dort mag die Firewall den C&C Request blockieren, der Nameserver kann Logs haben und so ist das ein sinnvoller Weg, eine Infektion zu erkennen.

Wir werden vorerst diese DNS basierten Event-Typen nicht mehr weitergeben.

Autor: Otmar Lendl