Wie Google nach verseuchten Webadressen sucht

Über das Google-Whitepaper zu Drive-by-Downloads habe ich bereits vor einer Weile kurz gebloggt, nun bin ich dabei das Dokument etwas gründlicher durchzuarbeiten. Dabei hat mich die Beschreibung, der von Niels Provos und seinem Team verwendeten Infrastruktur beeindruckt, mit denen sie nach gefährlichen Adressen fahnden.

Das Google-Team prüft an einem Tag rund eine Million Adressen. Jede URL wird dabei separat in einer eigenen virtuellen Maschine getestet. Pro Tag setzen die Forscher also rund eine Million virtueller Maschinen ein.

Dazu laden sie für jede zu prüfende URL ein frisches Windows-Image mit einem ungepatchten Internet Explorer, der die gewünschte Seite dann aufruft. Die virtuelle Maschine läuft jeweils etwa zwei Minuten, in denen sie auf ungewöhnliche Veränderungen am Dateisystem, den Prozessen und in der Registry überwacht wird. Außerdem wird der HTTP-Datenstrom von mehreren Virenscannern nach Schädlingen abgescannt.

Pro Tag gehen ihnen auf diese Weise 25.000 Drive-by-Download-Seiten ins Netz, die bereits beim simplen Besuch den PC des Surfers zu infizieren versuchen. Das entspricht einer beängstigenden Quote von 2,5 Prozent infizierten Seiten.

Um auf die benötigte Infrastruktur für eine Million Tests pro Tag zurückzukommen: Ein Rechner, der exakt alle zwei Minuten eine frische virtuelle Maschine laden würde, könnte am Tag theoretisch 722 Durchläufe schaffen. Das wären 1389 Computer, die nichts anderes machen als tagaus tagein frische Windows-Images zu laden und mit neuen URLs zu füttern.

In der Praxis startet jede verwendete Testmaschine vermutlich mehr als jeweils nur ein einziges Testsystem. Auf der anderen Seite dürfte durch das Laden der frischen Images auch etwas Zeit verloren gehen. Die genaue Zahl der verwendeten Testsysteme abzuschätzen ist also fast unmöglich. Die Infrastruktur, die Google hier für die Suche nach Drive-by-Download-Seiten bereitstellt, ist jedenfalls mehr als beindruckend.

Weitere Beiträge zum Thema:
Drive-by-Downloads
Google-Whitepaper zu Drive-by-Downloads
Gehackte WoW-Accounts und wie man sich schützt

0 Gedanken zu “Wie Google nach verseuchten Webadressen sucht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.