Forscher:innen des Georgia Institute of Technology (Georgia Tech) in Atlanta im US-Bundesstaat Georgia haben ein neues Werkzeug namens ECHO entwickelt. Wie das Georgia Tech selbst berichtet, nutzt dieses Tool die eingebauten Update-Mechanismen von Malware, um quasi einen digitalen Impfstoff einzuschleusen und so ganze Botnetze von innen heraus unschädlich zu machen.

Die Forschungsergebnisse wurden im Februar 2025 auf dem renommierten Network and Distributed System Security (NDSS) Symposium vorgestellt, einer Konferenz für Netzwerksicherheit, die zu den Top-Veranstaltungen im Bereich Computersicherheit und Kryptografie zählt.

Die Funktionsweise von ECHO (Enhancing Botnet Remediation With Remote Code Deployment Reuse) ist ebenso clever wie effektiv. Zuerst analysiert das Tool, wie eine bestimmte Malware ihren schädlichen Code und vor allem ihre Updates verteilt. Anschließend identifiziert ECHO die Fähigkeiten dieses Update-Mechanismus und findet Wege, diese für die Bekämpfung der Malware selbst umzufunktionieren. Schließlich wird ein spezieller Code – der „Impfstoff“ – erstellt, der über genau diese gekaperten Update-Wege an alle infizierten Geräte im Botnetz verteilt wird, um die Schadsoftware zu deaktivieren, wie das Georgia Tech erläutert.

Botnetze, also Netzwerke aus gekaperten Computern und anderen internetfähigen Geräten, stellen eine massive und wachsende Bedrohung dar. Sie werden für eine Vielzahl krimineller Aktivitäten genutzt, von der Versendung von Spam über Distributed-Denial-of-Service (DDoS)-Angriffe hin zum Diebstahl sensibler Daten, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn regelmäßig warnt.

Die traditionelle Bekämpfung solcher Botnetze ist oft ein langwieriger Prozess, der Monate dauern kann und häufig infizierte Geräte zurücklässt, die von den Betreiber:innen reaktiviert werden können, wie die Forscher:innen im Abstract ihrer Studie ausführen. ECHO verspricht hier eine deutliche Beschleunigung: Laut den Forscher:innen des Georgia Tech könne die Malware-Entfernung von Tagen oder Wochen auf wenige Minuten reduziert werden.

In ersten Tests mit 702 Android-Malware-Samples konnte ECHO die Schadsoftware in 523 Fällen erfolgreich stoppen. Das entspricht einer Erfolgsquote von rund 75 Prozent, wie es im Forschungspapier heißt. Der Fokus auf Android-Malware ist dabei besonders relevant, da laut dem BSI-Lagebericht 2024 sechs der zehn aktivsten Botnetze in Deutschland gezielt auf Android-Geräte abzielten. Um Transparenz und eine breite Anwendung zu fördern, haben die Entwickler:innen den Quellcode von ECHO auf der Plattform Github unter einer Open-Source-Lizenz veröffentlicht.

Hinter dem Projekt steht ein Team um Doktorand Runze Zhang von der School of Cybersecurity and Privacy (SCP) des Georgia Tech, sowie Brendan Saltaformaggio, außerordentlicher Professor an der SCP. Saltaformaggio erläutert, dass frühere Ansätze zur Malware-Impfung zwar gut, aber extrem arbeitsintensiv gewesen seien. „Wir haben es geschafft, dies zu einer wissenschaftlichen, systematischen, reproduzierbaren Technik zu machen, anstatt einer einmaligen, von Menschen betriebenen, mühsamen Anstrengung“, so Saltaformaggio.

Das Ziel der Forscher:innen ist es, die digitale Verteidigung so zu stärken, dass sich der Aufwand für Cyberkriminelle nicht mehr lohnt. „Eine Art, wie wir Probleme in unserem Labor angehen, ist, den Kompromiss zwischen dem Aufwand der Angreifer und unserem Aufwand zu ihrer Bekämpfung zu finden“, beschreibt Saltaformaggio die Vorgehensweise. „Wir können nie eine perfekte Lösung erreichen, aber wir können die Messlatte für einen Angreifer so hoch legen, dass es sich für ihn nicht lohnen würde, Malware auf diese Weise einzusetzen“.

Die Entwicklung von ECHO erfolgte laut dem Forschungspapier in Zusammenarbeit mit dem Sicherheitsunternehmen Netskope aus Santa Clara im US-Bundesstaat Kalifornien und Jeman Park von der Kyung Hee University in Seoul, Südkorea. Die Kyung Hee University zählt zu den angesehenen Hochschulen Südkoreas und rangierte beispielsweise 2024 auf Platz 6 der JoongAng Ilbo University Rankings.

Obwohl die Technologie vielversprechend ist, betonen die Autor:innen im Abstract ihrer Forschungsarbeit, dass ihr Ansatz darauf abzielt, den „notwendigen, aber herausfordernden Schritt der Bereinigung nach Erhalt einer rechtlichen Genehmigung“ zu ermöglichen. Dahinter steht ein juristisches Dilemma: Auch gut gemeinte Eingriffe in infizierte Systeme können ohne ausdrückliche Erlaubnis gegen geltendes Recht verstoßen. ECHO soll Behörden und autorisierten Organisationen ein Werkzeug an die Hand geben, das im Rahmen legaler Maßnahmen eine schnelle und koordinierte Säuberung von Botnetzen erlaubt – vorausgesetzt, die rechtlichen Rahmenbedingungen sind geklärt.