Keine Chance für Viren

Woraus moderne Abwehrmechanismen bestehen
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
400 Aufrufe  

Von Bernd Müller, freier Journalist

Auch wenn es hundertprozentige Sicherheit nicht gibt: Gegenwärtige Antiviren-Programme machen es den Hackern ganz schön schwer. Erfolgreich sind aber nur Schutzprogramme, die modernste Technologien kombinieren.

Es gleicht dem bekannten Rennen aus dem Märchen "Der Hase und der Igel": Wenn der Hase gerade denkt, er habe den Igel überholt, taucht dieser am Ziel auf und ruft "Bin schon da". So war es lange auch beim Wettkampf zwischen den Kriminellen und den Anbietern von Antiviren-Software. Die Kriminellen kapern mit Viren, Ransomware und allerlei fiesen Schadprogrammen Computer, stehlen Informationen oder erpressen Lösegeld. Die Anbieter von Antiviren-Software wollen diesem üblen Treiben einen Riegel vorschieben. Doch wenn eine Lücke geflickt ist, finden die Angreifer irgendwo ein anderes Einfallstor.

Der Eindruck, die Antiviren-Hersteller (die Hasen) würden den Kriminellen (dem Igel) hoffnungslos hinterherhecheln, täuscht allerdings. Denn die Branche, die sich dem Schutz von Daten verschrieben hat, hat zuletzt große Fortschritte gemacht. Lässt man einmal das Social Engineering außen vor, bei dem sich Angreifer mit leider immer noch großem Erfolg die Leichtgläubigkeit von Personen zunutze machen, sind die technischen Barrieren gegen Malware heute hoch. Tests belegen, dass die gängigen Antiviren-Programme sehr gute Erkennungsraten haben: Bei einem Wert zwischen 99 und 100 Prozent trennt sich die Spreu vom Weizen. Perfekt – auch wenn man mit solchen Aussagen immer vorsichtig sein sollte – sind aber nur Programme, die mehrere Erkennungsstrategien kombinieren.

Anfänge als Jux von Jugendlichen

Ein Rückblick: Die ersten Fälle von Schadsoftware, damals wie heute meist Viren genannt, tauchten in den 80er Jahren auf. Mangels Word Wide Web verbreiteten sie sich über Disketten. Ihre Funktion beschränkte sich auf die Selbstreproduktion über ausführbare Programme ohne Schadfunktion. Oft erlaubten sich Jugendliche einen makabren Spaß und blendeten Schriftzüge auf dem Bildschirm ein – ärgerlich, aber nicht gefährlich. Doch mit dem Siegeszug des Internet verbreiteten sich Viren schneller, die Bedrohungen wurden vielfältiger – eine regelrechte Viren-Industrie entstand. Und damit auch Unternehmen, die Antiviren-Programme zu deren Bekämpfung anboten.

Mit der Professionalisierung des Hacker-Business haben sich die technischen Mittel vervielfacht. Malware wird in den unterschiedlichsten Programmiersprachen und Compilern erstellt, Code wird geschickt verschleiert und in unverdächtige Prozesse eingebettet.

Eine Klarstellung vorweg: Der immer noch gerne verwendete Begriff Virenscanner legt nahe, dass es sich bei solchen Programmen um einfache Mustererkenner handelt, die Malware anhand von verräterischen und immer gleichen Signaturen erkennen. Doch diese simple Suchstrategie ist Schnee von gestern, moderne Virenprogramm arbeiten völlig anders, nämlich mit mehreren miteinander verzahnten Mechanismen. Neben einfachen Scannern bedienen sich fortgeschrittene Schutzprogramme anderer Methoden, zum Beispiel die Suche ähnlicher Merkmale nach bestimmten Regeln (Heuristik), das Einkapseln von Schadsoftware in einer isolierten und sicheren Umgebung (Sandbox) oder die Analyse des Verhaltens einer Schadsoftware bei der Ausführung. Nicht zu vergessen sind Schutzfunktionen in der Cloud und das Anlegen von Listen unbedenklicher Dateien und Programme (White-Listing).

Multimillionen Hacker-Business

Wer parallel dazu einen Blick auf die andere, dunkle Seite wirft und die Strategien sucht, mit denen Angreifer heute vorgehen, bekommt als wichtigste Botschaft: Die Zeiten, in denen Teenager aus Spaß auf anderer Leute Computer ihr Unwesen trieben, sind vorbei. Malware ist heute ein Millionen-Geschäft, das von Firmen professionell betrieben wird. Ihr Ziel ist, Geld zu ergaunern oder geheime Informationen auf Bestellung abzugreifen.

Mit der Professionalisierung haben sich die technischen Mittel vervielfacht. Malware wird in den unterschiedlichsten Programmiersprachen und Compilern erstellt, Code wird geschickt verschleiert und in unverdächtige Prozesse eingebettet. Manche Hacker fluten das Internet mit tausenden Varianten von Malware, andere gehen gezielt vor, um unter dem Radar von Schutzsoftware zu bleiben. Immer häufiger nutzen Hacker dezentral gesteuerte Bot-Netze, die Kommunikation ist häufig verschlüsselt.

Das schwächste Glied

Weil Antiviren-Programme immer besser werden und das Erstellen von Schadsoftware immer aufwändiger, setzen Cyberkriminelle zunehmend auf Angriffe, bei denen sie die Leichtgläubigkeit von Personen ausnutzen. Versuchten Angreifer früher mit Mails automatisierte Schadsoftware zu platzieren, waren in einer Erhebung im Dezember 2016 nahezu alle Mails mit infizierten Anhängen so konstruiert, dass sie auf unbedachte Aktionen der Empfänger spekulieren. Unternehmen müssen hier aktiv werden und Mitarbeiter permanent auf die Gefahren hinweisen.
Beherzigen Sie daher folgende sieben Tipps für den Umgang mit verdächtigen E-Mails:

Tipp 1: Vertrauen Sie nicht dem angezeigten Namen.
Tipp 2: Vertrauen Sie nicht dem Header in der E-Mail-Adresse.
Tipp 3: Achten Sie auf Rächtschreibfeeler.
Tipp 4: Seien Sie vorsichtig, wenn Vorgesetzte sie um ungewöhnliche Informationen bitten.
Tipp 5: Denken Sie über dringende Anfragen zweimal nach.
Tipp 6: Überprüfen Sie die Signatur.
Tipp 7: Glauben Sie nicht alles, was Sie sehen.

Die Vielfalt an Angriffswerkzeugen erfordert eine Vielfalt an Abwehrmechanismen. Eine bewährte Methode allein ist zu wenig, umfassender Schutz ergibt sich nur aus klug aufeinander abgestimmten reaktiven und proaktiven Verfahren. Der folgende Text erläutert am Beispiel der umfangreichen Schutzsoftware von ESET, welche Strategien die besten sind und was sie jeweils bewirken. Die genannte Software arbeitet mit sieben Modulen:

1.) Schutz vor Netzwerkangriffen

Dieses Modul erweitert die Firewall und verbessert die Erkennung von bekannten Schwachstellen auf Netzwerkebene, so genannten Common Vulnerabilities and Exposures (CVE) für weitverbreitete Protokolle wie SMB, RPC und RDP. Es schützt vor Sicherheitslücken, die bisher durch Updates oder Patches nicht behoben wurden.

2.) Reputation und Cache

Bevor Dateien oder URLs geprüft werden, fragt dieses Modul den lokalen Cache ab, ob ein Objekt bereits als schädlich oder sicher eingestuft wurde. Anschließend wird das LiveGrid-Reputationssystem nach Hinweisen durchsucht, ob das Objekt bereits anderswo beobachtet und als schädlich erkannt wurde. Das schützt die Anwender davor, Webseiten mit schädlichem Inhalt oder Phishing-Seiten aufzurufen. Beide Vorgehen vermeiden Mehrfachscans, erhöhen die Effizienz und erlauben ein schnelleres Teilen von Erkenntnissen mit den Kunden.

3.) Erkennungsroutinen

Dieses Modul verwendet unterschiedliche Typen von Signaturen für die Erkennung schädlicher Objekte. Dazu gehört der eindeutige Fingerabdruck (Hash) sowie generische Signaturen, die auf komplexen Definitionen von Verhaltensmustern und anderen Malware-Charakteristiken basieren. Old-school-Antivirenprogramme können von moderner Malware leicht ausgetrickst werden durch geringfügige Änderung des Codes. Bei der Tiefenanalyse eines Codes mit der ESET-Methode ist das nicht möglich, weil diese nicht den Code an sich, sondern dessen Verhalten heranzieht. Dieses Verhalten können Angreifer nicht so leicht verändern. Aus dem Verhalten wird eine generische Signatur erstellt. Das Modul erkennt dadurch potenziell schädliche Codes, die sich auf der Festplatte oder im Arbeitsspeicher befinden und die ein ähnliches Verhalten zeigen – auch neue und bisher unbekannte Varianten.

4.) Exploit Blocker

Dieses Modul blockiert die Aktionen der Schadsoftware. Dazu beobachtet es konstant das Verhalten häufig angegriffener Anwendungen wie Webbrowser, PDF-Reader, E-Mail-Programme, Flash und Java. Kommt es zu Anomalien, wird der Nutzer umgehend informiert und der betroffene Prozess gestoppt. Der Exploit Blocker wehrt selbst raffiniert getarnte Malware und unbekannte Bedrohungen wie Zero-Day-Angriffe zuverlässig ab und zwar sofort auf dem befallenen Rechner. Gleichzeitig sendet das Modul Metadaten zum Angriff an das LiveGrid-Cloud-System.

5.) Erweiterte Speicherprüfung

Dieses Modul überwacht das Verhalten von verdächtigen Prozessen, es enttarnt und stoppt Schädlinge im Speicher, selbst komplex verschlüsselte Malware. Das ist notwendig, weil Malware oft verschleiert und verschlüsselt in harmlos wirkenden Teilen auf den Rechner kommt und erst im Arbeitsspeicher zusammengesetzt wird. Herkömmliche Methoden schaffen es bei der Analyse dann nicht immer, die Malware zu einem verdächtigen Verhalten zu bringen. Oft lädt der Schädling weitere Teile erst später herunter, wenn die Analyse bereits abgeschlossen ist. Bei der erweiterten Speicherprüfung tritt die Blockade in Aktion, sobald der verdächtige Prozess im Arbeitsspeicher seine schädlichen Funktionen zur Ausführung bereitstellt. Dies geschieht laufend immer wieder, also nicht nur einmal. Die Prüfung des Arbeitsspeichers erfolgt mit einem effizienten Algorithmus, der die Performance nicht beeinträchtigt. Das Modul ist auch notwendig für neue Malware, die nur im Arbeitsspeicher (in-memory) existiert und keine Spuren im Dateisystem hinterlässt. Das ist besonders kritisch auf Servern, die oft Monate oder Jahre nicht neu gestartet werden. Ohne erweiterte Speicherprüfung könnte sich die Schadsoftware lange Zeit unbemerkt einnisten.

6.) Cloud-basierter Schutz

Stellt das System eine unbekannte und potenziell schädliche Anwendung fest, wird diese Bedrohung beobachtet und über das LiveGrid-Feedback-System an die Cloud übermittelt. Dort werden die gesammelten Proben in einer Sandbox auf ihr Verhalten analysiert. Wird ein Sample als schädlich eingestuft, wird davon automatisch eine Signatur erstellt und noch vor dem nächsten Update der Signaturdatenbank an Kunden über das LiveGrid-Reputationssystem zur Verfügung gestellt. Typischerweise dauert dies weniger als 20 Minuten. Damit ist der Rechner des Anwenders viel schneller geschützt als bei der üblichen Vorgehensweise.

7.) Botnet-Erkennung

Dieses Modul analysiert Kommunikationsmuster und Protokolle im Netzwerk, um Schadsoftware zu erkennen, und schützt so vor Botnet-Malware. Außerdem verhindert es den Missbrauch des Netzwerks für Spam-Attacken. Das Modul macht sich zunutze, dass es für die Betreiber eines Bot-Netzes sehr teuer ist, die Kommunikation mit den Command&Control-Servern zu ändern. Genau diese Kommunikation erkennt das Modul, gleichzeitig identifiziert es die schädlichen Prozesse. Dieser Ansatz ist nicht nur schneller als der verbreitete Ansatz mit Signaturen, sondern erkennt auch fortgeschrittene Malware. 

Darüber hinaus enthält die Schutzsoftware von ESET alle bewährten Schutzkonzepte wie Web-Kontrolle, Medienkontrolle, Host-based Intrusion Prevention, Firewall uvw.

Alle diese Schutzmechanismen müssen vor allem schnell sein. Der frühere reaktive Ansatz, mit Updates Signaturen zu verteilen, ist zu langsam. Die Angreifer experimentieren sofort mit Signaturen und Heuristiken und modifizieren ihre Malware, damit sie vom jüngsten Update nicht erkannt wird. Immer mehr Updates in kürzerer Folge sind keine Lösung. Erst ein proaktiver Ansatz wie das LiveGrid bringt den Hasen auf Augenhöhe mit dem Igel, weil es bei neuen Angriffen sofortigen Schutz bietet.

Verhaltensanalyse statt Mustervergleich

Dabei darf der Schutz aus der Cloud aber nicht nur auf statischen Hashs basieren, denn dann werden nur Objekte blockiert, die dem gespeicherten "Fingerabdruck" genau entsprechen. An diese Stelle tritt das "Fuzzy Hashing", das auch mit leichten Abweichungen zurechtkommt. ESET geht noch einen Schritt weiter und vergleicht nicht einfach nur Daten, sondern vielmehr das Verhalten, das diese Daten beschreiben. Mit diesem Ansatz lassen sich tausende Varianten einer Malware auf einen Schlag ausschalten.

Jeden Tag sind die Sicherheitsexperten bei ESET mit hunderttausenden Proben von verdächtigem Code konfrontiert. Ohne eine automatische Analyse wäre dies nicht zu bewältigen. Doch selbst die besten maschinenlernenden Analysewerkzeuge brauchen das Wissen des Menschen, um höchste Erkennungsraten zu erzielen. Algorithmen sind heute noch nicht in der Lage, eine neue Version einer sauberen Software von einer infizierten Version der Vorgängerversion zu unterscheiden. Landen falsche Vorgaben im Algorithmus, können sich Fehler aufschaukeln und zu ungenügenden Erkennungsraten führen.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.