Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.08.2007

Malware: Vorbeugen statt heilen

Angesichts der rasant steigenden Zahl digitaler Schädlinge stoßen die traditionellen Methoden der Malware-Erkennung an ihre Grenzen. Künftige Schutzkonzepte sollen Angriffe früher abwehren.
Die Zahl der bei der AV-Test GmbH eingegangenen neuen, einzigartigen Malware-Samples ist seit Ende 2004 von monatlich 10 000 auf rund 225 000 Exemplare gestiegen nahezu 7500 Proben pro Tag.
Die Zahl der bei der AV-Test GmbH eingegangenen neuen, einzigartigen Malware-Samples ist seit Ende 2004 von monatlich 10 000 auf rund 225 000 Exemplare gestiegen nahezu 7500 Proben pro Tag.

Nach dem Prinzip des klassischen Virenschutzes werden Proben digitaler Schädlinge gesammelt, analysiert und Muster beziehungsweise Signaturen generiert, die es möglichst schnell an die Benutzer zu verteilen gilt. Ein großes Problem, mit dem die Antiviren-Industrie (AV) in diesem Kontext zu kämpfen hat, ist die immer rasanter steigende Zahl von Schadprogrammen wie Trojanern, Würmern und Viren. "Hatten wir es vor einigen Jahren noch mit ein paar hundert Malware-Samples pro Monat zu tun, die analysiert werden mussten, tauchen heute monatlich oft 150 000 bis 200 000 neue Dateien auf", weiß Andreas Marx, Geschäftsführer der AV-Test GmbH, zu berichten. Das Unternehmen testet Sicherheitslösungen auf ihre Effektivität bei der Malware-Erkennung.

Hier lesen Sie ...

wo die herkömmlichen Verfahren der Malware-Erkennung schwächeln;

warum zusätzliche Gegenwehr erforderlich wird;

welche Pfeile die AV-Industrie im Köcher hat.

Nicht nur mit immer neuen, teils automatisiert generierten Schädlingsvarianten, sondern auch durch Komprimierung und Verschlüsselung wollen Malware-Autoren zu verhindern, dass signaturbasierende Virenscanner ihren Schadcode erkennen und eliminieren. Im Bemühen, mit den multiplen Malware-Varianten Schritt zu halten, versuchen die AV-Anbieter, mit einer breit gefassten Signatur möglichst viele davon abzudecken. Doch durch den Einsatz bestimmter Compiler werden die Schädlingsvarianten oft so verändert, dass sie jeweils ein eigenes Pattern erfordern. Raimund Genes, CTO von Trend Micro, kann davon ein Lied singen: "Bei uns sind das an manchen Tagen 2000 neue Signaturen."

Dieser Frequenz und Vielfalt ist das klassische AV-Verfahren kaum noch gewachsen. "Allein mit signaturbasierendem AV laufen wir Gefahr, immer hinterherzuhinken man muss also stets warten, bis etwas kommt", bringt es Candid Wüst, Security Response Engineer bei Symantec, auf den Punkt. Der komplette Verzicht auf Malware-Patterns kommt für die Sicherheitsanbieter allerdings nicht in Frage: Nicht nur als Grundschutz gegen bekannten Schadcode, auch für die nach einer Infektion erforderliche Systemsäuberung werden Pattern-basierende Verfahren den Anbietern zufolge stets eine wichtige Rolle spielen. "Das ist die einzige Technik, mit der man Malware sauber identifizieren und Systeme wieder bereinigen kann", so Toralv Dirro, Security Strategist Emea bei McAfee.

Neue Gefahren, neue Gegenwehr

Konsens herrscht aber auch über die Notwendigkeit, das Signaturprinzip durch neue vorbeugende Schutzmaßnahmen zu ergänzen. Aus diesem Grund konzentriert sich die AV-Branche seit einiger Zeit darauf, ihr Anti-Malware-Portfolio um proaktive Verfahren aufzurüsten, um auch unbekannte, noch nicht registrierte Schädlinge entlarven und abwehren zu können.

Das Sandbox-Prinzip

Als Vorreiter gilt hier Norman Data Defense Systems. Der norwegische Sicherheitsanbieter hat bereits vor rund vier Jahren mit seiner "Sandbox" eine Technik entwickelt, die der signaturbasierenden Erkennung nachgeschaltet eine komplette Kommunikationsumgebung in einem virtuellen Prozess darstellt. Dabei lassen sich PC-Systeme, aber auch Rechner- oder Peer-to-Peer-Net-ze und sogar Tauschbörsen simulieren. "Kann die signaturbasierende Erkennung keine Zuordnung gut/böse liefern, darf sich die unbekannte Datei in diesen virtuellen Umgebungen austoben", erläutert Stefan Angerer, Geschäftsführer bei Norman Deutschland, das Prinzip. Anhand der dort ausgeführten Routinen trifft das System, das eine Erkennungsrate zwischen 60 und 70 Prozent leisten soll, eine Wahrscheinlichkeitsentscheidung: Zeigt die Datei Malware-verdächtiges Verhalten, indem sie etwa Registry-Einträge modifiziert, Kommunikationsports öffnet oder Adressbücher ausliest, wird sie vom Rechner des Benutzers ferngehalten.

Neu ist die auf der Sandbox basierende, seit Juni erhältliche Software "Norman Network Protection" (NNP), die den Datenverkehr in Firmennetzen nahezu ohne Latenz auf Malware scannen soll. Technisch handelt es sich Angerer zufolge dabei um eine auf Layer 2 laufende Bridge, die sich von dort bis auf Applikationsebene hocharbeitet und alles inspiziert. Anders als Proxy-Lösungen hält die Software hierzu nicht den gesamten Datenstrom, sondern nur die für den Schadcode-Check erforderlichen Daten zurück. Das Linux-basierende NNP lässt sich an der Grenze zum Internet einsetzen, aber auch zwischen einzelne Netzbereiche schalten. Daher sei es möglich, etwa auch die Produktionsumgebung Malware-frei zu halten, so Normans Deutschland-Chef.

Laut Righard Zwienenberg, Chief Research Officer bei Norman, beschäftigt sich der Hersteller zudem mit einer neuen Technik namens "Raw Cable Scanning". "Dabei wird das Internet-Kabel in eine Box geführt, die die gesamte Kommunikation unabhängig vom Protokoll vom Endanwender unbemerkt auf Be-drohungen scannt und im Ernstfall die Verbindung unterbricht", so der Sicherheitsforscher.

Exploit-Blocking

Auch Symantec arbeitet seit geraumer Zeit an Verfahren zur Analyse von Applikationsverhalten und Netzkommunikation, um potenzielle Angriffe bereits im Vorfeld erkennen und abwehren zu können. Als Beispiel führt Guido Sanchidrian, Manager Produkt-Marketing AV bei Symantec, die unter anderem in die für diesen Herbst angekündigte Sicherheitssuite Endpoint Protection 11.0 integrierte Technik "Generic Exploit Blocking" (GEB) auf.

Die schwachstellenbasierende, auf Netzebene integrierte IPS-Technik (Intrusion Prevention System) soll das Ausnutzen von Sicherheitslücken verhindern, bevor darüber Schadcode in Systeme eindringen kann. "Die Technik blockt also generell das Ausnutzen einer Schwachstelle egal wodurch", so Sanchidrian. Die von WholeSecurity übernommene Symantec-Technik "Proaktive Threat Scan" wiederum soll bösartigen Code ohne Signaturen erkennen und blockieren und so einem Virenausbruch vorbauen.

Ein Beispiel für die proaktiven Bemühungen von Seiten des Mitbewerbers Sophos stellt das Host-basierende Intrusion-Prevention-System (HIPS) "Behavioral Genotype Protection" dar. Im Gegensatz zu anderen HIPS-Lösungen, die laufenden Code überwachen und Programme, die verdächtige Verhaltensmuster aufweisen, erst nach ihrem Auftreten unterbrechen, soll die Sophos-Technik von vornherein verhindern, dass Schadprogramme auf dem PC zur Ausführung kommen.

Laut Hersteller kann das System digitale Schädlinge sowohl am Gateway als auch auf File-Servern identifizieren und löschen, ehe sie auf den Endpunkt gelangen und dort Schaden anrichten. Um False Positives zu vermeiden, gleicht das System seine Regelverzeichnisse gegen eine umfassende Datenbank mit erlaubtem Code ab.

Eine künftige Bedrohung insbesondere angesichts der neuen Schutzmechanismen in Vista sieht Dirro von McAfee in An-griffen, bei denen so genannte "Direct Action Trojaner" nicht mehr versuchen, sich auf dem System einzunisten oder dieses zu modifizieren, sondern lediglich die Daten, auf die der Benutzer zugreifen muss, abgreifen und verschicken. "Solche direkten Attacken erfordern dann auch keine großartigen Exploits mehr", so Dirro. Entsprechend wichtig seien proaktive Techniken, die verhinderten, dass Daten und geschützte Dokumente etwa per E-Mail oder Peer-to-Peer das System verlassen. Hohe Bedeutung misst der Sicherheitsstratege in diesem Kontext Data Loss Prevention (DLP) bei, einem Bereich, in dem der Security-Anbieter bereits sehr aktiv ist.

Eine interessante neue Technik, die sich ähnlich der Sandbox auf Virtualisierung stützt, stellt das an der University of Washington entwickelte Tool "SpyProxy" dar. Als virtuelle Maschine zwischen dem Browser des Endnutzers und einer Web-Seite soll das System jede Applikation, die der Browser ansteuert, herunterladen und testen, um potenzielle Angriffe zu verhindern. Den Entwicklern zufolge kann SpyProxy jede Art von Web-Seite innerhalb von Sekunden auf Malware-verdächtige Attribute untersuchen und im Ernstfall blocken.

Wettrüsten - und kein Ende

Ein Ende des "Wettrüstens" zwischen Cyberkriminellen und der AV-Industrie ist Experten zufolge allerdings nicht abzusehen. So wird eine neue Entwicklung auf der einen Seite unweigerliche Aktivitäten der Gegenseite provozieren. Analog zu den AV-Programmen entwickeln sich auch die Malware-Selbstschutztechniken rasant weiter.

So erwartet Kaspersky Lab, dass sich etwa Rootkit-Techniken zur Tarnung von im System agierenden Schadprogrammen mittels Virtualisierung inten-siv weiterentwickeln. Verschleierung und Verschlüsselung als Mittel, die Code-Analyse zu erschweren, werden nach Einschätzung der Sicherheitsforscher ebenfalls aktuell bleiben. Zudem rechnet Kaspersky mit verstärktem Widerstand gegen auf Verhaltensanalysen basierende Schutzlösungen. Dort seien neue Techniken zu befürchten, da die derzeit verwendeten Ansätze etwa zielgerichtete Angriffe auf AV-Programme nicht wirksam genug sind. Dabei könnte es sich um Methoden zur Erkennung virtueller Umgebungen oder auch das Verschlüsseln von Verhaltensmustern handeln.