Infopoint Security
Menü
  • IT-Security
  • Events
  • Über Uns
  • Kontakt
  • Autoren
  • IT-Security
  • Events
  • Über Uns
  • Kontakt
  • Autoren

Top-Tags

  • ransomware
  • cloud
  • künstliche intelligenz (ki)
  • SOC
  • studie
  • zero trust
  • industrie 4.0
  • downloads
  • Mehr
Suche
  • ransomware
  • cloud
  • künstliche intelligenz (ki)
  • SOC
  • studie
  • zero trust
  • Mehr
StartseiteMalware-Entwicklung: Haben wir den Wettlauf bereits verloren?
Vorheriger Artikel
Spirent Studio Security
Nächster Artikel
Was versteht man unter einer „Entry-Level-Enterprise-Firewall“

Malware-Entwicklung: Haben wir den Wettlauf bereits verloren?

08.01.2013

– Beitrag von Thomas Mörwald, Secaron AG –

Wenn man der aktuellen Berichterstattung in der Fachpresse folgt, dann drängt sich der Verdacht auf, dass der Wettlauf mit den Malware-Programmierern immer mehr verloren geht. Malware-Baukästen ermöglichen eine einfache Zusammenstellung – ohne dabei großes Fachwissen vorauszusetzen. Auch rücken Advanced Persistent Threats (APT) in der Presse immer mehr in den Vordergrund, wie die Beispiele Flame und Stuxnet zeigen.

In der Anfangsphase der Malware-Entwicklung verfolgten die Programmierer meist nur ein Ziel, nämlich die Demonstration der eigenen Programmierkünste. In dieser Phase wurden beispielsweise Veränderungen am System vorgenommen, die offensichtlich waren, wie beispielsweise der Tequilla-Virus aus dem Jahr 1991. Dieser zeigte jeden Monat einen Text und ein Bild an. Destruktive bzw. kriminelle Ziele wurden dabei nicht weiter verfolgt. Allerdings ließ dies nicht lange auf sich warten: Bootsektoren wurden gelöscht, Dateien verschlüsselt und vieles andere mehr. Die Kreativität der Malware-Programmierer kannte hier keine Grenzen. Von da aus war es nur noch ein kleiner Schritt hin zur Kriminalisierung von Malware. Stand früher der Spaß und das Beweisen der eigenen Fähigkeiten im Vordergrund, so ändert sich dies hin zu einer kommerziellen Nutzung, bei der Schadsoftware durch kriminelle Organisationen entwickelt und vertrieben wird. Eine weitere Flexibilisierung von Malware wurde durch die Einrichtung eines Steuerkanals zwischen den infizierten Systemen und einer zentralen Steuereinheit (sog. Command and Control Server; C&C) erreicht. Dies kann beispielsweise über IRC (Internet Relay Chat – Chat- Protokoll), P2P (Peer-to-Peer) bzw. auch HTTP realisiert werden. Der logische Zusammenschluss von mit Malware infizierten Systemen wird allgemein als Botnetz bezeichnet. Systeme in einem Botnetz können dabei für unterschiedlichste Zwecke instrumentalisiert werden. Beispiele hierfür sind Distributed Denial of Service ( DDos) Angriffe gegen Firmen-Webseiten oder der Versand von Spam-Mails. Erschwerend kommt hinzu, dass die Generierung von Malware heutzutage nicht nur Experten vorbehalten ist. So kann mittlerweile von einer breiten Masse Malware auf Basis von Baukastensystemen zusammengestellt werden. Diese stehen auf speziellen Internet-Seiten zum Kauf bereit. Hierzu wird keinerlei Expertenkenntnis benötigt.

Eine aktuelle Studie von Microsoft (Microsoft Malware Protection Center – Threat Report – Juli 2012) zeigt genau diesen Sachverhalt. Sie besagt, dass die Infektionsrate in bestimmten EU-Staaten wie Deutschland Ende 2011 stark angestiegen ist. Bisher konnte in diesen Staaten in der Regel eine geringe Infektionsrate festgestellt werden. Zurückzuführen ist dieser Anstieg auf die Malware Win32/ZBot bzw. Win32/EyeStye. Beide Varianten werden durch ein Malware-Kit generiert, sind käuflich erwerbbar und verursachen unterschiedlichen Schaden. Dieser beginnt beispielsweise mit der Deaktivierung der Personal Firewall oder anderen lokalen Sicherheitskomponenten, dem Ausspähen von Benutzer- und Computer-Informationen und endet beim Zugriff auf sensible Daten, wie die Tastatureingaben beim Besuch einer Online-Banking-Seite. Die Infektionszahlen lassen dabei den Schluss zu, dass Deutschland mehr in den Fokus krimineller Aktivitäten mit Malware rückt.

Eine andere Hausnummer stellen APTs dar. Diese nutzen ähnliche Mechanismen wie es von herkömmlicher Malware bekannt ist. Hinzu kommt jedoch eine wesentlich stärker ausgeprägte Ausrichtung auf ein bestimmtes Ziel und eine damit einhergehende technologische Spezialisierung dieser. Hinter APTs verbergen sich in der Regel Organisationen, die über ihr Know-how und ihre Mittel in der Lage sind eben diese hochkomplexen Angriffe entsprechend vorzubereiten, zu testen und schließlich durchzuführen. So konnte beispielsweise innerhalb des APTs Stuxnet Programmcode nachgewiesen werden, der zur Programmierung von Siemens Simatic S7 verwendet wird. Diese Steuerungen werden unter anderem auch in Atomkraftwerken eingesetzt. Von Stuxnet war vor allem der Iran betroffen. Aus diesen Gründen liegt der Schluss nahe, dass es sich um eine gezielte Aktion gehandelt hat.

Ähnliche Eigenschaften weißt auch Flame auf. Dieser APT wurde kürzlich im mittleren Osten entdeckt. Infiziert war hier nur eine geringe Anzahl von Systemen (ca. 1.000 Stück). Interessant dabei ist allerdings, dass es vor allem Regierungssysteme waren, die von Flame infiziert wurden. Zur Verbreitung nutzt Flame das lokale LAN oder auch USB-Sticks. Einmal infiziert werden auf dem System Screenshots angefertigt, Audioaufzeichnungen gestartet, Eingaben über die Tastatur und der Netzwerkverkehr mitgeschnitten. Interessant ist weiter, dass Flame über eine Deinstallations-Routine verfügt. Wird vom C&C-Server ein spezielles Kommando gesendet, so wird Flame vollständig vom System entfernt. Gerade diese Eigenschaft unterscheidet Flame von Standard-Malware. Hierdurch ist es möglich, die Spuren des Angriffs nach erfolgreicher Beendigung vollständig zu verwischen.

Bei all diesen Bedrohungen stellt sich natürlich die Frage, wie diesen angemessen begegnet werden kann. Die Antwort darauf ist ein ganzheitliches Sicherheitskonzept, das nicht nur auf Antivirus-Software basiert sondern auch andere Techniken und vor allem auch organisatorische Aspekte berücksichtigt. Ziel dabei muss es sein, mit den zur Verfügung stehenden Möglichkeiten das maximale Maß an bezahlbarer Sicherheit zu erreichen.

Erste Pflicht zum Schutz gegen Malware ist ein durchdachtes Patch-Management. Alle Systeme im Unternehmen müssen stets zeitnah mit den zur Verfügung stehenden Sicherheitsupdates versorgt werden. Dabei müssen angemessene Maßnahmen zur Sicherung der Betriebsstabilität ergriffen werden, wie beispielsweise eine ausreichende Qualitätsprüfung.

Auch führt kein Weg an der klassischen signaturbasierten Antivirus Software vorbei. Vielmehr muss sichergestellt sein, dass eine möglichst vollständige Ausbringung auf alle Client- und Server-Systeme erreicht wird. Auch bisher tendenziell vernachlässigte Systeme wie OS X (Apple Mac) oder mobile Endgeräte, müssen mehr in den Fokus der Anti-Malware Strategie rücken. Der immer schneller ansteigenden Anzahl von Malware entgegnen die Antiviren-Hersteller mit neuartigen Technologien, die eine schnellere Verteilung der Signaturen ermöglichen bzw. den Malware-Schutz durch Nutzung von Cloud-Diensten verbessern. Damit kann schneller auf eine geänderte Bedrohungslage reagiert werden. Diese neuartigen Technologien müssen geprüft und nach Anpassung an die eigene Strategie entsprechend eingesetzt werden.

Viele Antiviren-Hersteller haben sich in der Vergangenheit zu einem vollständigen Anbieter im IT-Sicherheitsbereich entwickelt. Neben Lösungen für den Client/Server-Bereich bieten sie unter anderem auch Schutzsoftware für Gateway-Systeme an. Diese Möglichkeiten müssen vor allem beim Übergang zum Internet bzw. zu anderen weniger vertrauenswürdigen Netzen genützt werden. So ist es heutzutage bereits Standard sowohl Web-Proxies als auch Email-Proxies mit entsprechender Malware-Technologie auszustatten. Idealerweise wird hier die Multi-Vendor-Strategie verfolgt, d.h. auf diesen Gateways wird eine andere Antiviren-Lösung eingesetzt als im Client/Server-Bereich. Damit kann die Erkennungsrate nochmals gesteigert werden. Auch sind Antiviren-Hersteller in der Lage ein umfassenderes Bild der aktuellen Bedrohungslage zu entwickeln, da sie sicherheitsrelevante Informationen von verschiedensten Quellen wie Gateway-Systemen, Servern oder auch Clients auswerten können. Mittlerweile werden diese Informationen zentral gesammelt und zeitnah korreliert. Damit können Signaturen schnell zur Verfügung gestellt werden bzw. Regel-Updates im Bereich von Email- bzw. Web-Proxies realisiert werden.
Ähnliches kann auch auf Ebene des eigenen Unternehmens erfolgen, d.h. auch hier können die Meldungen von sicherheitsrelevanten Systemen zentral zusammengefasst und verknüpft werden. Dies geschieht idealerweise mit einem Security Information and Event Management (SIEM) System. Dadurch lässt sich  beispielsweise der Ausbruch von Schadsoftware schnell erkannt und deren Verbreitung im Netzwerk leichter nachvollziehen. Reporting-Funktionalitäten bieten dabei die Möglichkeit sowohl stark aggregierte Berichte für das Management als auch technisch orientierte Auswertungen für die verschiedensten Fachabteilungen zu generieren. Gerade die Berichte für das Management werden immer wichtiger, da das Thema Informationssicherheit hier mit steigendem Interesse beobachtet wird.

Neben diesen technischen Lösungen dürfen jedoch organisatorische Maßnahmen nicht vernachlässigt werden. Dies beginnt beispielsweise mit einfachen Awareness-Maßnahmen, die das Bewusstsein der Mitarbeiter hinsichtlich der IT-Sicherheit schärfen sollen. Denn auch noch heute stellt der Mensch an sich ein nicht zu vernachlässigenden Faktor im Bereich der Informationssicherheit dar. Hier kann beispielsweise der Umgang mit externen Speichermedien wie USB-Sticks vermittelt werden. Beherrscht man dieses Schnittstelle, dann lässt sich bereits eines der Einfallstore von Flame ausschließen. Neben der Mitarbeiter-Awareness muss auch geregelt sein, wann Sicherheitsvorfälle vorliegen und wie mit diesen umgegangen wird. In vielen Unternehmen ist das Vorgehen bei Malware-Infektion implizit klar, d.h. die Malware kann vom betroffenen System entfernt werden. Technisch ist das Problem damit gelöst. Die Frage, die sich hier stellt, ist, ob der Vorfall damit vollumfänglich behandelt wurde. Dies kann mit einem klarem Nein beantwortet werden, da beispielsweise nachhaltige Lösungen durch Veränderungen an den Gateway-, Server- bzw. auch an Client-Systemen geschaffen bzw. die Infektion als eine Art Vorankündigung verstanden werden können.  Nur wenn eine Vorgehensweise existiert, die regelt welche (Fach-) Stellen wann informiert werden müssen, kann ein übergreifender Schutz erreicht werden.

Fazit:
Antiviren-Lösungen sind nach wie vor Pflicht. Sie müssen jedoch der Zeit angepasst, möglicherweise um technische Lösungen erweitert und organisatorisch unterstützt werden. In diesem Fall ergibt sich ein umfassender Schutz.

Zum Autor:
Thomas Mörwald ist Senior Berater bei der Secaron AG und arbeitet dort schwerpunktmäßig im Bereich Sicherheitskonzepte und Lösungen. Er ist zudem verantwortlich für die fachliche Weiterentwicklung der Themenbereiche Service-Monitoring, Log-Management und Security Information und Event Management (SIEM).

Tags

  • analysen
  • malware
  • siem
  • studie

Das könnte Sie auch interessieren

ISO 27001-Zertifizierung

Storyblok-Umfrage: CMS-Sicherheit bereitet Fachleuten Sorge

TÜV Rheinland - Cyber Security Trends 2016
Cloud Security

Orca Security Research Pod analysiert die Cloud-Sicherheit im Unternehmen
    • Themen von A - Z
    • a
    • b
    • c
    • d
    • e
    • f
    • g
    • h
    • i
    • j
    • k
    • l
    • m
    • n
    • o
    • p
    • q
    • r
    • s
    • t
    • u
    • v
    • w
    • x
    • y
    • z
    • 123
    Top-Themen
    • ransomware
    • cloud
    • künstliche intelligenz (ki)
    • SOC
    • studie
    • zero trust
    • industrie 4.0
    • downloads
    • supply-chain-attacks
    • phishing
    • chatgpt
    • metaverse
    • ukraine
    • Log4j
    • endpoint security
    Social Media
    © 2025 Infopoint Security
    Impressum
    Datenschutz