Über die Auswirkungen dynamischen Testens

  1. TESTVERFAHREN

  2. DIE ZEITEN ÄNDERN SICH

  3. MULTI-SCANNER

  4. DIE HACKER-SZENE FORMIERT SICH NEU

  5. WAS KÖNNEN TESTER TUN?

  6. FAZIT

Jeder, der sich in der Anti-Malware-Branche etwas auskennt, weiß, dass das Testen von Anti-Malware-Lösungen eine heikle Angelegenheit ist: Im letzten Jahr hat dieses Thema große Aufmerksamkeit erregt, vor allem durch die Gründung der „Anti-Malware Testing Standards Organization“(AMTSO).

Mit diesem Artikel wollten wir nicht noch einen weiteren Bericht darüber verfassen, wie die Tests durchzuführen seien, sondern vielmehr auf eine mögliche Folge der großen Beachtung, die Tests dynamischer Schädlingserkennung derzeit entgegen gebracht wird, hinweisen: die Möglichkeit, dass die vermehrte Konzentration auf dynamische Testverfahren Autoren von Schadprogrammen dazu verleiten könnte, sich verstärkt mit den Schutzfunktionen von Sicherheitssoftware, anstatt ausschließlich mit ihren Detektionsmechanismen auseinanderzusetzen.

Zur Bewertung der Risiken durch dynamische Tests werden in diesem Artikel eine Reihe von Beispielen und Szenarien aufgeführt. Ferner werden zahlreiche Vorschläge gemacht, was Tester zu tun können, um diesen Risiken entgegenzuwirken.

TESTVERFAHREN

Vor einer Einschätzung der Risiken durch dynamisches Testen wollen wir kurz eine Reihe weiterer Testmethoden beschreiben:

Statische Testmethode

Bei der statischen Testmethode handelt es sich um das am einfachsten strukturierte Testverfahren: Auf Anforderung werden sämtliche Schadprogramme einer Test-Kollektion gescannt. Um aussagekräftige Testergebnisse zu erzielen, sind für jeden seriösen statischen Test heutzutage Malware-Kollektionen mit mindestens Tausenden von Testdateien notwendig, wohingegen die Testreihen der Prüfinstitute AV-Test und AV-Comparatives üblicherweise Hunderttausende, in einigen Fällen sogar mehr als eine Million Samples enthalten.

Auf Grund der enormen Größe der Test-Kollektionen bieten die Testergebnisse fast keine (wenn überhaupt) nützlichen Informationen für die Verfasser von Malware-Programmen, anhand derer sie ihre Kreationen weiter entwickeln könnten.

Ferner ist bei der Durchführung statischer Tests die Gliederung der Test-Kollektionen zu berücksichtigen. Einige Tests, deren Glaubwürdigkeit angezweifelt werden darf, wurden augenscheinlich auf Grundlage einer gewaltigen Menge völlig ungeordneter Malware-Testdateien durchgeführt – zwar mögen die Tester die Ergebnisse intern verschiedenen Unterkategorien zugeordnet haben, aber dennoch handelt es sich hierbei um eine schlechte Testmethode.

Bei anderen, weitaus glaubwürdigeren Tests wird eine genaue Unterscheidung in den veröffentlichten Testergebnissen vorgenommen. Die Test-Kollektionen werden in Familien gegliedert, wie z.B. Viren, Würmer und Trojaner, und die Testergebnisse für jede Familie separat beschrieben. Andere gehen noch einen Schritt weiter und versuchen, zwischen Backdoor- und Spyware-Trojanern zu differenzieren.

Obwohl diese Methoden eine größere Detailtiefe ermöglichen, liefern sie den Malware-Autoren dennoch kaum verwendbare Informationen. Das einzige mögliche Risiko statischer Testverfahren geht von den Tests aus, mit denen die Performance von Virenprogrammen bei der Erkennung polymorpher oder metamorpher Schadprogramme geprüft wird. Durch diese Tests können bestehende Sicherheitslücken in einigen Produkten offenbart werden.

Polymorphe/metamorphe Schadprogramme sind dementsprechend schwieriger zu identifizieren als statische Malware, und viele Virenautoren sind nicht sachkundig genug, um ein derartiges Programm zu schreiben. Andererseits hat jemand, der ein polymorphes Schadprogramm nicht selbst verfassen kann, jederzeit die Möglichkeit, sich an illegale Quellen zu wenden und sich dort seinen benötigten Code zu kaufen oder eine andere Person zu beauftragen, diesen für ihn zu schreiben.

Response-Time-Testmethode

Auch wenn Response-Time-Tests in der heutigen Zeit nur noch selten angewandt werden, lohnt es sich dennoch, diese Testmethode genauer zu betrachten. Sie erfreute sich insbesondere in den Jahren der großen Wurmepidemien großer Beliebtheit – die klassischen Beispiele dieser Zeit sind NetSky, Bagle, Mydoom, Sober und Sobig.

Im Gegensatz zum Test statischer Virensignaturen ist die Anzahl der Testdateien bei Response-Time-Tests sehr gering. Eine Art des Response-Time-Testverfahren misst die Gesamtleistung von Antivirus-Lösungen je nach Hersteller, basierend auf einer relativ kleinen Testreihe1, wobei keine Testergebnisse für einzelne Samples aufgeführt werden. Bei einem weiteren Testverfahren wird die Entdeckungs-Fähigkeit auf einer Pro-Sample-Basis gemessen.

Diese spezifischen Pro-Sample-Ergebnisse leisten Malware-Verfassern eine beträchtliche Hilfestellung. Man kann darüber spekulieren, ob die veröffentlichten Ergebnisse einiger Response-Time-Tests manchen Malware-Autor dazu animiert haben, seine Strategie zu ändern, um die Erkennung seiner Schadprogramme schwieriger zu gestalten. Ein Beispiel ist der Wurm W32/Sober.K3 , der während der Installation willkürlich Ausschussdaten am Ende seiner Datei anhängte, um die Erkennung von Antiviren-Programmen zu verlangsamen,. Mit hoher Wahrscheinlichkeit hat der Autor diese Funktion nachträglich in sein Schadprogramm eingebaut, nachdem er mit den Ergebnissen der Reaktionszeiten früherer Sober-Varianten nicht zufrieden war.

Aktuell werden die Ergebnisse aus Response-Time-Tests nur unter sehr geringer Bezugnahme auf spezifische Samples veröffentlicht. Die Gefahr, dass Verfasser von Schadprogrammen sich dadurch zu viele Informationen beschaffen könnten, ist daher als sehr gering einzustufen.

Retrospektive Testmethode

Bei der retrospektiven Testmethode wird ein veraltetes Produkt auf Malware-Testdateien der neuesten Generation getestet. Abgesehen davon, dass hier die Fähigkeit unbekannte Samples zu erkennen getestet wird, unterscheidet sich diese Methode in keinster Weise vom statischen Testverfahren. Das Ausmaß des mit retrospektiven Tests einhergehenden Risikos ist genau wie bei korrekt durchgeführten statischen Tests äußerst gering.

Dynamische Testmethode

Bei der dynamischen Testmethode werden Malware-Samples in einem PC eingeschleust, um sie dort ausführen zu können. Für diese Tests kann lediglich eine kleine Anzahl Testdateien verwendet werden, da sich die Ausführung jeder dieser Dateien enorm zeitaufwändig gestaltet. Die AMTSO hat eine Analyse mit einer detaillierten Erläuterung dazu verfasst (http://www.amtso.org/documents.html).

Ein dynamischer Test verläuft dann optimal, wenn die Samples wie im echten Betrieb in das Testsystem eingeschleust wurden, etwa über einen Drive-by-Download. Selbst im Falle einer Automatisierung dieses Prozesses handelt es sich um eine höchst zeitaufwändige Methode. Der Umstand, dass virtuelle Systeme vermieden werden sollten, um stichhaltige Testergebnisse zu erzielen, trägt auch nicht gerade zur Vereinfachung dieser Aufgabe bei.

Die Anzahl der Testdateien, mit denen die Tests zur dynamischen Schädlingserkennung aktuell durchgeführt werden, beträgt mehrere Dutzend. In der Zukunft werden dank verbesserter Hardware und optimierten Prozessen voraussichtlich Hunderte von Test-Samples verwendet werden können. Die Risiken, die mit der Ausweitung der dynamischen Testmethode einhergehen, sind für die Sicherheitsbranche jedoch weitaus höher einzuschätzen als die irgendeiner anderen gängigen Testmethode.

Weite Teile der Branche betreiben einen hohen Aufwand, die Nutzer über (neue) proaktive Technologien aufzuklären, und auch die AMTSO hat sehr viele Bemühungen darauf verwendet, ein Grundsatzpapier für dynamisches Testen zu erstellen (http://www.amtso.org/documents.html). Das allgemeine Urteil lautet, dass der Ansatz der Tester, sich ausschließlich auf die Erkennungsraten von Sicherheitslösungen zu konzentrieren, obsolet ist und es vielmehr darum geht, zusätzlich auch deren Schutzfunktionen zu prüfen. Es steht außer Zweifel, dass auch die Autoren von Schadprogrammen diese Entwicklung genau verfolgen.

DIE ZEITEN ÄNDERN SICH

Vor fünf Jahren baute Symantec eine Schutzfunktion mit der Bezeichnung „Anti-Wurm“ in seine Norton-Produkte ein. Dabei handelte es sich um ein System auf Basis von Verhaltensanalyse, mit dem E-Mail-Würmer proaktiv abgefangen werden sollten. Bei Symantec glaubte man, die Technologie sechs Monate nach ihrer Einführung aktualisieren zu müssen, damit sie gegenüber den sich weiter entwickelnden Schadprogrammen wirksam bleiben würde. Tatsächlich aber wurde es für die Entwickler zu keinem Zeitpunkt notwendig, ein Upgrade vorzunehmen4 . Entweder die Malware-Autoren kannten die Technologie nicht oder sie unternahmen keinen Versuch, sie zu umgehen – vielleicht waren sie dazu einfach nicht in der Lage.

Im Mai 2006 brachte Kaspersky Lab die Version 6.0 seiner Produkte mit einem Verhaltensblocker der neuesten Generation auf den Markt. Doch bereits sechs Monate später musste dafür ein Sicherheitspatch erstellt werden, da es neuen Varianten der Trojanerfamilie LdPinch gelungen war, diese Technologie zu umgehen.

Worin bestand nun der Unterschied zwischen den beiden Verhaltensblockern? Einerseits wurde das „Anti-Wurm“-Feature zur Zeit der großen Malware-Epidemien, deren Urheber meist nach Berühmtheit strebten, eingeführt. Ab 2006 jedoch ging es bei den meisten Schadprogrammen um finanziellen Gewinn – dies gilt auch für LdPinch. Zudem ist zu berücksichtigen, dass Kaspersky Lab ein russisches Unternehmen ist und LdPinch eine russische Schöpfung war, die hauptsächlich auf den russischen Markt abzielte.

Allerdings könnte noch ein dritter Grund eine Rolle gespielt haben: Der Verhaltensblocker von Kaspersky Lab wurde stärker beworben, so dass die Malware-Verfasser verstärkt auf das Kaspersky-Produkt aufmerksam geworden waren und ihre Anstrengungen vor allem daran setzten, es zu umgehen.

MULTI-SCANNER

Multi-Scanner sind eine weitere interessante Demonstration dafür, wie die Verfasser von Schadprogrammen legitime Dienste nutzen, um sich Informationen für ihre eigenen Zwecke zu beschaffen. Multi-Scanner im Internet erfreuen sich derzeit großer Beliebtheit, wobei die Online-Virenscanner JottiScan und VirusTotal am häufigsten verwendet werden.

Auf den Websites wird ein Service angeboten, über den der Nutzer eine bestimmte Datei herunterladen und sie von einer Reihe von Virenscannern überprüfen lassen kann, um festzustellen, wie sie von den verschiedenen Scannern erkannt wird (sofern sie überhaupt erkannt wird).

Auch Malware-Schreiber greifen auf Dienste dieser Art zurück und testen damit, ob ihre neuesten Schöpfungen den Sicherheits-Programmen erfolgreich entwischen. Während einige Antiviren-Hersteller mit Multi-Scanner-Websites zusammenarbeiten und deren Betreiber die verrücktesten Einstellungen ausprobieren lassen, um so viele Schadprogramme wie möglich aufzuspüren, verzichten andere Hersteller darauf, ihre neuesten Scanner auf diesen Sites anzubieten. Manchmal lassen sie Ihre Produkte hier aber auch mit Einstellungen unterhalb des Limits arbeiten, so dass sie weniger Schadprogramme als im normalen Betrieb erkennen5  und somit ihre wirklichen Erkennungsfähigkeiten nicht preisgeben.

DIE HACKER-SZENE FORMIERT SICH NEU

Heutzutage sind Schadprogramme, die die Schutzfunktionen von Sicherheitslösungen umgehen können, durchaus keine Seltenheit mehr. Indes arbeitet die Mehrheit der Malware-Autoren weiterhin ausschließlich daran, deren Entdeckungs-Mechanismen zu überlisten.

Einige Anti-Malware-Produkte sind nur in geringem Umfang mit Schutzmechanismen ausgestattet, und die Umgehung ihrer Entdeckungs-Funktionen ist immer noch gleichbedeutend mit der Umgehung des gesamten Produkts. Vor diesem Hintergrund ist es auch nicht verwunderlich, dass getarnte Win32-PE-Malware-Samples auf einem PC mit Core2-Duo-Prozessor (2,5 GHz) in nur rund zwei Minuten enttarnt werden konnten. Dieselben Malware-Testdateien können mit einer zwei Jahre alten verhaltensbasierten Technologie proaktiv erkannt werden6 .

Es ist klar, dass die aktuelle Aufregung um Technologien für Schutzfunktionen und dynamisches Testen einige Virenautoren dazu verleitet, sich eingehender mit diesen Technologien zu beschäftigen.

Es existieren zahlreiche Szenarien, die möglicherweise eintreten können: Zunächst ist es wahrscheinlich, dass sich im Untergrund neue Gruppen zusammenschließen, die neue Funktionen für Schadprogramme schreiben, die sie für die Umgehung der Schutzfunktionen benötigen. Zweitens kann ein neuer Markt für verbesserte Multi-Scanner entstehen, die in der Lage sind, sowohl die Schutztechnologien als auch die Entdeckungs-Mechanismen von Sicherheitslösungen zu testen. Durch Schadprogramme, die Schutztechnologien umgehen, werden Entwickler vor das große Problem gestellt, Sicherheitslücken, die von den Malware-Verfassern ausgenutzt werden, schließen zu müssen. Während Softwarehersteller ein Signaturen-Update innerhalb von Stunden oder sogar Minuten zur Verfügung stellen können, nimmt das Schließen von Schwachstellen weitaus längere Zeit in Anspruch – die Reaktionszeiten können Wochen betragen.

WAS KÖNNEN TESTER TUN?

Die Veröffentlichung detaillierter Testergebnisse auf einer Pro-Sample-Basis ist im Falle von dynamischen Tests eine weitaus gefährlichere Option als beim Response-Time-Testverfahren. In letzterem Falle ist das Risiko, zu viele Informationen preiszugeben, gering bis moderat, wohingegen es bei dynamischen Tests sehr hoch ist.

Da die Anzahl der verfügbaren Testdateien begrenzt ist, ist die Überprüfung dieser Samples von großer Bedeutung. Wenn die Tester die Testergebnisse für jedes dieser relevanten Samples veröffentlichen, einschließlich Details darüber, wie einzelne Produkte sich ihnen gegenüber verhalten, werden damit extrem wertvolle Informationen an Malware-Verfasser weitergegeben. Sie geben ihnen Aufschluss darüber, gegenüber welchen Sicherheitslösungen sie ihre eigenen Kreationen verbessern müssen.

Das Fachmagazin Virus Bulletin veröffentlicht zum Beispiel bisher noch keine Testergebnisse dynamischer Schädlingserkennung, sondern plant, Daten aus seiner (zukünftigen) monatlichen Statistik (Prevalence Table) zur Auswahl der Samples für die Tests zu verwenden. Zu Beginn nennen die Tester zwar lediglich Malware-Familien, es ist jedoch nicht ausgeschlossen, dass sie letztendlich auch die Namen von spezifischen Schadprogrammen bekannt geben7 .

Das Testlabor AV-Comparatives veröffentlicht ebenfalls noch keine dynamischen Testergebnisse, will aber die Namen der für seine künftigen dynamischen Tests verwendeten Samples veröffentlichen.

Wie bereits erläutert, sollte von letzterer Möglichkeit besser Abstand genommen werden. AV-Test, das bereits dynamische Tests durchführt, hat einen besseren Ansatz gewählt: Zeitschriften ist es untersagt, die Namen von Schadprogrammen oder Signaturen von Dateien, die für den Test benutzt wurden, zu veröffentlichen. Jedoch teilt AV-Test den AV-Herstellern, die sich an den Tests beteiligt haben, die Signaturen oder Samples mit 7 .

Auch wenn dieser Ansatz für Enduser etwas weniger transparent ist, so ist er im Hinblick auf die Risikoreduzierung auf jeden Fall vorzuziehen, wobei es jedem Hersteller auch erlaubt ist, dem Tester mitzuteilen, wenn seiner Ansicht nach ein nicht-relevantes Sample in der Testreihe verwendet wurde.

FAZIT

Durch die Ausweitung der dynamischen Testmethode entstehen neue Herausforderungen. Tests zur Schädlingserkennung können mehr denn je reale Folgen für Verfasser von Schadprogrammen und ihre Aktivitäten haben. Die Hersteller von Antiviren-Lösungen müssen darauf achten, bei der Information und Aufklärung der Anwender nicht den eigentlichen Zweck ihrer Produkte aus den Augen zu verlieren: den Anwenderschutz.

Es gilt, Sorgfalt walten zu lassen, um keine Situation entstehen zu lassen, in der Aufklärung die Weiterentwicklung von Schadprogrammen beschleunigt und mehr Probleme als Lösungen schafft. Zu den fundamentalen Prinzipien des AMTSO-Grundsatzpapiers gehört, dass die Allgemeinheit nicht gefährdet werden darf (http://www.amtso.org/documents.html).

Die Aufmerksamkeit, die Schutztechnologien und dynamischen Tests entgegen gebracht wird, führt unausweichlich zu größerer Bekanntheit der Produkte, auch bei Malware-Autoren. Es liegt in der Verantwortung der ganzen Branche – möglicherweise durch Vertretung der AMTSO – die Risiken zu minimieren und sicherzustellen, dass Tester in ihren veröffentlichten Testergebnissen nicht zu viele Informationen offen legen.


  1. AV-Test Response-Time-Test 2005 
  2. AV-Test Reaktionszeiten der W32/ Sober-Variante 
  3. F-Secure W32/Sober.K write-up 
  4. Kennedy, M., persönliche Aufzeichnungen 
  5. Bosveld, J.; Canto, J., persönliche Aufzeichnungen 
  6. Wenn Sie den genauen Namen des Samples erfahren möchten, kontaktieren Sie den Autor dieses Artikels 
  7. Clementi, A.; Hawes, J.; Marx, A., persönliche Aufzeichnungen 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.