Traditionelle Antivirus-Lösungen – sind sie gegen heutige Bedrohungen wirksam?

Es ist klar, dass sich im Laufe der Jahre die Bedrohung für PC-Anwender wesentlich verändert hat. Die heutigen Bedrohungen sind komplexer als je zuvor. Ein Großteil der heutigen Malware, und dazu gehören unter anderem Trojaner, Hintertüren und Proxy Server von Spammern, sowie Viren und Würmer, wird gezielt dafür erstellt, die Geräte von Anwendern für eigene Zwecke zu benutzen; und es ist leicht möglich, dass ein einzelner Trojaner auf vielen Tausenden infizierten PCs angetroffen wird. Bösartige Codierungen können in E-Mail eingebettet werden, in vorgetäuschte Softwarepakete injiziert werden, oder in einer ‚Grauzone‘ auf Internetseiten gestellt werden, und zwar zum Download durch einen Trojaner, der auf einem infizierten Gerät installiert ist. Das Ausmaß des Problems ist auch rein zahlenmäßig immer weiter angewachsen – die Antivirus-Datenbanken von Kaspersky Lab enthalten inzwischen annähernd 100.000 Aufzeichnungen.

In den letzten Jahren ist die Fähigkeit traditioneller auf der Virensignatur beruhender Antivirus-Lösungen, mit der zunehmenden Komplexität der heutigen Angriffe fertig zu werden, in Frage gestellt worden. Seit dem CodeRed-Ausbruch im Juli 2001 wird von einigen die Ansicht vertreten, dass der Signatur-Scanner überholt ist und die Zukunft eher einer Methode gehört, die eine Art Verhaltensanalyse darstellt.

‚Die von den meisten Unternehmen verwendete Desktop-Antivirus-Software auf der Grundlage einer Virensignatur bietet heute nur einen geringfügigen Wert und dieser Wert verringert sich ständig. Gartner ist der Ansicht, dass Unternehmen damit beginnen sollten, ihre auf der Signatur beruhende Technik jetzt aufzurüsten und sie schließlich durch robustere Methoden zu ersetzen. Unternehmen, die das nicht tun, werden von Schadsoftware überschwemmt werden, die auf der kommenden Welle von Web-Dienstleistungen mitreisen wird.‘
2001.
Signature-Based Virus Detection at the Desktop is Dying, Gartner, 2001.

Wie hat sich die Bedrohung also verändert und welche und welche Schlussfolgerungen sind daraus über die Wirksamkeit traditioneller Antivirus-Lösungen zu ziehen?

Die Geschwindigkeit, mit der heutige Bedrohungen zuschlagen, hat sich über alle Maßen verändert. In der ‚guten alten Zeit‘ wurde die Verbreitungsfähigkeit eines Virus durch den Anwender begrenzt. Viren konnten sich nur so schnell fortbewegen, wie die Aktivität des Users es zuließ. Boot sector viruses, die für PC-Anwender die größte Gefahr darstellten und bis Mitte der neunziger Jahre mehr als 75% aller Infektionen verursachten, konnten sich nur ausbreiten, wenn Disketten getauscht wurden. Das bedeutet, global gesehen bewegten sie sich nur langsam und Infektionen waren meist lokal begrenzt. Die Sache änderte sich wesentlich als 1995 Makroviren aufkamen. Die Tatsache, dass sie es auf Dateien (vor allem Microsoft Office Dokumente und Tabellenkalkulationen) abgesehen hatten, gab ihnen einen gewissen Vorsprung. Ebenso die Tatsache, dass sich E-Mail zu der Zeit im Geschäftsleben gerade richtig durchsetzte. Das bedeutete, die Viren konnten sich Huckepack von allen E-Mails mitnehmen lassen, die von dem infizierten Anwender verschickt wurden, und so ihren Weg zu allen finden, mit denen der Anwender Kontakt aufnahm. Aber selbst bei Makroviren musste ein Anwender aktiv werden und es war nötig, dass ein ahnungsloser User infizierte Dateien austauschte.

Melissa, vom März 1999 markierte einen Quantensprung nach vorn in der Infektionsgeschwindigkeit. Oberflächlich betrachtet unterschied sich Melissa nicht von anderen Makroviren. Jedoch im Gegensatz zu früheren Makroviren, die darauf warteten, dass der User die infizierten Daten verschickte, benutzte Melissa das E-Mail-System, um sich selbst aktiv zu verbreiten. (Melissa war nicht der erste Virus, der versuchte, sich selbst massenhaft zu verschicken. 1998 enthielt der Virus RedTeam schon Codierung, um sich selbst über das Internet zu verschicken. Dieser Virus zielte jedoch nur auf Eudora-Mail ab und verbreitete sich nicht in bedeutender Anzahl.) Alles was vom Anwender noch gebraucht wurde, war ein Doppelklick auf den infizierten E-Mail-Anhang. Danach holte sich der Virus E-Mail-Adressen aus dem Outlook Adressbuch und schickte sich selbst an die dort aufgeführten Kontaktpersonen. Durch dieses Massen-Mailprogramm konnte Melissa sich weiter und schneller ausbreiten als alle früheren Makroviren. Infizierte E-Mail-Systeme von Firmen waren schnell mit E-Mail verstopft und viele brachen einfach unter dem Druck zusammen. So ist es kaum überraschend, dass Melissa einen Trend ausgelöst hat. Seit März 1999 haben fast alle großen Viren und Würmer, die Firmen und private User bedrohten, auch diese Fähigkeit zum Mass-Mailing gehabt.

Es hat jedoch auch noch andere Entwicklungen gegeben, die es gemeinsam ermöglichen, dass sich Bedrohungen weiter und schneller verbreiten als je zuvor.

Vor allem nutzen jetzt immer mehr Bedrohungen die angegriffenen Systeme selbst aus, um im Firmennetz Fuß zu fassen und sich schneller auszubreiten. Solche Angriffsmethoden gehörten früher eher zum Vorgehen von Hackern, statt zu Virusschreibern, das bedeutet also eine wesentliche Abweichung von der älteren Virengeneration. Früher haben sich die Virenautoren auf ihren eigenen Code für die Verbreitung verlassen und ließen den ahnungslosen User den Rest erledigen. Heute sind immer mehr Bedrohungen auf die mögliche Hilfe eingestellt, die sie durch Schwachstellen in gewöhnlichen Anwenderprogrammen und Betriebssystemen erhalten können. Interessanterweise war Melissa die erste Bedrohung, die solch eine Schwachstelle ausnutzte, indem sie die Verbreitungsfähigkeit anzapfte, die Microsoft Outlook bietet. Jedoch erst 2001 mit CodeRed und Nimda, wurde dies erstmals zum festen Bestandteil von Viren und Würmern. CodeRed, der im Juli 2001 auftauchte, war ein ‚dateiloser‘ Wurm. Ganz und gar im Gegensatz zur vorhandenen Virenpraxis existierte Wurm lediglich im Speicher und unternahm keinerlei Versuch, in einem infizierten Gerät Dateien zu infizieren. Der Wurm machte sich eine Schwachstelle von Microsoft IIS Servern zunutze (beschrieben in MS01-033 ‚Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise‘), um Windows 2000 Server anzugreifen. Er verbreitete sich über TCP/IP Übertragungen an Port 80, startete sich dabei selbst im Speicher durch einen Pufferüberlauf und schickte sich dann auf dieselbe Weise an andere Server, die eine Schwachstelle boten. Nimda tauchte kurze Zeit später auf, im September 2001. Nimda infizierte Dateien, verließ sich aber im Gegensatz zu früheren Bedrohungen mit Mass-Mailing nicht darauf, dass der User eine infizierte EXE-Datei im Anhang einer E-Mail anklickt. Statt dessen nutzte er eine Schwachstelle im Internet Explorer, um sich selbst automatisch auf angreifbaren Systemen zu starten (MS01-020, ‚Incorrect MIME header can cause Outlook to execute e-mail attachment‘). Dies war eine Schwachstelle, die 6 Monate alt war, aber sehr vielen Systemen waren noch nicht korrigiert und sie waren deshalb noch angreifbar, und die Ausnutzung dieser Schwachstelle half Nimda, innerhalb von nur wenigen Stunden Systeme auf der ganzen Welt zu infizieren.

Die Verwendung solcher Exploits, die Systemschwachstellen ausnutzen, ist inzwischen etwas Alltägliches geworden. Tatsächlich haben einige Bedrohungen die Verwendung ‚traditioneller‘ Virentechniken ganz und gar vermieden. Lovesan, Welchia und unlängst Sasser sind Beispiele von reinen Internet-Würmern. Kein Mass-Mailing, keine Notwendigkeit, dass ein User ein infiziertes Programm ausführt. Statt dessen verbreiten sich diese Bedrohungen direkt über das Internet von Gerät zu Gerät und nutzen dazu verschiedene Systemschwachstellen. Lovesan nutzte die Schwachstelle MS03-026 aus (‚Pufferüberlauf in RPC Interface könnte Ausführung der Codierung zulassen‘). Welchia nutzte die selbe Schwachstelle aus, plus MS03-007 (‚Ungeprüfter Puffer in Windows Komponente könnte Server-Schädigung verursachen‘). Sasser nutzte die Schwachstelle MS04-011 aus (ein Pufferüberlauf im Windows LSASS.EXE service).

Andere verbinden die Ausnutzung von Systemschwachstellen mit weiteren Infektionsmethoden. Nimda hatte zum Beispiel mehrere Angriffsmechanismen. Neben dem weiter oben dargestellten Mass-Mailing des Virus wurde von Nimda auch eine virale Exploit-Codierung (in Form von infizierter Java-Codierung) an HTML-Dateien angehängt. Wenn das infizierte Gerät ein Server war, wurde man als User also beim Zugriff auf die infizierten Seiten über das Web infiziert. Nimda ging auch noch weiter in dem Bemühen, sich selbst über das Firmennetz zu verbreiten, und zwar tastete er das Netzt nach zugänglichen Ressourcen ab und legte dort Kopien von sich ab, damit sie von ahnungslosen Anwendern ausgeführt würden. In infizierten Geräten wandelte der Virus außerdem die lokalen Laufwerke in offene Gemeinschaftseinrichtungen um, und ermöglichte so den Fernzugriff für jeden, der etwa böse Absichten hat. Sicherheitshalber nutzte Nimda auch noch die Sicherheitsverleztung MS00-078 (‚Web Server Folder Traversal‘) im Microsoft IIS (Internet Information Server) ), um angreifbare Server mit Downloads einer Kopie von sich selbst von bereits infizierten Geräten im Netz zu infizieren. Nimdas vielseitige Angriffsstrategie in Kombination mit der Ausnutzung von Systemschwachstellen wird von vielen als ein ‚Mischangriff‘ bezeichnet.

Dieser Trend hat sich fortgesetzt. Viele der heutigen ‚erfolgreichen‘ Bedrohungen (d.h. erfolgreich aus der Sicht des Virenautors) benutzen mehrere Angriffsmechanismen und nutzen Systemschwachstellen aus, um den User zu umgehen und Codierungen automatisch zu starten, wodurch die ‚Vorlaufzeit‘ zwischen dem Auftreten einer neuen Bedrohung und ihrer seuchenartigen Ausbreitung drastisch reduziert wird. Die Bedrohungen sind heute ohne Frage schneller als je zuvor. Während früher ein Virus für eine weitverbreitete Zirkulation Wochen oder gar Monate brauchte, können die heutigen Bedrohungen eine weltweite Verbreitung innerhalb von Stunden erreichen – indem sie auf dem Rücken unserer E-Mail-Infrastruktur, die für unsere Geschäftswelt so entscheidend ist, mitreisen und die zunehmenden Systemschwachstellen ausnutzen, die ihnen ein Sprungbrett in die Unternehmenswelt bieten.

Nicht alle erfolgreichen Bedrohungen nutzen Systemschwachstellen aus. Die von Melissa 1999 angeführte Technik des Mass-Mailing erweist sich weiterhin als erfolgreich, insbesondere wo ’social Engineering‘ (soziale Manipulation) angewendet wird, um die bösartige Absicht des per E-Mail transportierten Virus oder Wurms zu verbergen. Social Engineering bezeichnet eine nicht technische Sicherheitsverletzung, die stark auf den menschlichen Dialog baut und User durch List dazu bringt, gegen normale Sicherheitsmaßnahmen zu verstoßen. Im Zusammenhang mit Viren und Würmern bedeutet es speziell jeden Trick der etwa angewendet wird, um naive Anwender dazu zu verführen, die Schadcodierung auszuführen, und zwar typischer Weise durch das Anklicken einer Datei im Anhang. Das kann für den Virusautor zu sehr wirksamen Ergebnissen führen. Der Wurm Swen (aufgetreten im September 2003) war getarnt als ein spezielles Korrekturprogramm von Microsoft, das angeblich alle Sicherheitsschwachstellen schließen sollte. Swen war sehr überzeugend, nicht nur weil er echt wirkende Dialogfelder benutzte, sondern weil er kurz nach Lovesan und Welchia folgte und damit zu einer Zeit auftrat, als die Korrektur von anfälligen Systemen groß im Gespräch war. Mimail.i (November 2003) kombinierte social Engineering mit einem ‚Phishing‘-Scam und versuchte Anwender mit List dazu zu bringen, Angaben zu PayPal Kreditkarten zu machen, die dann an den Autor des Wurms weitergeleitet wurden. Solche Phishing-Scams zum Erschleichen von Informationen sind in den letzten Monaten immer üblicher geworden.

Die Anzahl neuer Bedrohungen wächst weiterhin stetig an, es treten jeden Tag mehrere Hundert neue Bedrohungen auf. Wie weiter oben beschrieben sind viele der heutigen Bedrohungen zusammengesetzte ‚Bündel‘, die unterschiedliche Bedrohungsarten enthalten. Den Autoren bösartiger Codierung steht ein breit gefächertes ‚Menü‘ an Malware zur Verfügung. Neben der ‚traditionellen‘ Bedrohung durch Viren gibt es heute E-Mail und Internet-Worms, Trojanische Pferde und eine Vielzahl anderer Bedrohungsarten. Oft legt ein Virus oder ein Wurm auf dem infizierten System ein Trojanisches Hintertürchen ab. Das ermöglicht die Fernsteuerung des Geräts durch den Autor des Virus oder des Wurms, oder durch jeden anderen, der den Trojaner zur Verteilung von Spam oder für sonstige bösartige Zwecke von ihm ‚gemietet‘ hat. Es ist z.B. klar, dass mehrere Varianten von Sobig, Mydoom, Bagle und Netsky nacheinander verwendet wurden, um Computer in der Praxis für die spätere Benutzung zu ‚impfen‘. Oder die Codierung kann einen Download-Trojaner enthalten, der speziell dafür ausgelegt ist, Schadsoftware – etwa ein Update für den Virus oder Wurm – von einer fernen Website herunter zu ziehen. Wiederum kann sie auch einen DoS-Angriff (Verweigerung der Dienstleistung) enthalten, die dafür ausgelegt ist, bestimmte Websites zu zerstören, wie bei CodeRed, Mydoom und Sobig, Mydoom, Bagle and Netsky.

Durch die zunehmende Geschwindigkeit der Angriffe wird die Schnelligkeit, mit der Antivirus-Anbieter auf neue Bedrohungen reagieren, wichtiger als je zuvor. In der schon erwähnten ‚guten alten Zeit‘ waren vierteljährliche Updates für die meisten Kunden ausreichend. Später wurden monatliche Updates die Norm. Nach Melissa und LoveLetter gingen dann die meisten Antivirus-Anbieter zu wöchentlichen Updates der Virusdefinitionen über. Jetzt bieten mehrere von ihnen tägliche Updates an. (Ein Antivirus-Anbieter, Kaspersky Lab, bietet stündliche Updates von Virusdefinitionen an.) Die Reaktionsgeschwindigkeit hat sogar vor kurzem bei einigen unabhängigen Antivirus-Tests eine Rolle gespielt (AV-Test.org & GEGA IT-Solutions GbR haben die Reaktionsgeschwindigkeit 2004 mehrmals überprüft). Obwohl Virusdefinitionen schneller als je zuvor zur Verfügung stehen, gibt es dennoch eine Lücke zwischen dem Auftauchen einer neuen Bedrohung und der Möglichkeit, sie zu blockieren, eine Lücke, durch die sich ein Virus oder Wurm unkontrolliert verbreiten kann. Und das bringt uns wieder zu den Fragen von vorher zurück. Können Antivirusprodukte mit den Bedrohungen von heute und morgen fertig werden? Ist der Signatur-Scanner überholt? Gehört die Zukunft der Verhaltensanalyse oder anderen generischen (allgemeingültigen) Methoden? Um diese Fragen zu beantworten, müssen wir uns ansehen, was als Alternative vorgeschlagen wird.

Eine Technik, die oft als Nachfolger für das Scannen der Signatur betrachtet wird, ist das Behavior Blocking (Sperren bestimmter Verhaltensweisen). Das ist keine neue Idee. Einige Anbieter von Sicherheitsprodukten haben diesen Weg schon Anfang der neunziger Jahre als Reaktion auf den starken Anstieg in der Anzahl der Viren eingeschlagen, weil sie fürchteten, dass die Virusforschung von der schieren Menge überwältigt werden könnte.

Traditionelle Antivirus-Scanner speichern Signaturen von Schadcodierungen in einer Datenbank und führen beim bei der Abtastprüfung einen Vergleich mit dieser Datenbank durch. Im Gegensatz dazu bestimmen die Behavior Blocker anhand dessen, was eine Anwendung tut, ob sie bösartig ist oder nicht. Wenn eine Anwendung etwas tut, was nicht im Bereich der zulässigen Aktionen liegt, wird ihre Ausführung eingeschränkt. Zum Beispiel kann das Schreiben in bestimmten Teilen des Systemregisters, oder das Schreiben in bestimmten Ordnern als Bedrohung definiert werden. Dabei kann die Aktion blockiert oder der Anwender über die versuchte Aktion informiert werden. Diese ziemlich einfache Methode kann weiter ausgebaut werden. Es ist z.B. möglich, den Zugriff einer Anwendung einzuschränken (z.B. für den Internet Explorer für begrenzte Teile des Systemregisters einen Nur-Lese-Zugriff zu gewähren) und den Zugriff für andere Anwendungen nicht einzuschränken.

Eine andere auf dem Verhalten beruhende Methode wird als ‚Wrap‘ (einwickeln, verpacken) bezeichnet und begrenzt die Aktion einer Download-Anwendung auf das lokale System – die Anwendung läuft in einem schützenden ‚Sandkasten‘ (oder ‚Spielplatz‘ oder ’sicheren Cache‘), um ihre Aktionen gemäß einer vorherigen Festlegung zu begrenzen. Der Ablauf des Programms wird nach bestimmten Regeln geprüft. Je nachdem, welche Festlegungen getroffen wurden, können Aktionen des Programms als Verletzung der Bestimmungen betrachtet werden, und in so einem Fall wird die unzulässige Aktion blockiert.

Der Hauptvorteil eines solchen Verhaltensblockers liegt nach seinen Befürwortern darin, dass er zwischen ‚guten‘ und ‚bösen‘ Programmen unterscheiden kann, ohne dass ein professioneller Virusfurscher die Codierung analysieren muss. Da es nicht nötig ist, laufend jede spezielle Bedrohung zu analysieren, ist es auch nicht nötig, laufend Virussignaturen zu aktualisieren. Somit sind Anwender schon im voraus gegen neue Gefahren geschützt, ohne dass traditionelle Antivirus-Updates nötig sind.

Es hat jedoch auch schon immer mögliche Nachteile der Verhaltensanalyse gegeben. Ein Hauptproblem liegt in der Tatsache, dass es eine Grauzone gibt zwischen eindeutig ‚bösen‘ Aktionen und solchen, die legitim sind. Was in einem feindseligen Programm Schaden anrichtet, kann in einem legitimen Programm gut sein. Die niederen Schreibfunktionen, die z.B. ein Virus, Wurm oder Trojaner ausführt, um womöglich Daten von Ihrer Festplatte zu löschen, werden auch ganz legitim vom Betriebssystem angewendet. Wie soll ein auf einem Daten-Server eingesetzter Behavior Blocker wissen, ob eine Änderung (oder Löschung) eines Dokuments berechtigterweise von einem User vorgenommen wird oder die Folge eines feindlichen Programms auf dem infizierten Gerät des Anwenders ist? Schließlich ist ein Virus oder Wurm einfach ein Programm, das sich selbst kopiert. Darüber hinaus verhält es sich vielleicht genau so wie jedes andere normale Programm. Folglich kann es sehr schwierig sein festzulegen, nach welchen Regeln man etwas als ‚böse‘ definieren sollte. Außerdem gibt es eindeutig ein Risiko, dass ein falsche Alarm ausgelöst wird, dass eine Anwendung oder ein Prozess als Gefahr gekennzeichnet wird, obwohl er tatsächlich vollkommen legitim ist. Dieses Risiko steigt mit der Zunahme von Spyware, Adware, Dialers und weiteren ‚unerwünschten‘ Programmen, die keine Viren sind.

Ausgehend hiervon ergibt sich ein weiteres mögliches Problem. Wenn ein Behavior Blocker im Desktop installiert ist, bleibt womöglich dem User die Entscheidung überlassen, ob eine ausgelöste Warnung ein falscher Alarm ist oder nicht. Viele Anwender werden jedoch kaum einschätzen können, ob sie das Programm weiter laufen lassen sollten, oder sie verstehen die Warnung womöglich überhaupt nicht. Das führt zu zwei Möglichkeiten. Die erste ist die, dass der Anwender, der nicht zwischen einer berechtigten und unberechtigten Aktion unterscheiden kann, einfach ‚OK‘ eintippt – und das immer so macht. Das eine Mal, wo es sich um einen echten Virus handelt, tippt er auch ‚OK‘ ein … und der Virus schlüpft durch das Netz! Die zweite Möglichkeit ist die, dass die IT Abteilung des Unternehmens den Behavior Blocker genervt abschaltet, weil ständig Fragen von den Anwendern kommen.

Eine Möglichkeit, dieses Problem ganz und gar zu umgehen, ist der Einsatz der Verhaltensanalyse am Internet Gateway (Netzübergang), statt am Desktop. Dadurch kann die IT Abteilung eines Unternehmens entscheiden, was als verdächtig gilt, und nicht der ratlose Endnutzer. Es ist jedoch wichtig dass man beachtet, dass E-Mail zwar eine übliche Infektionsquelle ist (88% der Teilnehmer an der ICSA Computer Virus Prevalence Survey 2003 [Unter-suchung zu vorherrschenden Computerviren] gaben Infektion per E-Mail an), dass das jedoch nicht die einzige ist. Genau so wenig dringen alle Bedrohungen per Internet Gateway ein.

Als Nachfolger der oben beschriebenen Technik der Verhaltensanalyse kann man IPS-Systeme zum Einbruchschutz (Intrusion Prevention Systems) betrachten, obwohl einige IPS-Systeme auch eine Meldefunktion auf des Basis der Signatur bieten.

Bei IPS für Endsysteme, wo es um den Schutz von Desktops und Servern geht, wird zur Erkennung von bösartiger Codierung typischer Weise die Verhaltensanalyse angewendet. Das geschieht dadurch, dass alle Systemaufrufe überwacht und mit Festlegungen verglichen werden, die ’normales‘ Verhalten darstellen. Solche Festlegungen können ziemlich kleinteilig (granular) sein und Verhaltensweisen auf bestimmte Anwendungen beziehen. Auf diese Weise können Vorgänge wie das Öffnen von Ports im System, das Scannen von Ports, Versuche, höhere Berechtigungen im System zu erlangen, sowie die Einspeisung von Codierung in laufende Prozesse als abweichendes Verhalten blockiert werden. Bei manchen IPS-Systemen werden ergänzend zur Verhaltens-analyse auch Signaturen bekannter Schadcodierungen eingesetzt.

IPS für Netzwerke, in das Netzwerk eingereiht, filtert Datenpakete nach Schadcodierungen und achtet dabei auf ungewöhnliche Bandbreitennutzung oder Normabweichungen im Datenverkehr (wie z.B. fehlgestaltete Datenpakete). IPS für Netzwerke ist besonders nützlich, um DoS-Attacken zu entdecken, oder den Datenverkehr, den Netzwerk-Würmer auslösen.

Anbieter von IPS geben an, dass diese Technik bei Schwachstellen, die entweder unbekannt sind, oder für die es kein Korrekturprogramm gibt, einen wirksamen Schutz gegen sogenannte ‚Zero-Day‘-Attacken (Angriffe am Tage Null) bietet. Im Gegensatz zu Einbruchmeldesystemen IDS (Intrusion Detection Systems), die bei nicht normalen Aktivitäten eine Warnung abgeben, kann IPS Schadcodierungen blockieren. Allerdings würden IPS-Anbieter kaum behaupten, dass sie einen Ersatz für traditionellen Antivirus-Schutz anbieten, sondern ihre Produkte eher als eine ergänzende Lösung einordnen.

Ein Hauptproblem bei IPS, wie schon bei älteren Programmen der Verhaltens-analyse, ist das Risiko des falschen Alarms. Damit dieses Risiko so gering wie möglich ist, enthalten die meisten Programme einen ‚Lern-Modus‘, der ausschließlich mit der Meldefunktion ausgestattet ist, in welchem das Produkt sich ein Bild davon aufbauen kann, wie ’normales‘ Verhalten in einem spezifischen Umfeld aussieht. Der Nachteil dabei ist die notwendige sorgfältige Abstimmung, es gibt also sehr viel mehr Organisationsaufwand als beim traditionellen Antivirus-Schutz.

Dazu kommt noch, dass IPS periodische Updates braucht, genau wie traditionelle Signatur-Scanner. Man darf nicht vergessen, dass sie schließlich ganz spezielle Bedrohungen bearbeiten. Da ständig neue Gefahren auftauchen, kann der Behavior Blocker ein feindseliges Programm, das eine neue Angriffsmethode benutzt, nicht finden bevor er aktualisiert worden ist.
Eine weitere Möglichkeit, unerwünschten Datenverkehr zu überwachen und zu blockieren, bieten persönliche Firewalls. Wie der Name schon sagt (und im Gegensatz zu einer traditionellen Gateway-Firewall), wird eine persönliche Firewall auf einem Desktop oder Server installiert. Sie funktioniert wie ein ‚Verkehrspolizist‘ für den Desktop, beobachtet ankommenden und abgehenden Datenverkehr und lässt dabei nach vorherigen Festlegungen Verbindungen zu oder blockiert sie. Es gibt bei persönlichen Firewalls zwei typische Aspekte. Einerseits bieten sie das Filtern von Anwendungen. Das bedeutet, sie ermöglichen es, dass für allgemein genutzte Anwendungen wie Web-Browser, ICQ, Instant-Messaging-Programme usw. Regeln festgelegt werden. Außerdem bieten persönliche Firewalls das Filtern von Daten-paketen. Sie analysieren Datenübertragungen (Titel, verwendetes Protokoll, Ports, IP-Adressen, usw.) und filtern Datenpakete auf der Grundlage der eingestellten Festlegungen.

Wie bei IPS ist das Ziel der Schutz gegen Angriffe, die vertrauliche Informationen stehlen sollen, Netzwerk-Würmer und Schadcodierungen, die versuchen, das Gerät des Opfers in einen ‚Zombie‘ für den Einsatz in Spam-Attacken zu verwandeln.

Der Vorteil persönlicher Firewalls besteht darin, dass sie einen generischen (allgemeingültigen) Schutz vor Angriffen durch unbekannte Schadcodierun-gen bieten und nicht von Signaturen bekannter Bedrohungen abhängig sind. Der Nachteil ist, dass sie sorgfältig ‚maßgeschneidert‘ werden müssen, um zu ‚lernen‘, was für jedes spezifische Umfeld ’normal‘ oder ‚akzeptabel‘ ist.
Bisher haben wir die Veränderung der Bedrohung betrachtet und einige der Technologien, die als Alternative zu traditionellen Signatur-Scannern gelten. Man darf jedoch nicht vergessen, dass jede auftauchende Generation von Schadcodierungen die Bedrohungslandschaft verändert hat und Antivirus-Programme sich ständig weiter entwickelt haben, um den neuartigen Bedrohungen zu begegnen. In diesem Sinne gibt es so etwas wie einen ‚traditionellen‘ Antivirus-Schutz überhaupt nicht.

Zunächst kann man durchaus einmal anmerken, dass Antivirus-Programme nie allein auf der Signatur basierten. Ganz zu Anfang, als Viren noch in Zehnern statt in Zehntausenden gezählt wurden, waren Prüfsummen-methoden ein Kernelement der Antivirusabwehr. Und zur Erkennung von polymorphen Viren wurden auch schon immer zusätzliche Methoden eingesetzt, unter anderem die Analyse und Emulation (Simulation) von Codierungen.

Gleichermaßen werden heuristische Analysen zur Entdeckung neuer, unbekannter Gefahren bereits seit mehr als zehn Jahren angewendet. Zur heuristischen Analyse gehört die Prüfung der Codierung in einer Datei (oder einem sonstigen Objekt) auf virusartige Instruktionen. Wenn die Anzahl virusartiger Instruktionen einen festgelegten Schwellwert überschreitet, wird der Virus als eine möglicher Virus gemeldet und der Kunde gebeten, eine Probe zur weiteren Analyse einzuschicken. Die heuristische Analyse ist im Laufe der Jahre weiter entwickelt worden und hat positive Resultate bei der Entdeckung neuer Gefahren gebracht. Natürlich gibt es auch das Risiko des falschen Alarms, wenn die Heuristik nicht sorgfältig abgestimmt wird. Deshalb reduzieren die meisten Antivirus-Anbieter, die Heuristik in ihre Produkte einbauen, deren Empfindlichkeit so, dass ein möglichst geringes Risiko für falschen Alarm besteht. Und viele Anbieter sperren die Heuristik als Standardeinstellung. Der andere Nachteil ist der, dass Heuristik lediglich dem Entdecken dient. Zur Beseitigung muss man auch wissen, welche Änderungen der spezielle Virus, Wurm oder Trojaner an dem befallenen Objekt verursacht hat.

In den letzten Jahren haben mehrere Antivirus-Anbieter generische Erkennungsmethoden zum Entdecken und Beseitigen unbekannter Bedrohungen entwickelt. Der Ausgangspunkt für eine generische Erkennung ist die Tatsache, dass ‚erfolgreiche‘ Bedrohungen (d.h. erfolgreich aus der Sicht des Malware-Autors) oft von anderen kopiert werden, oder vom Autor selbst weiter entwickelt werden. Daraus resultiert eine Flut von Viren, Würmern oder Trojanern, die sich zwar von einander unterscheiden, aber alle zur selben Familie gehören. In vielen Fällen kann es zig oder sogar hunderte Varianten geben. Für die generische Erkennung muss man also eine Virusdefinition erstellen, die alle Bedrohungen identifizieren kann, die zur selben Familie gehören. Wenn also NeuVirus auftaucht, wird die Definition, die zu seiner Erkennung erstellt wurde, ebenfalls erfolgreich NeuVius.b, NeuVirus.c, NeuVirus.d, usw. dann identifizieren, wenn es sie geben sollte. Solche Methoden erstrecken sich auch bis zur Erkennung von Exploit-Codierungen, die etwa von einem Virus oder Wurm benutzt werden. Es gibt natürlich keine Garantie dafür, dass die generische Erkennung alle Varianten in der Familie findet. Dennoch hat sie für eine Reihe von Antivirus-Anbietern beträchtlichen Erfolg gebracht.

Es ist noch nicht so lange her, dass Antivirus-Anbieter begannen, sich nach zusätzlichen Methoden umzusehen, mit denen sie besser in der Lage wären, neue unbekannte Gefahren zu entdecken. Dazu gehört unter anderem die Technik der Verhaltensanalyse, IPS und die persönliche Firewall. In einigen Fällen haben Anbieter Technik erworben, die von Dritten entwickelt wurde. Andere haben die Technik selbst entwickelt. Gegenwärtig vermarkten die meisten Anbieter diese Methoden einzeln, obwohl eine Integration all dieser verschiedenen Methoden bereits begonnen hat und es auch wahrscheinlich ist, dass sich das fortsetzt. Schließlich ist es beinahe sicher, dass Antivirus-Anbieter einzelne Produkte anbieten werden, die zusätzliche Technik für den Umgang mit neuen Gefahren enthalten, ohne dass dazu spezielle Signaturen benötigt werden. Dabei geht es nicht nur um Methoden der Verhaltensanalyse, IPS und persönliche Firewalls. In zunehmendem Maße wird das Sperren von Spam-E-Mail (E-Mail-Müll) und anderen schädlichen Inhalten, zusammen mit der Erkennung ‚unerwünschter‘ Programme (Spyware, Adware, Dialers, usw.) als Teil einer ‚ganzheitlichen‘ Lösung ebenfalls von Antivirus-Anbietern geboten. Diese Konvergenz der Technik zur Blockierung von Schadcodierungen spiegelt neuen Trend in den Schad-codierungen mit ihrem ‚Schmelztiegel‘ von Viren, Würmern, Trojanern und sonstigen Schadcodierungen wider. Eines scheint sicher. Erkennung auf der Basis der Signatur wird weiterhin ein Bestandteil dieser Gesamtlösung für Angriffe durch Schadcodierung sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.