Hintergrundartikel

Antivirus-Software muss Internet-Threats aktiv erkennen und abwehren

SearchSecurity

Als Malware bezeichnet man Computerprogramme, die unerwünschte und schädliche Funktionen ausführen. Malware ist üblicherweise gut getarnt und läuft völlig unbemerkt im Hintergrund ab. Solche Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien sowie die Kompromittierung anderer Sicherheitseinrichtungen wie Firewalls und Antivirenprogramme sein.

Um dem steigenden Malware-Aufkommen beizukommen, haben die Anbieter von Virenschutzsoftware die Anzahl ihrer Signaturen in weniger als zwei Jahren verdoppeln müssen. Letztendlich werden sie aber den Kampf verlieren.

Selten angekreidet: Zahlreiche Malware-Varianten stellen Signatur-basierte Antivirus-Software vor Probleme.

Mit Signatur-basierten Antivirus-Lösungen lassen sich nunmal nur bekannte Viren und Gefahren bekämpfen. Neue, unbekannte Schadcodes können Unternehmen jedoch ernsthaft schädigen, da das Zeitfenster zwischen dem Auftreten der Malware und der Bereitstellung eigener Signatur groß genug für verheerende übergriffe ist.

Die wechselhafte Natur von Malware-Angriffen

Unter dem Begriff Malware kann man jegliche Form bösartiger Software zusammenfassen, also Viren, Spyware, Adware, Trojaner oder Rootkits. Im Vergleich zu den relativ einfachen Viren, die vor circa zehn Jahren in Umlauf waren und die sich meist nicht selbst verbreiten konnten, haben sich Malware-Angriffe heute bedrohlich weiter entwickelt.

Heutige Viren sind so konzipiert, dass sie sich täglich oder bei jedem Weiterversenden ändern. Hersteller von Virenschutzlösungen müssen sich deshalb entweder auf fehleranfällige Heuristiken verlassen oder für jede Mutation eine neue Signatur entwickeln. Zudem handelt es sich bei der aktuellen Malware längst nicht mehr um einen Hackerstreich. Die Täter sind organisierte Softwareprogrammierer, die den Mitarbeitern der Virenschutzhersteller in nichts nachstehen.

Ein weiteres übel: bei einigen Programmen zum Entfernen von Malware handelt es sich selbst um Malware. Unter dieser so genannten Greyware versteht man verdeckte Anwendungen, die sich selbst installieren, um User-Informationen auszuspionieren und an externe Quellen weiterzuleiten.

Erschwerend kommt leider hinzu, dass die Urheber von Malware ihre Kreationen ständig darauf testen, ob sie von Norton, McAfee und anderen Lösungen zum Schutz vor Viren und Spyware erkannt werden. Sie stellen sicher, dass dies nicht der Fall ist, wenn sie ihre Angriffe starten. Immer mehr Malware-Programme versuchen mittlerweile, sich mit Hilfe von Rootkit-Mechanismen zu verstecken oder die Antivirensoftware auf dem Client zu deaktivieren.

Raffinierte Malware erfordert neue Abwehrmechanismen

Heute sollten sich Unternehmen nicht mehr auf eine Sicherheitslösung verlassen, die nur auf den Clients oder nur am Gateway greift. Obwohl der Schutz der Arbeitsplatzrechner weiter notwendig ist, hat der Schutz des Unternehmens-Gateways höhere Priorität, da hier der Haupteintrittspunkt für Malware liegt. Bei der Wahl einer Gateway-Sicherheitslösung sollten Unternehmen folgendes beachten:

  • Abhängigkeit von Signaturen durch aktive Lösungen reduzieren: Verbindung sollten in Echtzeit analysiert und verdächtige Codes schon vor Eintritt in das Netzwerk blockiert werden.
  • Monokulturen vermeiden: Es ist unklug, auf den Arbeitsplatzrechnern und dem Gateway die gleiche Lösung zu verwenden, besonders dann, wenn diese signaturbasiert ist. Die Gefahr, dass ein neues Malware-Programm unerkannt durch das Gateway eindringt und sich ebenfalls unbemerkt auf den Clients einnistet, ist wesentlich größer, wenn überall Anwendungen vom selben Anbieter eingesetzt werden.
  • Alle offenen Protokolle überwachen: Die meisten Unternehmen überprüfen zwar E-Mails und Internet-Datenverkehr auf Malware, doch die Schadprogramme können sich genau so einfach über Peer-to-Peer- und IM-Anwendungen sowie HTTPS-Verbindungen verbreiten.

Bekämpfung von Malware unabhängig von Virensignaturen

Es gibt einige Lösungsmodelle, um sich vor unbekannter Malware zu schützen:

  • Heuristiken: Bestehende Virenschutzlösungen können um sogenannte "heuristische" Erkennungsmethoden ergänzt werden, mit denen auch leicht abweichende Varianten von bekannten Signaturen gefunden werden. Dies stellt keine endgültig sichere Lösung dar und wirkt sich zudem negativ auf die Performance aus.
  • Sandboxen: Beim Einsatz von Sandboxen wird eine abgeschirmte, virtuelle Umgebung geschaffen, in der sich das potenziell schädliche Verhalten von aktivem Code ermitteln lässt. Neben Leistungsengpässe gibt es am Gateway keine verlässliche Möglichkeit, um herauszufinden, wie die Arbeitsplatzumgebung emuliert werden muss, damit der ausführbare Code korrekt ausgeführt werden kann.
  • Verhaltensanalyse: Aktive Lösungen analysieren den Code und ermitteln, ob dieser sich in der vorgegebenen Weise verhalten wird. Ist das Verhalten nicht regulär, wird der Code an der Ausführung gehindert.
  • Verbindungskontrolle anhand von Listen: Hierbei wird gesteuert, welche Seiten Mitarbeiter beim Surfen im Internet besuchen können (URL-Filter). Außerdem werden eingehende Emails auf bekannte "unerwünschte Absender" überprüft, von denen kein guter Inhalt zu erwarten ist. Auch wenn diese Methode alleine für Unternehmen kein ausreichendes Maß an Sicherheit bietet, ist sie eine gute Möglichkeit, vorhandene Lösungen zu ergänzen.

Gekoppelte Techniken zur Malware-Analyse

Eine umfassende Lösung, die vor dem Verlust vertraulicher Daten sowie dem Missbrauch des Internets schützt, umfasst mehrere Sicherungsstufen. Dazu zählen eine reputations-basierte Profil- und Verhaltensanalyse.

Anschließend wird der aus- und eingehende Datenverkehr untersucht. Ein URL-Filter erfasst am Gateway bekannte, kriminelle Sites und blockiert den Zugang. Im Weiteren sollte ein Medientypfilter Dateien prüfen, die vorgeben, einem anderen Dateityp anzugehören.

Unternehmen können somit potenziell gefährliche Medientypen (wie z. B. unbekannten ActiveX-Steuercode), die eine hohe Bandbreite benötigen oder die Produktivität senken (z. B. Videostreams) einfach und sicher verbieten. Außerdem sollte der eingehende Datenverkehr auf bekannte Signaturen von Viren, Spyware, Bots oder anderen unerwünschten Programmen untersucht werden.

Empfehlenswert ist zudem ein so genannter Authenticode-Filter, der sämtlichen aktiven Code auf digitale Signaturen screent. über detaillierte Einstellungsmöglichkeiten können Administratoren aktiven Code im Hinblick auf den Aussteller oder die Gültigkeit von Signaturen zulassen, blockieren oder weiter untersuchen.

In einem letzten Schritt sollten Skripte gescannt und neutralisiert werden, die versuchen, Schwachstellen beim Client auszunutzen. Auch wenn die Skripte an sich nicht schädlich sind, ermöglichen sie das Einschleusen oder Ausführen weiteren schädlichen Codes.

Verschiedene Formen von Malware

  • Computerviren sind die älteste Art der Malware. Sie verbreiten sich, indem sie Kopien von sich selbst in Programmen, Dokumenten oder Datenträgern schreiben.
  • Ein Computerwurm ähnelt einem Computervirus, verbreitet sich aber direkt über Netzwerke und versucht, in andere Computer einzudringen.
  • Das Trojanische Pferd (kurz: Trojaner) ist eine Kombination eines nur scheinbar nützlichen Wirtsprogramms mit einem versteckt arbeitenden, bösartigen Teil, oft Spyware oder eine Backdoor.
  • Eine Backdoor (Hintertür) ist eine verbreitete Schadfunktion, welche üblicherweise durch Viren, Würmer oder Trojanische Pferde eingebracht und installiert wird. Es erlaubt Dritten den unbefugten Zugriff. Backdoors werden oft genutzt, um den kompromittierten Computer als Spamverteiler oder für Denial-of-Service-Angriffe zu missbrauchen.

Frank Kölmel ist Sales Director Central and Eastern Europe bei Secure Computing.

Quelle: SearchSecurity