VIRUS.GER-Con'98

Termin: 12.09.1998
Ort: Wiesbaden
Teilnehmer: rund 80 Personen
Veranstalter: Virus Help Munich

Vorträge:

Themengebiet Virenschutz
"Webbasierendes Antivirenmangement" von Raimund Genes
"Makro-und Windows-Viren: Aktuelle Entwicklungen" von Stefan Kurtzhals
"Die Zukunft der Virenbeseitigung" von Mark Boeijen

Themengebiet Malware / Hoaxes

"Viren & Malware" von Toralv Dirro
"Internet Hoaxes" von Howard Fuhs

Themengebiet Netzwerksicherheit

"Sicherheit im Inter-/Intranet" von Volker Ludwig

Themengebiet Verschlüsselung
"Verschlüselung - Pretty Good Privacy" von Michael Rudrich

Sponsoren:

CA Computer Associates GmbH
Fuhs Security Consultants
Ikarus Software GesmbH
Network Associates GmbH
Norman Data Defense Systems GmbH
Sophos (Deutschland) GmbH
Symantec (Deutschland) GmbH
Trend Micro Deutschland GmbH

VG-Index
VHM-Startseite
HomeÜber die VHMMitglieder der VHMMakroviren-BeschreibungenFrequently Asked QuestionsKonferenz'96Konferenz'97Konferenz'98Antivirus-Links

Viren & Malware - Ausblick auf zukünftige Probleme

von Toralv Dirro, Network Associates GmbH, Dr Solomon's


Zur Person

Toralv Dirro, geboren am 21.9.1970 in Hamburg. Nach Abitur Beginn eines Informatikstudiums an der Universität Hamburg. Dort Mitarbeit im VTC unter Prof. Klaus Brunnstein, vor allem Analyse von Viren. Seit 1994 bei Dr Solomon's Software in Hamburg tätig. Neben dem Bereich Viren Beschäftigung mit Verschlüsselung und anderen Aspekten der Rechnersicherheit. Seit August 1998, nach Aufkauf von Dr Solomon's Software durch Network Associates, Mitarbeiter bei NAI.

Abstrakt

Über Jahre betrachtete man Viren als das Problem für die Sicherheit der Daten zuhause und im Unternehmen. Gefördert wurde diese Sicht natürlich durch einen dramatischen Anstieg der Zahl der Viren auf mittlerweile über 22.000. Gleichzeitig änderte sich allerdings auch grundlegend die Infrastruktur.Von einer Umgebung, die vorwiegend aus einzelnen Rechnern bestand, wo die Daten oft nur auf Diskette ausgetauscht wurden, sind die Rechner heute nicht nur im Unternehmen vernetzt, sondern auch die Unternehmen weltweit über das Internet vernetzt. Deutlich wurde dies mit dem Auftreten der Makroviren, wo sich schnell zeigte, dass die Verbreitung als Attachments an Emails den Hauptinfektionsweg darstellt. In Makroviren wurden auch neue Schadensfunktionen implementiert, die das Augenmerk wieder auf das wesentlich lenken: Den Schaden, den Viren anrichten. Allerdings hat sich nicht nur das Problem der Viren verlagert. Auch andere Formen von Malware, die vorher kaum eine Rolle spielten, treten in den Vordergrund, Trojaner und Würmer. Diese nutzen das Internet für sich und haben ein breites Spektrum von Schadensfunktionen, vom Abfangen von Benutzerkennung und Passwort bis hin zum Implementieren von Hintertüren auf einem Rechner, die eine komplette Fernsteuerung durch einen Angreifer ermöglichen. Dies macht auch neue Methoden zur Prävention, Erkennung und Beseitigung nötig.



Inhalt

Seit einigen Jahren werden Viren als das Hauptproblem für die Sicherheit der Daten zu Hause und im Unternehmen angesehen. Gefördert wird diese Sicht natürlich durch einen dramatischen Anstieg der Zahl der Viren auf mittlerweile über 22.000. Gleichzeitig ändert sich allerdings auch grundlegend die Infrastruktur. Statt einer Umgebung, die vorwiegend aus einzelnen Rechnern bestand, wo die Daten oft nur auf Diskette ausgetauscht wurden, sind die Rechner heute nicht nur im Unternehmen vernetzt, sondern auch die Unternehmen weltweit über das Internet vernetzt. Deutlich wurde dies mit dem Auftreten der Makroviren, wo sich schnell zeigte, daß die Verbreitung durch Attachments an Emails den Hauptinfektionsweg darstellt. In Makroviren wurden auch neue Schadensfunktionen implementiert, die das Augenmerk wieder auf das Wesentliche lenken: Den Schaden, den Viren anrichten.

Der Schaden läßt sich grob in folgende Klassen einteilen:

  • Geringer Schaden: Das sind vor allem Grafik-/Soundeffekte wie Textausgaben, durch das Bild fahrende Krankenwagen, etc. Die Datenverluste beschränken sich auf die gerade in Bearbeitung und noch nicht gespeicherten Arbeiten.
  • Mittlerer Schaden: Einzelne Dateien werden gelöscht oder unzugänglich gemacht (z.B. durch einen Passwortschutz für Word-Dokumente). Auch einen Denial-of-Service läßt sich in diese Kategorie einordnen. Hier ist der Rechner temporär nicht benutzbar, z.B. weil der Systemstart an bestimmten Tagen verhindert wird.
  • Schwerer Schaden: Formatieren der Festplatte, bzw. ähnliche Effekte, die den Start des Systems und damit den Zugriff auf die Daten permanent verhindern.
  • Sehr schwerer Schaden: Daten werden langsam verfälscht, so daß sich auch aus einem neuen Backup der Urzustand nicht wieder herstellen läßt. Das kann das Vertauschen von Wörtern in einem Dokument oder das Vertauschen von Bytes beim Schreiben auf die Festplatte sein.
  • Unabschätzbarer Schaden: Ein Schaden, der sich nicht genau festlegen, oft nicht eimal feststellen läßt. Zum Beispiel, wenn Außenstehende durch Weitergabe von Passwörtern Zugang zu Firmendaten erhalten, diese dann ausspionieren und sogar gezielt verändern können.

Diese Schadensfunktionen sind nicht nur auf Viren begrenzt. Vielmehr sind Viren nur eine Unterklasse von Malware. Neben Viren spielen heute Trojaner und Würmer eine große Rolle. Allen gemeinsam ist, daß eine explizite oder implizite Schadensfunktion enthalten ist. Die Bedeutung der jeweiligen Klassen von Malware ist durch Änderung der Umgebung (Einsatz lokaler Netzwerke statt Einzelplatzrechnern, Vernetzung lokaler Netzwerke zu einem WAN, Anbindung von Einzelplatzrechnern und Netzwerken an das Internet) im Laufe der Zeit Schwankungen unterworfen. Dies gilt auch für die Schadensfunktionen, die realisiert werden. Die ersten Trojaner wurden gezielt eingesetzt, um sich durch das Ausspionieren von Benutzerkennungen unautorisiert privilegierten Zugang zu Rechnern zu verschaffen. Diese waren naturgemäß kaum verbreitet. Später waren es meist Programme in Mailboxen, die angeblich nützliche Utilities sein sollte, statt dessen aber z.B. die Festplatte formatierten (PKZip-Trojan) oder versuchten, falls vorhanden, eine Mailboxsoftware zu manipulieren (Baboon). In den letzten zwei Jahren ist es zu einer Schwemme von Trojanern gekommen, die versuchen Zugangsdaten zum Internet auszuspionieren (APSTrojan, TPSTrojan, GRIC). Seit neuestem kursieren Trojaner, die sich als eine Art Remote-Administration-Client installieren, und so einem Angreifer vollen Zugriff auf ein betroffenes System ermöglichen. Würmer sind erst in letzter Zeit wieder aufgetaucht, sie werden durch die zunehmende Vernetzung begünstigt. Besonders betroffen ist davon eine Clientsoftware des beliebten Internet Relayed Chat (IRC). Viele dieser Würmer beinhalten als Schadensfunktion eine Fernsteuerung des Clients durch einen Angreifer.

Insgesamt ist ein besorgniserregender Trend in der Entwicklung der Schadensfunktionen festzustellen. Die meisten Viren enthalten keine explizite Schadensfunktion, die meisten Schäden entstehen durch Nebeneffekte in Verbindung mit anderer Software oder mit anderen Viren. Meistens funktioniert ein infiziertes System ohne Einschränkungen, erst wenn das System mit einem zweiten Virus infiziert ist, führt dies zu einem Ausfall (mittlerer Schaden), dieser läßt sich oft schon durch Entfernung der Viren beheben. Ist eine Schadensfunktion vorhanden, beschränkt sich diese meist auf einen geringen Schaden, z.B. Ausgabe von Texten, etc. Nur wenige Viren versuchen die Festplatte zu formatieren, eine langsame Manipulation von Daten ist das Ziel einiger weniger Viren wie Ripper und Nomenklatura. Dies ändert sich mit den Makroviren, mit denen die Manipulation von Daten viel einfacher zu erreichen ist. Das Verändern von Daten kann hier häufig beobachtet werden (wm/nuclear, wm/wazzu, xm/compat, xm/laroux.el). Mittlerweile machen auch Viren in ihrer Schadensfunktion von den Möglichkeiten des Internets gebrauch: FTP-Uploads (w97m/groov), Verschicken von Email (wm/sharefun), Posten von Dokumenten auf öffentlichen Newsgroups (wm/polyposter). Der Schaden der meisten aktuellen Trojaner fällt in die Kategorie unabschätzbarer Schaden. Durch das Abfangen von Zugangskennungen kann ein Angreifer Emails des Betroffenen lesen, löschen und sogar in dessen Namen Emails versenden. Der Schaden durch eine höhere Rechnung des Providers fällt da kaum noch ins Gewicht. Überhaupt nicht abzusehen ist der Schaden, der durch Trojaner wie Back Orifice entstehen kann. Dieser hat alle Features einer Remote-Administration-Software, zusätzlich noch Möglichkeiten wie das Protokollieren von Tastatureingaben und abhorchen des Netzwerkverkehrs auf Passwörter.

Ein anderer problematischer Faktor ist die zunehmende Anzahl von verschiedenen Plattformen für die Malware bekannt ist. War es bis vor ein paar Jahren das jeweilige Betriebssystem mit einem über lange Zeit gleichen Dateisystem und Dateiformat, so sind jetzt zunehmend mehr Applikationen die Plattform für die Malware. Begünstigt wird dies durch die Leistungsfähigkeit heutiger Applikationen, die häufig umfangreiche Scriptsprachen unterstützen, deren Funktionsumfang meist den, der Programmiersprachen früherer Jahre übersteigt. Derzeit sind Viren und Würmer, die applikationsbasiert sind, für Word, Excel, Access, mIRC, Java und Word Perfect bekannt. Die Anzahl der Plattformen wird weiter zunehmen, Groupwarelösungen wie Lotus Notes, MS Exchange zum Beispiel bieten ebenfalls viele Angriffspunkte. Ebenso geht vom VB-Scripting-Host von Win98 ein großes Gefahrenpotential aus, wie auch von der Weiterentwicklung von ActiveX oder Java. Durch Bugs in komplexen Anwendungen ergeben sich weiter Angriffsmöglichkeiten, wie z.B. kürzlich Bugs in einigen Mailprogrammen gezeigt haben. Für AntiVirus Software ist das natürlich problematisch, da sie ständig erweitert werden muß, um auch diese Plattformen abdecken zu können. Das bedeutet oft, daß für einen gewissen Zeitraum keine Schutzmöglichkeit existiert, wenn für eine neue Plattform Malware auftaucht.

In Anbetracht dieses Trends müssen sich die aktuellen Methoden der Bekämpfung von Malware einer Neubewertung unterziehen. Es kann nicht mehr nur darum gehen, Malware zu erkennen und zu entfernen, sondern es muß auch versucht werden, den Schaden so gering wie möglich zu halten. Dabei wird klar, daß AntiVirus Software alleine diesen Bereich nicht ausreichend abdecken kann. Viren und Würmer sind relativ einfach zu erkennen, da diese sich durch das Merkmal der Replikation auszeichnen. Damit sind generische Erkennungsmethoden möglich, heutzutage als Heuristische Suche nach Viren, mit der auch unbekannte Viren erkannt werden können. Für Trojaner gilt dies leider nicht. Dort muß sich die Suche bisher auf bekannte Trojaner beschränken, zumal die Grenzen, was ein Trojaner ist und was nicht, teilweise fließend sind. So wäre ein Programm XFORMAT.EXE, das ohne Rückfragen formatiert ein brauchbares Utility, das selbe Programm unter dem Namen SLIDESHOW.EXE wäre aber sicher schon als Trojaner einzustufen. Also muß künftig zunehmend die Erkennung mit anderen Maßnahmen verknüpft werden. Diese Maßnahmen sollten sowohl die möglichen Schäden begrenzen, als auch die Erkennung einer der AV-Software selbst bisher nicht bekannten Gefahr ermöglichen.

Das, was es dabei konkret zu schützen gilt, ist der Inhalt von Dateien und die Integrität von Dateien. Ist dies also die Wiederkehr der Integrity Checker? Nein! Integrity Checker sind dazu konzipiert Änderungen an Programmen zu erkennen, vor allem mit dem Ziel, so Viren aufzuspüren. Mittlerweile können mittels Heuristischer Suche mehr unbekannte Viren erkannt werden, als durch den Einsatz von Integrity Checkern, da diese anfällig gegen Stealth-Viren sind. Desweiteren sind Integrity Checker dazu gedacht, Änderungen zu erkennen. Heutzutage ist es bei allen Programmpaketen und Betriebssystemen üblich, daß alle paar Wochen Upgrades, Updates, Patches und Bugfixes herausgegeben werden. Die Anzahl von Meldungen irgendwelcher legitimer Änderungen steht in keinem Verhältnis zu Änderungen, die durch Viren hervorgerufen werden. Außerdem sind Integrity Checker nicht in der Lage Trojaner zu erkennen, da diese normalerweise keine anderen Programme modifizieren.

Welche Methoden sind also wirksam?
Virusscanner im Sinne von Malwarescanner (also über Viren hinausgehend):

  • erkennen eine Vielzahl bekannter Viren und Trojaner
  • können nach entsprechendem Update durch den Hersteller (leistungsfähigen Support vorausgesetzt!!) einen im Unternehmen aufgetretenen und irgendwie isolierten Fall von Malware unternehmensweit zuverlässig erkennen und entfernen

Verschlüsselung (zum Beispiel PGP) um Angriffe auf den Inhalt von Dateien abzuwehren:

  • die verschlüsselten Dokumente sind für einen Angreifer wertlos, wenn starke Verschlüsselungen eingesetzt werden
  • als positiver Nebeneffekt ist damit auch eine sichere Übertragung von Daten über unsichere Wege (Internet) möglich

Kryptographische Signatur als Integrity Check auf Daten (z.B. PGP):

  • Veränderungen werden erkannt, damit auch Manipulation wichtiger Daten
  • Signieren von Email: Verhindert, auch im Falle eines erfolgreichen Angriffs auf die Zugangsdaten für den ISP, daß Emails im Namen des Betroffenen verschickt werden können

Firewalls:

  • verhindern daß von außen ungewöhnliche Pakete an einen Rechner geschickt werden können und umgekehrt. Begegnen damit den Gefahren, die von Trojanern wie Back Orifice ausgehen
  • verhindern das Versenden von Emails oder Posten in Newsgroups auf anderen Wegen als den üblichen, und stellen so sicher, daß Trojaner keine Daten direkt an einen Angreifer versenden können

Intrusion Detection Systems (IDS):

  • erkennen Einbrüche in das Netz und unterbinden diese, können damit auch nach ansonsten bereits erfolgreichen Angriffen von Malware auf Zugangskennungen daraus folgende Angriffe unterbinden

Auf lange Sicht gesehen kann nur eine integrierte Lösung, in der all diese Komponenten aufeinander abgestimmt sind, einen effektiven Schutz vor Malware und vor allem vor deren Auswirkungen bieten.


(PowerPoint-Viewer97 Download)

HTML-Design by Rainer Link. Für den Inhalt ist der Autor selbst verantwortlich. Alle Rechte vorbehalten!