Hinter Malware-Attacken stecken immer häufiger kriminelle Absichten. Schnell mit Signaturen zu reagieren reicht zur Abwehr dabei längst nicht mehr aus. Früherkennungstechnologien wie Sandboxen, Heuristiken und so genannte Behavioral Blocker erkennen und beseitigen Schädlinge schon vor dem Befall.

Klassische Virenscanner identifizieren Computerviren im Programmcode anhand von Zeichenketten,
den so genannten Signaturen. Diese bestehen aus einer für den jeweiligen Virus typischen Bytefolge
und bezeichnen den Speicherort des Schadprogramms innerhalb der infizierten Datei. Alle bekannten
Signaturen werden in einer Datenbank vorgehalten. Trifft eine Datei am Gateway ein, so gleicht das
Virenschutzprogramm den Dateicode automatisch mit den in der Datenbank gespeicherten
Virensignaturen ab. Stimmen dabei Zeichenfolgen überein, handelt es sich um einen Schädling. Obwohl
diese Technik sehr zuverlässig ist, lassen sich mit ihr jedoch keine neuen Viren aufspüren. Dies
ist erst nach dem Einspielen des entsprechenden Updates im System möglich. Im besten Fall dauert
dieser Prozess nur ein paar Stunden. Nicht selten vergeht jedoch ein ganzer Tag, bis auch der
letzte Virenschutzanbieter eine neue Signatur erstellt und seinen Kunden über das Internet
bereitgestellt hat. Während dieser Zeit ist der Anwender den neuen Schädlingen nahezu schutzlos
ausgeliefert.

Reaktionszeitfenster verkleinern sich

Das Zeitfenster zwischen dem Auftreten des Schädlings und der Verfügbarkeit des Signatur-Updates
macht anfällig für Attacken aus dem Internet. Im Wettlauf um die Computersicherheit sind die
Security-Anbieter den Virenschreibern jedoch stets einen Schritt hinterher. Denn kein Virus wird
veröffentlicht, ohne dass sein Urheber nicht getestet hätte, ob die gängigen Virenscanner auf den
Schädling ansprechen. Dies hat zur Folge, dass signaturbasierte Antivirenlösungen einerseits
zuverlässig vor bekannten Schädlingen schützen, andererseits aber gegenüber neuer Malware blind
sind. Zwar dämmen sie die Ausbreitung einer Virenepidemie ein – die Infektion vieler Systeme
während der Zeit vor dem Update können sie indessen nicht verhindern. Heutzutage genügen den
Cyber-Kriminellen in der Regel wenige Stunden, um ihre Schadprogramme zigtausendfach zu verbreiten.
Zusätzlichen Spielraum für kriminelle Aktionen gewinnen die Malware-Autoren durch den modularen
Aufbau ihrer Schädlinge: hierbei programmieren sie ein Arsenal unterschiedlicher Varianten eines
bösartigen Codes. Dies zwingt die Sicherheitsanbieter dazu, für jede Variante eine neue Signatur zu
erstellen, und die Virenschreiber können in Ruhe Rootkits oder Backdoors auf den korrumpierten
Rechnern platzieren und wichtige Daten oder Kennwörter ausspionieren.

Reaktive Sicherheitsmaßnahmen allein reichen daher nicht aus, um unbekannte Bedrohungen
abzuwehren. Virenjäger setzen deswegen heute vermehrt auf Früherkennungstechnologien wie Sandboxen
oder Heuristiken.

Sandkastenspiele hinter Gittern

In einer Sandbox wird die verdächtige Datei vom Rest des Systems abgeschirmt und auf seine
Wirkung hin getestet. Dabei wird jede ausführbare Datei in einer virtuellen Laufzeitumgebung
gestartet, die das Windows-Standard-API in einem so genannten „Gefängnis“ (englisch: jail)
nachbildet. Dies hat den Vorteil, dass potenziell schädliche Anwendungen nicht auf das
Betriebssystem übergreifen und dort Schaden anrichten können. Gibt eine Datei beispielsweise den
Befehl, Systemeinstellungen zu ändern, wird sie als Schädling klassifiziert und kann entweder
gelöscht oder unter Quarantäne gestellt werden. Zweifelsfrei sind Sandbox-Verfahren sichere und
genaue Methoden, um bislang unbekannte Malware zu erkennen und zu beseitigen. Dennoch ist dieser
Ansatz nur bedingt praxistauglich: Da neue Viren zahlreich und in ihrem Aufbau sehr komplex sind,
ist die Emulation am Gateway langsam und verbraucht zu viele Ressourcen. Wenig Erfolg haben
Sandboxen zudem bei Viren, die ihr Schadprogramm erst mit zeitlicher Verzögerung ausführen und
deswegen zum Zeitpunkt der Prüfung nicht als bösartiger Code erkannt werden.

Verhaltensmuster enttarnen Schädlinge

Heuristiken sind Suchverfahren, die ausführbare Dateien, E-Mails und deren Anhänge anhand von
Erfahrungswerten nach verdächtigen Befehlen durchsuchen. Die Heuristik bezieht sich hierbei auf
Code-Abfolgen, unübliche Befehle und Verhaltensmuster, die dem Sicherheitsprogramm bereits von
früheren Angriffen als bösartig bekannt sind. Beispielsweise werden Anhänge als potenziell
gefährlich markiert, die keine Dateiendungen aufweisen. Auch Befehle, die unerlaubt das
Outlook-Express-Adressbuch öffnen, Registry-Keys erstellen oder Netzwerk-Ports aktivieren, deuten
auf einen Schädling hin. Erfolgreich sind Heuristiken bei dem besonders kurzen Programmteil im
Boot-Sektor: Schreibt beispielsweise ein Programm auf Sektor 1, Spur 0, Seite 0 der Festplatte,
verändert dies die Partition des Speichers. Dies macht außer dem Hilfsprogramm FDISK jedoch keine
weitere Anwendung. Tritt diese Befehlsfolge unerwartet auf, so handelt es sich mit großer
Wahrscheinlichkeit um einen Boot-Virus. Heuristische Algorithmen entlarven neue oder mutierte
Schädlinge, für die es noch keine Virusdefinitionen gibt. Da dieses Suchverfahren auf empirischen
Annahmen basiert, können Fehlalarme (“False Positives“) aber nicht vollkommen ausgeschlossen
werden. Dies zwingt bei der Einstellung der Heuristik-Engine zu einer Gratwanderung zwischen einem
sehr restriktiven Scan-Modus mit vielen Fehlalarmen und einem vergleichsweise geringen
Schutzeffekt.

Behavioral Blocking interpretiert Code in Echtzeit

Einen neuen Weg geht die Behavioral-Blocking-Technologie, die beide Verfahren miteinander
kombiniert. Dabei wird durch eine hierarchisierte Behandlung des Datenverkehrs der hohe
Ressourcenbedarf der Sandbox und die Fehlalarme der Heuristik minimiert: Während das
Sandboxing-Verfahren jede eingehende Datei unter die Lupe nimmt, unterziehen Behavioral Blocker nur
die Dateien einer verhaltensbasierten Prüfung, die von der Heuristik aufgrund ihres generischen
Erscheinungsbildes oder bekannter Codebestandteile als verdächtig gekennzeichnet werden. Dadurch
reduziert sich die Zahl der Dateien deutlich, was sich wiederum positiv auf die Systemauslastung
auswirkt. Gleichzeitig sinkt das Risiko von Fehlalarmen, da verdächtige Dateien auf ihr
tatsächliches Verhalten hin untersucht werden. Im Gegensatz zum Sandbox-Verfahren simuliert das
System dazu jedoch keinen virtuellen Computer. Stattdessen werden alle Dateien in der normalen
Laufzeitumgebung gestartet. Dabei interpretiert die Sicherheitslösung das Verhalten des Codes in
Echtzeit. Im Abgleich mit den kontinuierlich erweiterten Malware-Informationen der Heuristik lässt
sich bösartiger Code rechtzeitig erkennen und blockieren. Dies geschieht, indem die Behavioral
Blocking-Technologie sämtliche Aufrufe von Systemfunktionen an der Programmierschnittstelle (API)
überwacht und protokolliert. In den Systemablauf eingeschaltete Analysefunktionen (Hooks) bewerten
dabei die voraussichtlichen Programmaktivitäten. Erst wenn der Programmablauf als sicher eingestuft
ist, wird die Funktion ausgeführt. Neben der Erkennung von Schädlingen in Echtzeit haben die
Verhaltens-Blocker einen entscheidenden Vorteil gegenüber allen anderen Früherkennungstechnologien:
Während es viele Möglichkeiten gibt, Malware so zu modifizieren und zu tarnen, dass sie von
signaturbasierten Scannern und Heuristiken nicht mehr erkannt werden, lassen sich Programmbefehle
nicht verändern. Gibt demnach eine Anwendung unaufgefordert einen nicht zulässigen Befehl, greift
der verhaltensbasierte Blocker ein und verhindert die Ausführung des Schadprogramms.

Vollkommene Sicherheit gibt es nicht

Malware-Autoren sind den Virenjägern immer einen Schritt voraus. Doch neue Technologien wie das
Behavioral Blocking helfen, das Zeitfenster zwischen dem Auftreten eines Schädlings und dem
Signatur-Update zu verkleinern. Da Behavioral Blocker wie auch signaturbasierte Scanner dynamisch
sind, werden Updates – seien es Virensignaturen oder Verhaltensmuster immer notwendig bleiben.
Diese Sicherheitslücke gilt es mit einer gesunden Portion Misstrauen und Vorsicht im Umgang mit
fragwürdigen E-Mails und Webseiten zu schließen.

Der Autor unseres Virenschutz-Artikels erwähnt es gleich zu Beginn: Es gibt heute mehr und mehr Malware-Attacken mit kriminellem Hintergrund. Das bedeutet, dass den Angreifern eventuell genug Geld und Geduld zur Verfügung steht, einen Virus ganz allein für Sie zu schreiben und dafür zu sorgen, dass er keine für Virenscanner leicht zu erkennende Variante einer bereits verbreiteten Malware darstellt. Dies hat Konsequenzen für die Auswahl des geeigneten Virenschutzes, denn den maßgeschneiderten Schädling erkennt Verhaltensanalyse weit eher als klassische signaturgestützte Abwehrtechnik. LANline wird sich in den kommenden Heften deshalb Spielarten der in diesem Artikel erwähnten Schutzssysteme genauer anhand von konkreten Lösungen ansehen. Dr. Johannes Wiele

486269.jpg