Die Analyse des Jericho-Botnets: ein moderner Malware-Fall

Auch wenn 2011 das Jahr der Berichterstattung für High-Profile-Gruppierungen, wie Anonymous und LulzSec war, wird doch das Auftauchen von Stuxnet und Duqu im Jahr 2012 die größten Auswirkungen auf die Sicherheit haben. Auf der untersten Ebene stellt die scheinbare Verwandtschaft zwischen den Codes von Stuxnet und Duqu einen großen technischen Sprung bei der Raffinesse von Malware dar. Die Malware-Branche ist offensichtlich äußerst darwinistisch, da Taktiken, die bei einer Malware funktioniert haben, schnell übernommen und in andere, konkurrierende Malware verpflanzt werden. Bei Duqu and Stuxnet ist der technische Sprung so gewaltig, dass andere Malware-Autoren gar nicht darum herum kommen, das zu analysieren und nachzumachen.

Allerdings ist im Falle von Stuxnet/Duqu die Frage nach dem „Wer“ genauso wichtig wie die Frage „Was“. Die schiere Komplexität von Stuxnet legt nahe, dass es sich bei den Autoren um eine deutlich ausgeklügeltere Organisation als bei früherer Malware handelt. Wir alle waren in den vergangenen Jahren Zeugen der Veränderung von Malware und Angriffen, in deren Zuge sich die Hacker von Einzeltätern, die ihre Fähigkeiten weiter ausbauten, zu komplexeren Organisationen entwickelt haben. Da die Organisationen, die hinter Malware stecken, immer raffinierter werden, ist anzunehmen, dass es eher schlimmer als besser wird.

Der Markt für „Enterprise Network Firewalls“ aus Sicht der Analysten von Gartner im Dezember 2011 (Grafik: Gartner).

Moderne Malware definiert sich mindestens ebenso über ihre Kommunikation wie über die infiziernde Datei. Die große Mehrzahl der Malware ist heute dafür ausgelegt, auf dem Host-Rechner zu verbleiben und einem Angreifer wiederholt Zugang zu gewähren und den entfernten Rechner zu steuern. Das heißt, dass die fragliche Malware in der Lage sein muss, mehrfach zu kommunizieren ohne entdeckt zu werden oder Argwohn zu erregen. Das bedeutet auch, dass die Malware Kommunikationskanäle braucht, die anonym bleiben oder zumindest verborgen bleiben können.

Erreicht wird dies heute durch Umwidmen einer Reihe von Security-Technologien zum Vorteil der Malware, zum Beispiel durch das Verschlüsseln des Malware-Traffics, um der Prüfung zu entgehen, den Einsatz von Proxies oder TOR zur Anonymisierung des Traffic, dem Tunneln von Kommunikation über zulässige Applikationen oder den Einsatz evasiver Tunneling-Applikationen. Zufälligerweise sind dies dieselben Techniken, welche Angestellte zur Umgehung von Network-Security-Kontrollen bei nicht sachgemäßer Nutzung von Applikationen oder Webaktivitäten in der Firma nutzen.

Im Ergebnis wird es daher für die IT zunehmend wichtiger Versuche, die Sicherheitsrichtlinien zu untergraben, zu erkennen und zu kontrollieren, genau wie bei den Peer-to-Peer- und Social Network-Applikationen in den vergangenen Jahren. Fakt ist: nimmt man der Malware die Fähigkeit zu kommunizieren, entzieht man ihr damit einen Großteil ihrer Macht.

Sandbox-Analyse für Malware wird zum Mainstream

Wie schon gesagt ist Malware heute stärker netzwerkbasiert als früher. Das bedeutet, dass Anti-Malware-Technologien nicht mehr allein die Domäne der Endpoint Security sind, und dass netzwerkbasierte Security eine zunehmend größere Rolle spielt. Da Malware immer raffinierter und zunehmend geschickter wird, herkömmliche Antiviren-Signaturen mit Verschleierungstechniken, dynamischem Code oder einfach durch spezielle Anpassung an das jeweilige Ziel auszuhebeln, müssen sich IT-Teams nach neuen Techniken zum Aufspüren und Kontrollieren von Malware umzusehen.

Im vergangenen Jahr begann sich eine vertraute Anti-Malware-Technologie, nämlich die Sandbox, in der Network Security zu etablierten. Dies ist aus verschiedenen Gründen sinnvoll. Erstens ist eine Sandbox eine Umgebung, in der man verdächtige Dateien ausführen und bei der Aktivität beobachten kann. So kann die IT auf Basis der tatsächlichen Aktivität entscheiden, ob eine Datei schädlich ist oder nicht, anstatt sich lediglich darauf zu verlassen, dass eine vom AV-Anbieter implementierte Signatur greift.

Zweitens eröffnet sich durch Integration dieser Technologie in die Network Security ein zentraler Transparenzpunkt, an dem der gesamte Traffic analysiert werden kann. Maßgeschneiderte Network Security bietet sogenannte Choke Points, an denen sich der Traffic analysieren lässt, ohne tatsächlich einen Endpunkt für die Kommunikation darzustellen. Dies erweist sich als ungemein leistungsfähiges Werkzeug für Anti-Malware-Technologien, die sich meistens an einem oder beiden Endpunkten der Kommunikation befinden. Diese Art der verhaltensbasierten Sandbox-Analyse von Malware hält derzeit Einzug in Inline-Firewalls mit hohem Durchsatz. Dadurch können immer mehr IT-Teams diese Technologie produktiv einsetzen. Diese Aufrüstung im IT-Arsenal kommt gerade rechtzeitig zum Vormarsch der Malware.

Natürlich sind diese Technologien kein Allheilmittel für die Probleme, mit denen IT und Security-Verantwortliche heute zu kämpfen haben, aber sie schaffen eine neue Transparenz und Kontrolle, welche die Security-Mannschaft braucht, um mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten. Wenn wir es schaffen, ein wenig Licht in die dunklen Kanäle zu bringen, über die Malware ihre Kommunikation verschleiert, und wenn wir Malware auf Basis ihrer tatsächlichen Verhaltens identifizieren können, dann können wir auch als Branche die Grundbausteine, auch die der ausgefeiltesten Malware, im Blick behalten und kontrollieren.