Forscher nutzen Antivirensoftware für Cyberangriffe

Sie schleusen Malware-Signaturen in legitime Dateien ein. Malware-Scanner sollen diese Dateien daraufhin als schädlich einstufen und unbrauchbar machen. Ein Sicherheitsexperte stuft die neue Angriffsmethode jedoch als nicht praktikabel ein.

Forscher der TU Braunschweig und der Georg-August-Universität Göttingen haben sich mit der Möglichkeit beschäftigt, Antivirensoftware für Cyberangriffe zu benutzen (PDF). Ihnen zufolge können Dateien auf Zielcomputern so verändert werden, dass sie von signaturbasierten Malware-Scannern als gefährlich eingestuft und dann gelöscht oder zumindest unbrauchbar gemacht werden, wie Bleeping Computer berichtet.

Malware (Bild: Shutterstock)Sicherheitssoftware bewertet mögliche Schadprogramme unter anderem mithilfe von Virendefinitionen. Dabei werden Dateien auf bestimmte Muster gescannt, die dann mit den vorhandenen Malware-Signaturen verglichen werden. Bei einer Übereinstimmung wird die Datei als Malware eingestuft und gelöscht oder in Quarantäne verschoben.

Dem Forscherteam wiederum ist es gelungen, Kopien dieser Malware-Signaturen in legitime Dateien einzuschleusen, damit sie als schädlich erkannt werden. Ein Angreifer könnte auf diese Art die Antivirensoftware auf einem Zielsystem dazu bringen, legitime Daten zu zerstören oder zumindest vorübergehend unbrauchbar machen, um beispielsweise dem Geschäftsbetrieb eines Unternehmens zu schaden.

Aus diesem Ansatz heraus entwickelten die Forscher drei Angriffsmethoden, die sie mit fünf Malware-Scannern getestet haben, darunter das Open-Source-Produkt ClamAV sowie vier nicht näher genannte kommerzielle Produkte. Zum einen kann ein sogenannter „Antivirus Assisted Attack“ benutzt werden, um Log-Dateien von Anwendungen zu entfernen, mit dem Ziel, das Erraten eines Passworts durch Eingabeversuche zu verschleiern. Zum anderen lassen sich auf diese Art Daten wie E-Mails von Nutzern löschen. Den Forschern zufolge werden durch die gezielte Löschung von Cookies aber auch webbasierte Angriffe erleichtert.

Vesselin Bontchev, einer der Entwickler der Malware-Scanning-Engine F-Prot, stuft das von Antivirus Assisted Attacks ausgehende Risiko indes als gering ein. Schon seit Anfang der Neunziger Jahre seien Antivirenprogramme nicht mehr ausschließlich auf Malware-Signaturen angewiesen und nutzten zusätzliche Techniken, um Schadsoftware zu erkennen.

„Heutzutage werden deutlich fortschrittlichere Methoden benutzt. In einigen Fällen werden ‚Scan Strings‘ überhaupt nicht mehr benutzt. Meistens dienen Scan Strings nur als Hinweis für den Scanner, seine fortschrittlicheren aber langsameren Erkennungs-Algorithmen einzusetzen“, ergänzte Bontchev.

Zudem bezweifelt der Experte, dass sich die von den deutschen Forschern beschriebenen Angriffe tatsächlich in der Praxis umsetzen lassen. „Wie praktikabel ist das? Gut, gegen ClamAV und ähnlich schlechte Produkte ist es bestimmt möglich. Aber gegen besser gemachte Produkte?“

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Im Audio-Webinar am 5. Juli 2017 um 11 Uhr erläutert Florian Bettges von HPE wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher nutzen Antivirensoftware für Cyberangriffe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *