Über die Unzulänglichkeiten der gängigen Sicherheitslösungen ließe sich ein ganzes Buch schreiben. Daher sei hier nur ein aktuelles Beispiel genannt: Der sogenannte VDM-Exploit, der letzte Woche veröffentlicht wurde, und mit dem sich jeder Benutzer sofort durch einen Download sowie einen Mausklick Adminrechte auf allen 32-Bit-Windows-Versionen verschaffen kann, wird spätestens seit dem Wochenende von den gängigen Anti-Malware-Lösungen erkannt.
Es handelt sich jedoch um eine trügerische Sicherheit. Ein ZDNet-Leser stellte am Wochenende fest, dass er sich mithilfe des Exploits auf seinem Rechner nicht zum Administrator machen konnte. Der Grund war schnell gefunden. Der Exploit startet eine Kommandozeile, indem er das Programm C:WindowsSystem32cmd.exe aufruft. Wenn Windows nicht auf der Partition C: installiert ist, schlägt dieser Vorgang fehl.
Fünf zusätzliche Zeilen Code unter Verwendung des API GetSystemDirectory und Neukompilierung lösten das Problem des Lesers. Das führte jedoch dazu, dass der Exploit nicht mehr von der Anti-Malware erkannt wurde. Wenn ein Exploit im Sourcecode vorhanden ist, reicht es in der Regel aus, ihn mit einer anderen Compilerversion oder mit anderen Optimierungsflags zu kompilieren, um den Schädling vor der Antivirenlösung zu verbergen.
Das genannte Beispiel zeigt zwei schwerwiegende Probleme von Anti-Malware-Lösungen: Zum einen funktioniert die verhaltensbasierte Erkennung nicht, zum anderen versuchen die Hersteller einen Schädling möglichst am Dateianfang zu erkennen, damit die Antiviren-Engine schneller läuft.
Bei der verhaltensbasierten Erkennung überprüfen die Programme nur, ob ein Programm auffällig viele Registry-Einträge macht oder verdächtige Internetverbindungen aufbaut. Der VDM-Exploit ließe sich verhaltensbasiert jedoch daran erkennen, dass ein Programm auf dem Standard-Desktop SYSTEM-Account-Rechte besitzt, obwohl der Mutterprozess unter einer normalen User-ID läuft, die das Recht „Replace a process level token“ nicht besitzt. Dazu müsste die Antiviren-Lösungen jedoch auch neuen Code und nicht nur neue Signaturen herunterladen.
Hinzu kommt, dass bei den Herstellern von Antivirenlösungen kaum Know-how über die Funktionsweise von Viren und anderen Schädlingen besteht. Wer einmal einer Einladung in das Forschungslabor eines Herstellers gefolgt ist, wird schnell feststellen, dass man sich dort nur mit Mustern, Signaturen und Tarnmechanismen der Schädlinge beschäftigt.
Zudem müssen die Experten in den Labors auf Performance achten. So scannt der der VDM-Exploit beispielsweise nach einem bestimmten Code-Muster im 16-Bit-Subsystem. Dieses Muster befindet sich auch im Exploit selber. Würde das Antiviren-Programm nach diesem Muster in der EXE- und in der DLL-Datei suchen, könnte es den Schädling auch nach einer Neukompilierung erkennen. Dazu müsste die Datei jedoch fast bis zum Ende durchgescannt werden.
Neueste Kommentare
2 Kommentare zu Keine Chance gegen Malware: die schlimmsten Einfallstore
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Guter Artike
Ich hätte mir jedoch zu den einzelnen Themen noch ein wenig mehr Tiefgang gewünscht. Ansonsten sehr informativ.
Dieser Artikel befasst sich nur mit sehr bekannten Bedrohungen, jedoch wird hier eine wirkliche zukünftige Bedrohung nicht erwähnt. VMBR (Subvirt, usw…)
Diese Virtual Machine Based Rootkits sind eine wirklich grosse Bedrohung, hat man sich sowas einmal eingetreten bzw. sich damit infiziert, wird man sowas nur sehr schwer bis gar nicht mehr los.
Das echte Betreibssystem wird vom Hacker kontrolliert und man selbst arbeitet in einem virtuellen Betreibssystem ohne es zu merken! (OS wird kontrolliert gestartet und startet danach die VM; Bootvorgang nur unwesentlich länger)
Keine AV oder Sicherheitslösung fängt diese Infektion auf oder verhindert sie, da sie über infizierte Werbebanner (durch anklicken), Animationen usw… ins System eindringt. Danach ist es ohnehin zu spät, weil die AV in der virtuellen Umgebung nur das anzeigt was der Hacker will, also nichts.
Mit diversen Tools wie unter Antirootkit.com ( Gmer.net usw….) findet man zwar die Infektion, aber meistens reicht ein sicheres Löschen der HDD mit Spezialsoftware nicht aus, da es sich auch im BIOS festsetzt (BIOS unbedingt duch Passwort vor unbefugten flashen sichern) und den Laptop, PC von Anfang an kontrolliert!!!
Weiters:
http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit
http://www.eecs.umich.edu/~pmchen/papers/king06.pdf
http://www.fruehwarnung.at/ (Virtual Machine based Rootkits (Erscheint im November 2009 im Trauner Verlag, Linz in Kooperation mit dem Lex:itec Verlag))
http://www.trapkit.de/
mfg