Virenerkennung im Sandkasten

Die traditionelle Virenerkennung und -bekämpfung mit Hilfe von Signaturdateien kommt regelmässig zu spät. Bessere Resultate versprechen proaktive Systeme.

Artikel erschienen in Swiss IT Magazine 2005/11

     

Als vor zwei Jahren der bösartige Wurm SQL Slammer in die Freiheit entlassen wurde, benötigte dieser gerade mal knapp 30 Minuten, um weltweit über 75'000 Computer zu infizieren. In der ersten Minute der Attacke verdoppelte er die Zahl der gekaperten Rechner alle 8,5 Sekunden, innerhalb von drei Tagen waren über eine halbe Million PCs angesteckt. Die geschätzten Schäden lagen in Milliardenhöhe.






Weit grösseren Schaden erzeugte der Wurm MyDoom.a, der 2004 in Umlauf gesetzt wurde und als eine der grössten Wurmepidemien in die Geschichte einging. Bloss 6,5 Stunden nach seiner Entdeckung durch MessageLabs hatte MyDoom.a seine grösste Verbreitung erreicht, danach ging die Neuinfektionsrate bereits wieder zurück. Das war für die Millionen infizierten Rechner allerdings bereits zu spät.
Laut der Computer Crime Survey von CSI/FBI verursachten Viren allein im Jahr 2004 Schäden von über 55 Milliarden Dollar, und dies, obwohl über 99 Prozent aller Firmen Antiviren-Software und über 98 Prozent auch Firewalls in Betrieb haben. Wie kommt es, dass Viren und andere Malware noch immer das Hauptproblem in Sachen Computersicherheit sind?


Langsame Signatur-Updates

Das Problem liegt in der Art und Weise, wie Antiviren-Software arbeitet. Als Viren noch fast ausschliesslich über verseuchte Disketten und Programme verteilt wurden, war die Verbreitung relativ gering und benötigte einen grossen Zeitraum. Die Hersteller von Antiviren-Tools hatten entsprechend viel Zeit, um die Viren zu analysieren, Signaturen zu erstellen und diese zu verteilen. Aus dieser Zeit, die kaum zehn Jahre zurückliegt, stammen die Grundlagen der Antiviren-Software, die sich seither kaum verändert haben.





Noch immer steht bei den meisten Antiviren-Tools eine Kombination zweier Ansätze im Einsatz, nach denen Viren erkannt und eliminiert werden sollen: Signaturen und verdächtiges Verhalten.



Beim Signatur-Ansatz prüft die Software Dateien darauf, ob typische Codezeilen in einer Bibliothek aus bekannten Viren vorkommen. Dazu benötigt das Tool regelmässige Updates der Signatur-Bibliotheken. Das Verfahren ist sehr effektiv, wenn es darum geht, bekannte Viren zu erkennen, auch wenn die Virenautoren es mit polymorphen Viren, die sich selber verändern können, zu übertölpeln versuchen.



Beim zweiten Ansatz überwacht die Software das Verhalten einer Datei und versucht so, auch unbekannte Viren aufzustöbern. Will etwa ein Programm andere Programme verändern, wird dies als verdächtig erkannt und unterbunden. Dieses Verfahren verursacht allerdings eine Menge Fehlalarme und steht häufig mit moderner Software im Konflikt, weshalb es immer weniger genutzt wird.






Vor allem die Signatur-Methode bringt mit aktuellen und vollständigen Signatur-Bibliotheken hervorragende Ergebnisse – allerdings nur bei bereits bekannten Viren. Bei bisher unbekannter Malware mit ihren effizienten Verbreitungsmechanismen kommt man mit diesem Ansatz dagegen immer zu spät – wie die beiden eingangs erwähnten Beispiele zeigen. Im Fall von MyDoom dauerte es fast acht Stunden, bis nach der Entdeckung das erste Signatur-Update von McAfee bereitstand, und erst nach gut 18 Stunden konnten 90 Prozent der Hersteller von Antiviren-Software mit aktuellen Signatur-Dateien aufwarten. Damit hinkten sie der Entwicklung deutlich hinterher – MyDoom hatte seinen Verbreitungs-Zenit bereits überschritten, die Weiterverbreitung war deutlich verlangsamt.





Wie es die Meta-Group sagt: «Würmer verbreiten sich heute so schnell, dass signaturbasierender Virenschutz schlicht nutzlos ist.» Mit den herkömmlichen Ansätzen der Virenbekämpfung ist den aktuellen Bedrohungen nicht mehr beizukommen. Gefragt sind vielmehr proaktive Methoden, die ein System bereits dann schützen, wenn die drohende Gefahr noch gar nicht bekannt ist.


Virtuelle Virenprüfer

Was wie ein Widerspruch klingt, ist durchaus machbar. Verschiedene Hersteller haben entsprechende Lösungen entwickelt, andere sind eher durch Zufall auf den in ihren Produkten enthaltenen proaktiven Virenschutz gestossen.





Zu den letzteren gehört Commtouch, eigentlich ein Spezialist für Antispam-Software, der die «Recurrent Pattern Detection»-Technologie (RPD) entwickelt hat. Diese Technik basiert auf der Analyse eines grossen Teils des Mail-Verkehrs im Internet durch das Commtouch Detection Center. Auf diese Weise werden wiederkehrende Muster in den Mails innert Minuten nach dem Massenversand entdeckt und die entsprechenden Nachrichten blockiert, bevor sie grösseren Schaden anrichten können. Dies wiederum gibt den Herstellern von Antiviren-Software die nötige Zeit, um ihre Signatur-Bibliotheken aufzudatieren.






Einen komplett anderen Ansatz hat der Antiviren-Softwarehersteller Norman entwickelt. Dessen Sandbox-Technologie emuliert im Speicher des geschützten Rechners einen vollständigen PC, der keinerlei Zugriff auf die Ressourcen seines Host-Systems hat. Zu prüfende Dateien werden nun auf die virtuelle Festplatte des emulierten Systems kopiert, wo sie daraufhin ausgeführt und dabei überwacht werden.
Die Sandbox registriert dabei verdächtiges Verhalten wie etwa das Öffnen von Ports oder den Versand von Mails und blockiert verdächtige Files.





Ähnliche Technologien mit mehr oder weniger abgeschotteten PC-Emulationen haben auch andere Hersteller von Antiviren-Lösungen im Angebot. Das Problem bei den meisten dieser Schutztechniken ist allerdings, dass sie eine Menge Ressourcen konsumieren und deshalb kaum geeignet sind, einen Echtzeit-Schutz vor unbekannten Bedrohungen aufzubauen. Vielmehr werden sie meist punktuell eingesetzt, um einzelne verdächtige Dateien zu überprüfen.



Internet Security Systems hat nun mit dem Virus Prevention System (VPS) eine Lösung entwickelt, das quasi die Vorteile des Signatur-Ansatzes mit denjenigen des Verhaltensansatzes kombiniert. Das VPS beruht ebenfalls auf einem virtuellen System, in dem allerdings in Echtzeit sämtliche hereinkommenden Daten geprüft und mit über 600 bekannten Verhaltensweisen von Viren abgeglichen werden. Wird ein virentypisches oder anderweitig sonderbares Verhalten entdeckt, wird die Datei als möglicher Virus blockiert. Dieses System produziert sehr wenige falsche Positive und entdeckt dennoch rund 95 Prozent der noch unbekannten Viren.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER