"Malware modifizieren ist in den USA freie Meinungsäusserung"

7. Juli 2008, 08:50
  • security
  • trend micro
  • interview
image

An der Hacker-Konferenz Defcon werden Tüftler im Rahmen eines Wettbewerbes versuchen, bekannte Malware so umzuschreiben, dass sie von Anti-Viren-Software nicht mehr erkannt wird. Die Hersteller sind skeptisch. Trend-Micro-CTO im Interview.

An der Hacker-Konferenz Defcon werden Tüftler im Rahmen eines Wettbewerbes versuchen, bekannte Malware so umzuschreiben, dass sie von Anti-Viren-Software nicht mehr erkannt wird. Die Hersteller sind skeptisch. Trend-Micro-CTO Raimund Genes im Pressetext-Interview über die Defcon, die Zertifizierung von Anti-Viren-Programmen und sein neues Produkt.
Die Malware-Industrie wird immer professioneller und arbeitet mit neuen Ansätzen. Können Sie uns ein aktuelles Beispiel geben?
Es gibt inzwischen eine 'Malware-Quality-Assurance-Industrie', die mit laufend neuen Methoden versucht, uns auszutricksen. Auf der Hackerkonferenz DEFCON findet beispielsweise der Wettbewerb "The Race to Zero" statt. Dabei müssen die Teilnehmer Malware derart modifizieren, dass sie von AV-Software nicht mehr erkannt wird. In den USA ist das erlaubt und geht als freie Meinungsäusserung durch, in Deutschland hingegen würde man dafür laut neuester Gesetzgebung ins Gefängnis kommen.
Laut Veranstalter soll bekannte Malware mutiert werden, um Virenscanner zu umgehen. Wenn eine Malware so verändert wird, dass sie nicht nur Signaturen austrickst, ist das noch reines Mutieren oder schon das Schaffen von neuer Malware?
Es ist Schaffen von neuen Bedrohungen. Dort werden Leute praktisch darauf trainiert, später ihre Dienste der Malware-Industrie anbieten zu können. Die DEFCON erfordert auch keine Registrierung, lediglich 120 Dollar in Cash für die Teilnahme und es werden keine Fragen gestellt. Ich bin selbst immer bei dieser Veranstaltung, denn als AV-Experte kann man sich dort ein gutes Bild über die aktuellen Entwicklungen in der Branche machen. Laut Veranstalter wird der Race-to-Zero-Event zunehmend schwerer. Ich vermute daher, dass zuerst nur versucht wird, Signaturen zu überlisten. Aber im zweiten Schritt wird es wohl darum gehen, auch andere Ansätze wie Behavioral Analysis oder Heuristiken auszutricksen. Damit wird neue Malware erzeugt.
Neben den Angreifern hadern die AV-Hersteller auch mit den AV-Testern, so beispielsweise Trend Micro mit Virus Bulletin. Welche Gründe hat das?
Das Problem ist, dass AV-Tests teils völlig veraltet sind. Wir haben uns Anfang Juni entschlossen, nicht mehr an Virus Bulletin (VB) teilzunehmen. Deren verwendete Methode, Windows-98-Malware zu replizieren, ist nicht sinnvoll, denn Windows 98 verwendet keiner mehr. Aber man muss Windows-98-Malware erkennen, um ein VB100-Zertifikat zu bekommen. Die Labortestmethode ohne Internetverbindung ergibt heute ebenfalls sehr wenig Sinn.
Wenn nicht zeitgemässe Testmethoden genutzt werden, geschieht das doch sicher nicht einfach, um die AV-Anbieter zu ärgern. Was sind die Hintergründe?
Ein Problem ist die Frage, wer für Tests zahlt. Ein optimaler Test kostet viel Zeit und Geld, denn Produkte müssen auf einem sauberen System installiert und Malware ausgeführt werden. Zudem stellt sich die Frage, wie gewertet wird. Mit einem einzelnen Schadcode wäre ein Test sinnlos, da kann ein Programm einfach "Glück haben". Man müsste wohl 100 Malware-Samples nehmen und der Test würde vielleicht zehn Minuten pro Sample und Produkt dauern.
Welche Lösung könnte den besten Schutz vor Malware bieten?
Es gibt nicht nur eine Lösung. John Thompson von Symantec beispielsweise hat auf der RSA-Konferenz gemeint: "Whitelisting ist die Lösung". Aber Whitelisting ist nichts anderes als Signatur-basierte Erkennung, nur andersrum - ein Identifizieren "guter" Programme. Die Probleme bleiben dabei dieselben. Beispielsweise schafft Microsoft jede Woche 10.000 neue ausführbare Dateien. Wenn diese nach einem Microsoft-Update nicht alle in der Whitelist-Datenbank zu finden sind, stoppt das zuverlässig die Produktivität innerhalb eines Grossunternehmens. Auch Whitelisting produziert Fehlalarme und erfordert ebenso wie Blacklisting eine grosse Pattern-Datei. Wie viel möchte man den Desktops denn noch zumuten?
Die bessere Frage wäre dann wohl: Wie sieht eine effektive Gesamtstrategie aus?
Notwendig ist eine sinnvolle Kombination verschiedener Methoden - Behavioral Analysis, Heuristiken, Pattern Matching, Whitelisting, Web Threat Protection, vernünftiges Firewalling und so weiter.
Generell geht der Trend derzeit weg von lokalen Signaturen. Beispielsweise hat McAfee vor kurzem Artemis vorgestellt, wo kleine "Fingerprints" verdächtiger Dateien mit einer Online-Datenbank verglichen werden. Wodurch zeichnet sich Trend Micros neu vorgestelltes Smart Protection Network aus?
Artemis adressiert ebenfalls das Problem, dass lokale Pattern-Dateien zu gross werden. Allerdings ist die Lösung, so wie ich das sehe, speziell für polymorphische Malware. Unser Ansatz ist allgemeiner. Zwar gibt es noch ein lokales Pattern-File mit Heuristiken für die wichtigsten Malwarefamilien und zum Schutz vor USB-Malware. Aber das sind nur 15 Prozent, der Rest passiert über das Web. Das Auslagern an sich reduziert allerdings nur den lokalen Speicherbedarf. Aus diesem Grund haben wir die verschiedenen Technologien im Smart Protection Network zusammengeführt, um ein insgesamt effizienteres System zu schaffen.
(Interview: pressetext.ch)

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022