Erkennung moderner Malware: Verschiedene Lösungen von Security-Anbietern

Moderne Malware fordert Security-Experten ständig heraus. Komplett wehrlos sind Unternehmen aber nicht, wie unser Experte an Beispielen erläutert.

Das Wettrennen zwischen Cyberkriminellen und Unternehmen ist voll im Gang. Firmen benötigen daher  Verteidigungsmechanismen, die das Netzwerk in Echtzeit schützen. Diese Methoden gehen aber über Endpunkt-Security, wie zum Beispiel Virenscanner und Netzwerk-basierte Intrusion Prevention (IPS) –Lösungen hinaus.

Leider wird es für Security-Anbieter immer schwieriger, fortschrittliche Malware zu erkennen. Schuld ist die Verbreitung von mehr als 100 automatisierten Online-Tools, die als „Crypter“ und „Packer“ bezeichnet werden. Zusätzlich müssen sie sich mit neuen Techniken plagen, wie zum Beispiel Bedrohungen über soziale Netzwerke, In-Memory-Angriffe und Ransomware.

Crypter und Packer erleichtern Cyberkriminellen die Arbeit enorm. Binnen weniger Sekunden können Angreifer einen für Desktops maßgeschneiderten Code erstellen. Der Effekt ist, dass Signatur-basierte Malware-Scanner nicht mehr effizient arbeiten. Zudem sind Zero-Day-Angriffe, wie die im November aufgetauchte Sicherheitslücke in Windows XP, immer schwieriger zu stoppen.

Ransomware wird laut den Security-Experten von Sophos ebenfalls beliebter. Beispiele sind Angriffe auf SAP-Installationen im November letzten Jahres und Varianten von CryptoLocker, die Netzwerke attackieren. Bei diesen Angriffen wird infizierter Code durch Phishing verbreitet, indem sich diese als Security-Software tarnen. Im Endeffekt erpresst Sie ein Cyberkrimineller und verlangt Geld, bevor Ihre Daten wieder brauchbar sind.

Die Chancen verbessern

Diese Angriffe haben gute Chancen, durch Ihre Verteidigungslinien zu schlüpfen. „Ein Unternehmen mit 9.000 bis 12.000 Mitarbeitern kann mit ungefähr 1.000 bis 1.200 Viren-Vorfällen pro Monat rechnen. Etablierte Antiviren-Produkte fangen die meisten davon ab. Dennoch müssen Sie die Desktops angemessen pflegen“, sagt Andy Hubbard, leitender Security-Consultant bei Neohapsis.

Nach Angaben von Hubbard treten verschiedene Versionen von FakeAV-Programmen immer noch häufig auf. „Das bedeutet, das nur ein kleiner Teil böswilliger E-Mails, die durch Spam-Filter schlüpfen, bereits gefährlich sein können“, fügt Hubbard hinzu. Diese Gefahr bedeutet, dass das Management der Desktops und Einspielen der Security-Updates entscheidend ist. Dougan McMurray, IT-Manager bei Brennan IT, rät: „Wenn Spam-, Web-Content- und Netzwerk-Filter nicht auf dem neusten Stand sind, müssen sie diese auf jeden Fall aktualisieren.“

In manchen Fällen schlüpfen böswillige Programme auch aufgrund von Wissenslücken durch. „Firmen mit konventionellen Firewalls können nicht immer die Kosten für zusätzliche Schutzfunktionen rechtfertigen. Die Angriffs-Vektoren ändern sich von einfachen Signatur-basierten zu Verhaltens-basierten Bedrohungen. Viele IT-Manager haben das noch nicht erkannt“, ist sich Tim Crawford, strategischer Berater bei AVOA, sicher.

Methoden für den Schutz

Die Sicherheitsexperten schlafen aber natürlich nicht und verwenden zwei generelle Technologien, um sich zu wehren. Zunächst einmal haben viele Security-Firmen ihre Echtzeit-Scans verbessert, indem sie Sensoren um den Erdball verteilen. Diese befinden sich bei wichtigen Kunden oder Internet-Knoten, um Zero-Day-Exploits zu erkennen. Dazu gehören Lösungen und Services von McAfee, Norse, FireEys, Palo Alto Networks und Network Box.

Palo Alto verwendet den WildFire-Service, um Bedrohungen abzufangen und zu untersuchen. McAfee hat seine Appliance Advanced Threat Defense mit der hauseigenen Real-Time-Software zusammengeschlossen, um Zero-Day-Angriffe besser abfangen zu können. Norse hat eine Software im Portfolio, die Kreditkarten-Anbieter schützt und überprüft, ob eine in einem Kreditkartenleser befindliche Karte kompromittiert wurde. Der Z-Scan Antimalware-Service von Network Box hat ebenfalls Sensoren an Netzwerk-Knoten verteilt, um Malware oder andere Anomalien zu entdecken. Die Firma hat mehr als ein Dutzend Antimalware-Scanner und drei IPS-Engines hinzugefügt, um Datenpakete zu analysieren.

Andere Unternehmen wie Verdasys und FireEye arbeiten eng zusammen und bieten integrierte Security-Systeme an. Die im September erschienene Software Verdasys Digital Guardian Connector for FireEye kombiniert das Erkennungs-Netzwerk von FireEye mit dem Endpunkt-Schutz von Verdasys. Solche Partnerschaften wird es in Zukunft noch mehr geben.

Frühwarnsysteme

Fortschrittliche und integrierte Reputations-Management-Techniken werden ebenfalls von Firmen wie zum Beispiel Cisco Systems, Blue Coat Systems, Bit9 und Symantec angeboten. Auch hier setzt man Sensoren ein, die um den Erdball verteilt sind. Allerdings kontrollieren diese spezielle Domains, die Malware verbreiten. Reputations-Services gibt es bereits seit Jahren. Der Unterschied zu früheren Systemen ist, dass diese Services besser in herkömmliche Netzwerk-Firewalls und IPS-Geräte integriert sind, so dass sie schädliche Software und Netzwerk-Anomalien besser erkennen und abwehren. Die Systeme sammeln Daten aus dem tatsächlichen Internet-Datenverkehr und sind erprobte Frühwarnsysteme.

Ciscos Security Intelligence Operations hat seine Ursprünge in SenderBase. Die Komponente lässt sich mit der großen Bandbreite an Cisco-Hardware einsetzen. Dazu gehören diverse IPS-Geräte, Web Security Appliances und ASA CX Firewalls. Da Cisco einen großen Marktanteil hat, ist das unter Umständen eine gute Verteidigung, die potentielle Exploits erkennt.

Einige Firewall-Anbieter gehen noch einen Schritt weiter. Diese Hersteller haben Geofencing in ihre proprietären Reputations-Management-Systemen integriert. Damit lässt sich der Schutz aufgrund geographischer Umstände verbessern. Der Service identifiziert spezielle Domains, die Malware aussenden. Zudem erkennen sie, wo die Exploits ihren Ursprung haben. Auf diese Weise lässt sich Traffic aus bestimmten Ländern blockieren.

Trotz des ganzen technischen Arsenals ist es ein ungleicher Kampf. Tony Stirk, Präsident des Consultant-Unternehmens Iron Horse, warnt: „Nichts ist perfekt. Cyberkriminelle wollen sie angreifen. Sie werden Fehler machen und es wird ein Schaden entstehen.“ Der Berater rät daher, dass Betroffenen evaluieren sollen, wo die Schwachstellen liegen. „Im Anschluss fangen Sie an, Security-Prozeduren zu designen, um die System widerstandsfähig zu machen. Nehmen Sie immer an, dass irgendwann eine Infektion kommen kann. Die einzig wirksame Verteidigung ist die Kombination aus zuverlässigen Backups und guten Wiederherstellungen.“

Über den Autor:

David Strom ist freiberuflicher Autor und hält Vorträge zum Thema Security. Er war früher Chefredakteur bei Tomshardware, bei Network Computing und Digitallanding. Sie finden weitere Informationen über Strom bei Strominator.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close