Verteidigung mit beweglichen Zielen: Polymorphe Malware bekämpfen

Startup-Unternehmen aus dem Security-Bereich schicken sich an, polymorphe Malware zu bekämpfen. Permanente Code-Änderungen sollen das möglich machen.

Möglicherweise wissen Sie bereits, was polymorphe Malware ist. Diese Malware kann sich an momentane Bedingungen anzupassen und außerdem Security Software umgehen, um ihr bösartiges Treiben auf einem Ziel-Computer weiterzuführen. Polymorphe Malware kann sehr einfach Scanner austricksen, die auf Signaturen setzen. Das gilt auch für andere Standards zur Erkennung. Der Schadcode ändert ständig seinen Angriffsvektor, sobald er aktiv wird.

Was wäre, wenn wir den Spieß umdrehen und dieses Verhalten für die Verteidigung einsetzen könnten? Die Idee dahinter ist, dass sich der Ziel-Computer oder das Zielsystem scheinbar ändert und eine Malware das System nicht einfach infizieren kann. Das scheint ein sehr fortschrittlicher Gedanke zu sein, der allerdings an Dynamik gewinnt.

Tatsächlich ist Polymorphie lediglich eine neue Art zu beschreiben, was akademische Security-Forscher sehr lange Verteidigung mit beweglichen Zielen genannt haben und gut untersucht ist. Auf einer Konferenz der Association of Computing Machinery (ACM) im November 2014 in Arizona wurden diverse Möglichkeiten diskutiert, wie sich so eine Verteidigungsmethode implementieren lässt. Darunter befanden sich die Spieltheorie und andere fortschrittliche Algorithmen.

Neue Security-Produkte

Diese Projekte haben durch diverse neue Security-Produkte von Anbietern wie zum Beispiel JumpSoft, Morphisec, Shape Security und CyActive eine neue Stufe erreicht. Jedes dieser Produkte befindet sich noch in einer frühen Phase. Allerdings bekommt man bereits eine Idee davon, was die Hersteller damit erreichen wollen und wie schnell sich dieser Bereich entwickelt.

Natürlich ist eine Verteidigung von Betriebsmitteln komplexer, die direkt aus dem Internet erreichbar sind. Security-Profi Dudu Mimran hat über einen wachsenden digitale Graben gebloggt. Er ist der Meinung, „dass sich Security Tools nicht in derselben Geschwindigkeit wie die Infrastruktur für die IT entwickelt haben. … Polymorphe Verteidigung geht dieses Problem spezifisch an und versucht, Angriffen wesentlich mehr Steine in den Weg zu legen.”

Das liegt daran, dass viele Angreifer auf Wissen über bestimmte Betriebssysteme, Anwendungen und Geräte bauen. So lassen sich Schwachstellen mit Exploits gezielt ausnutzen. Wenn eine Identifikation von Systemen schwieriger wird, ist auch ein Angriff komplizierter, was sich natürlich wiederum positiv auf die Sicherheit auswirkt. Mimram ist außerdem der CTO bei Morphisec, die ihr erstes Produkt in der absehbaren Zukunft vorstellen wollen.

Shape Security bezeichnet sein Produkt ShapeShifter als „die erste Botwall”. Sie ist als Appliance verfügbar und schützt die Anwenderschnittstelle zu Client-Webservern. Das Startup-Unternehmen erklärt: „Durch die Verwendung von Polymorphie können Sie die Funktionalität des Codes bewahren, allerdings verändern Sie, wie dieser ausgedrückt wird. In diesem Fall werden bei einem einfachen Login-Formular bestimmte Attribute durch zufällige Zeichenketten ersetzt. Der daraus resultierende Code stört Malware, Bots und andere Angriffe, die auf die Ausführung des Formulars programmiert sind. Das Formular verhält sich aber genau wie das Original.“

Setzen Kunden auf polymorphe Verteidigung, dann können Sie DDoS-, Man-in-the-Browser-Angriffe sowie solche vereiteln, die das Konto übernehmen wollen. Die Appliance wird hinter dem Load Balancer installiert. Mit einigen einfachen Richtlinien auf der Firewall leitet man den Traffic darauf um und schon läuft ShapeShifter produktiv.

In der Vergangenheit wurden viele Websites durch Beschränkungen bei Zugriffen, Volumen sowie IP-Adressen geschützt und so eine hohe Zahl an automatischen Login-Versuchen verhindert. Malware-Schreiber umgehen diese Limits, indem sie umfangreiche Datenbanken mit gestohlenen Anmeldedaten verwenden und diese in ein groß angelegtes Botnet einspeisen, das auf einer riesigen Anzahl an IP-Adressen läuft. Eine weitere populäre Methode für das Schützen von Logins ist das Verwenden sogenannter CAPTCHAs. Allerdings geht man immer mehr davon ab, da die Angreifer mittlerweile einige automatisierte oder groß angelegte manuelle Methoden entwickelt haben, um diesen Systemen ein Schnippchen zu schlagen.

Die Appliance von Shape ändert den darunterliegenden Code der zu beschützenden Website automatisch. Das erfolgt jedes Mal, wenn eine Seite betrachtet wird. Auf diese Weise sollen Skripte überlistet werden, die in den eben erwähnten Login-Exploits zum Einsatz kommen.

„Der Poly-Teil ist der coole Faktor bei dieser Herangehensweise, da Änderungen an der Architektur kontinuierlich und sofort erfolgen. Somit muss der Angreifer wesentlich mehr schätzen. Mit Polymorphie im Einsatz können Cyberkriminelle keine Angriffe entwickeln, die sie einfach immer wieder gegen den geschützten Bereich ausführen.“, schreibt Mimram in seinem Blog. Er schlägt vor, dass alle polymorphen Ansätze für die Verteidigung nachfolgende Attribute verwenden:

  • Fangen Sie zunächst mit einer vertrauenswürdigen Quelle an, die die dynamischen Änderungen am Host kontrolliert.
  • Bauen Sie im Anschluss eine Lösung, die sich nicht so einfach mit herkömmlichen Angriffsmustern identifizieren lässt, wodurch sie wesentlich robuster wird.
  • Integrieren Sie die internen Code-Änderungen so, dass sie für externe Anwender oder Software-Programme nicht sichtbar sind.
  • Härten Sie außerdem den Code ab, um Reverse Engineering und Weitergabe sehr schwierig zu gestalten.

CyActive verwendet von der Biologie inspiriert Algorithmen. Damit wird ein intelligenter Detektor trainiert, der künftige Malware-Varianten erkennen und stoppen soll. PayPal hat CyActives Technologie vor kurzer Zeit akquiriert. Das beweist, wie wichtig dieses Marktsegment ist.

JumpSoft betreibt seine eigene Software-Management-Plattform, die sich JumpCenter nennt. Darin ist JumpCenter Moving Target Defense oder MTD enthalten. Wer JumpCenter testen möchte, kann sich hier für eine Probefahrt anmelden. Die Firma behauptet, mit ihrem Code alle Layer-7-Applikationen schützen zu können.

Ob diese polymorphen Verteidigungsmethoden anfällig für noch fortschrittlichere Exploits sind, wird die Zeit zeigen. Allerdings ist diese Wende nur gerecht und die Cyberkriminellen bekommen endlich den Geschmack ihrer eigenen und schlecht schmeckenden Medizin verabreicht.

Über den Autor:
David Strom ist freiberuflicher Autor und hält Vorträge zum Thema Security. Er war früher Chefredakteur bei Tomshardware, bei Network Computing und Digitallanding. Sie finden weitere Informationen über Strom bei Strominator.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close