Malware-Analyse

Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Online-Virenscanner und Malware-Analyzer können Admins dabei helfen, verdächtige Dateien zu überprüfen, bevor sie im Unternehmensnetzwerk schaden anrichten können.
Online-Virenscanner und Malware-Analyzer können Admins dabei helfen, verdächtige Dateien zu überprüfen, bevor sie im Unternehmensnetzwerk schaden anrichten können. (© nasir1164 - Fotolia)

Ein Virenscanner ist fester Bestandteil einer jeden Sicherheitsarchitektur. Auf Endpoint-Systemen, in der Cloud und auch auf Gateway-Systemen für Web- und E-Mail-Traffic. Eigentlich sollte das genügen, doch was tun, wenn man sich nicht ganz sicher ist? Online-Virenscanner sind hier ein probates Hilfsmittel für mehr Sicherheit.

Wer neben einem lokal installierten Virenscanner mehr Sicherheit will, kann auf Web-Services zurückgreifen, die für genau diesen Zweck Online-Tools anbieten. Ganz grob lassen sich diese Produkte in Multi-Virenscanner und Analyzer unterteilen.

Die Multi-Antivirus-Maschinen

Diese Tools gehört zu denen, die zeitlich am längsten etabliert sind (JOTTI seit 2004). Anstatt sich eines einzelnen Virenscanners zu bedienen, nutzen Multi-Antivirus-Maschinen (MAVM) einfach (fast) alle am Markt angebotenen Malwarescanner-Produkte. Diese Verfahren bietet folgende Vorteile:

  • Geographische Vorlieben werden nivelliert (Manche Malware tritt regional unterschiedlich häufig auf)
  • Unterschiedliche Technologien verbessern die Erkennungsrate
  • Weltliche und religiöse Feiertage und die damit verbundenen Reduzierungen der Malware-Analysten durch Urlaub wird ausgeglichen
  • Organisatorische und technologische Schwerpunkte der Virenscanner-Hersteller ergänzen sich
  • Es werden immer die neuesten Produkte und Erkennungspattern verwendet.

Üblicherweise ermöglicht dieses Verfahren eine zuverlässige Erkennung von „exotischer“ Malware. Jedoch ist dies auch kein Garant für eine 100 Prozent Erkennung, denn gegen spezifische Schadsoftware, die geschrieben wurde um ein ausgewähltes Ziel anzugreifen oder ganz neue Malware hilft auch die Masse der Virenscanner nicht.

MAVM-Systeme bieten inzwischen auch automatisierbare Schnittstellen an, so das der manuelle Aufwand reduziert wird. So kann man beispielsweise VirusTotal per Powershell nutzen. Alles was man dafür benötigt, ist eine Programmschnittstelle (API für application programming interface) wie beispielsweise einen API-Key, den man anfordern muss. Beim kostenlosen Service von VirusTotal ist jedoch die Anfragemenge und die Nutzungsart beschränkt.

Eine API-Nutzung bietet auch das Tool "Metascan Online" von opswat. Damit ist eine kommerzielle eingeschränkten Gratis-Version per Lizenz erweitert nutzbar. Auch „Institutionen“ wie JOTTI bieten auf Anfrage eine API-Schnittstelle an.

MAVM für Nicht-Windows-Systeme

Die meisten der Tools sind fokussiert auf Windows-Dateien. Online-Scanner für andere Betriebssysteme werden nur vereinzelt angeboten und das das „Multi“ wird meistens ersatzlos gestrichen. Das Produkttest-Unternehmen AV Comparatives offeriert mit AVC UNDroid einen Scanner von .APK-Dateien für das Betriebssystem Android. Wer hingegen Online-Tools für Linux sucht oder gar für iOS wird nicht fündig werden. Bestenfalls Hobby-Projekte sind hier existent, deren Lebensdauer und Qualität jedoch eingeschränkt ist

Online Multi-Antivirus-Maschinen (MAVM)

Dienst OS API Privat / Lizenz URL-Check Info an AV-Community
Jotti Win Anfrage Ja / Anfrage Nein Ja
MetaScan opswat Win Ja Ja / Ja Ja Ja
Virscan Win Nein ? / ? Nein Ja
VirusTotal Win Nein Ja / Nein Ja Ja
AVC UnDroid Android Nein Ja / ? Nein ?

Analyzer

Analyzer-Tools führen üblicherweise relevante Dateien in einer virtuellen Arbeitsumgebung aus und beobachten das Verhalten der potentiell verdächtigen Datei. Handelt es sich zum Beispiel um eine Text-Datei mit Makros die versuchen zentrale Vorlagen zu modifizieren oder per Shell-Aufruf Internet-Verbindungen zu etablieren ist dies ein (verdächtiges) Verhalten, das der Analyzer dann meldet. Durch nachgelagerte Analysen lässt sich dann (hoffentlich) feststellen, welche URLs geöffnet werden, ob verdächtige DLL-Dateien geladen werden oder andere typische Malware-Mechanismen ausgeführt werden.

Der Vorteil den Analyzer bieten liegt darin, dass sie ohne die klassischen Malware-Suchmuster auskommen und das unmittelbare Verhalten einer Datei untersuchen. Anhand dieses Verhaltens kann man dann ersehen, ob die Datei ein Risiko darstellt und ggf. eine neue, bis dato unbekannt, Malware ist. Aber auch dieses Verfahren bietet keine 100 Prozent Sicherheit, denn:

  • Die Analyse ob eine Malware vorliegt erfordert technologisches Fachwissen und einen erfahrenen, menschlichen Interpreter
  • Malware kann virtuelle Umgebungen erkennen und in diesem Fall die Schadfunktion nicht ausführen oder Debugging-Fallen enthalten und so Analyse-Tools narren
  • False-Positive sind auch mögliche, denn mitunter gleichen legitime Aktivitäten denen einer Schadsoftware

Unterstützte Betriebssysteme

Auch bei Analyzer-Systemen gilt, dass bevorzugt das Windows-Umfeld bedient wird. Proprietäre Internet-of-Things-Betriebssysteme oder Android werden nicht nennenswert unterstützt. Gerade einmal für Linux werden einige Tools angeboten. Hier ist vor allem „detux - The Linux Sandbox“ zu nennen. Über eine Upload-GUI können Dateien für verschiedenen CPU-Architekturen (X86, MIPS, ARM …) zur Analyse eingereicht werden.

Analyzer-Schwund

Die Zeiten scheinen es schwer zu machen, die erforderlichen Ressourcen für Analyzer-Systeme bereit zu stellen und so verschwinden immer mehr Tools von der „Bildschirmoberfläche“. Eines der bekanntesten Tools am Markt, Anubis wurde im April 2016 eingestellt.

Deepviz ist inzwischen Teil des Unternehmens MalwareBytes und such Threatexpert verabschiedet sich sporadisch mit einer Fehlermeldung und liefert kein Ergebnis. Bei malwr.com mit der der etablierten Cuckoo Sandbox gab es seit Mitte 2016 wiederholt Probleme mit der Erreichbarkeit (We’ll be back soon!“). Aber nun scheint es wieder bergauf zu gehen, den in einem Blog-Post vom Anfang April 2017 kündige Cuckoo eine neue Version 2.0 an, die direkt von der Webseite oder via Github heruntergeladen werden kann.Es bleibt zu hoffen, dass sich dies auch positiv auf malwr.com auswirkt

Analyzer – Was bleibt übrig?

Wenige Tools sind es, die das große „Analyzer-Sterben“ überlebt haben und noch nutzbar sind. Eines davon ist Payload Security mit Nutzung einer „Hybrid Analyse“. Payload Security ist ein aktuelles, gepflegtes Tool, mit einer zweckdienlichen GUI, und informativen „Read ME“-Inhalten, wie ein FAQ, eine Knowledge-Base und einer API-Beschreibung.

Das Besondere an diesem Tool ist die „Hybride Analyse“. Dies bedeutet vereinfacht gesagt, dass nicht nur Laufzeitdaten analysiert werden, sondern auch Speicherbereiche statistisch analysiert werden. Damit ist es mögliche getarnte Daten (zum Beispiel zerlegte oder verteilte Strings) besser zu erkennen. Nach etwa 5 Minuten erhält man eine recht aussagekräftige Analyse, was die untersuchte Datei alles an Aktivitäten im System ausführt, welche DLL’s genutzt werden und welche Bildschirmausgaben es durchführt.

Parallel zu den Tools, die frei nutzbar sind, aber auch mehr Features gegen Bezahlung bieten, gibt es auch Werkzeuge, die keine öffentliche (gratis) Online-Schnittstelle bieten. Dazu zählt z.B. das Tool „Lastline Analyst“ der amerikanischen Firma Lastline, welches den KMU und Enterprise-Markt adressiert. Details zum Tool, die über die Informationen auf der Produktseite hinausgehen, müssen erfragt werden. Zu dieser Kategorie zählt auch das Tool ThreatAnalyzer von ThreatTrack.

Einschränkungen

An der Nutzung von MAVM- oder Analyzer-Tools kommt kein Unternehmen vorbei, das seine Cyber-Risiken minimieren will. Aber im Business-Umfeld muss man sich auch der Einschränkungen bewusst sein, die mit der Nutzung dieser Tools einhergeht, wie zum Beispiel:

  • 1. Es gibt keine garantiert sicherere Aussage, ob die geprüfte Datei einen neuartigen Virus, Trojaner oder eine Backdoor enthält! Man erhält eine Momentaufnahme der den aktuellen Wissenstand wiedergibt. Dies reicht zwar oft aus, um mit hoher Wahrscheinlichkeit eine richtige Einschätzung zu treffen – aber es ist keine hundertprozentige Garantie!
  • 2. Wer die Prüfservices nutzt und Dateien zur Analyse übergibt, willigt implizit ein, dass diese innerhalb der Antimalware-Community weitergegeben werden um die Forschung zu optimieren. Geheime und vertrauliche Daten sollen also nicht an öffentliche Services übergeben werden! Wer hier mehr Sicherheit benötigt, kann sich z.B. an das AV-TEST Center in Magdeburg wenden, dass entsprechende Vertraulichkeitszusagen bietet.
  • 3. Heute ist es üblich, im WWW alles zu bekommen – bevorzugt umsonst. Wer sich hinter dem Service-Anbieter verbirgt, interessiert üblicherweise nicht! Allerdings sollte wissen, mit wem man geschäftlich verkehrt. Die MAVM VirusTotal gehört inzwischen zu Google. Virscan.org wurde in China lizenziert und jotti.org in den Niederlanden. Direkte Ansprechpartner Fehlanzeige – so etwas könnte problematisch werden!

100 Prozent gibt es nicht, aber die vorgestellten Werkzeuge sind eine bessere Option, als spirituelle Ansätze, um Malware vorzubeugen. ;-)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44723989 / Endpoint)