Suchen

Aktuelle Angriffe aktiv abwehren Code-Analyse in Echtzeit hilft gegen dynamische Internet-Attacken

Autor / Redakteur: Werner Thalmeier, M86 Security / Stephan Augsten

Cyber-Kriminelle greifen heutzutage vermehrt über das Internet an. Sie wissen ganz genau, dass klassische Sicherheitssysteme wie Signatur-basierte Antivirus-Lösungen den dynamischen Attacken über soziale Medien, anfällige Web-Anwendungen und manipulierte Webseiten kaum etwas entgegenzusetzen haben.

Firmen zum Thema

Eine Code-Analyse in Echtzeit unterstützt klassische Security-Lösungen bei der Abwehr von Web-Gefahren.
Eine Code-Analyse in Echtzeit unterstützt klassische Security-Lösungen bei der Abwehr von Web-Gefahren.
( Archiv: Vogel Business Media )

Trotz oder gerade wegen der Bedeutung des Webs für die Produktivität und Rentabilität des Geschäftsbetriebs gibt es auch negative Aspekte. Unternehmen sind auf das Internet für Online-Geschäftsanwendungen, den Zugriff auf Informationen und die Kommunikation mit der Öffentlichkeit angewiesen. Dies eröffnet Cyberkriminellen die Möglichkeit, den Schadcode unbemerkt einzuschleusen und zu verbreiten.

Die Angriffe richten sich üblicherweise gegen Applikationen innerhalb eines Firmennetzwerks und nutzen getarnte, Web-gestützte Technologien. Da die nötigen Werkzeuge bereits im Internet verfügbar sind, können Cyberkriminelle innerhalb kürzester Zeit unbemerkt Zugang zu geschäftskritischen internen Systemen erlangen und deren Kontrolle übernehmen.

Um ihre Netzwerke und Daten vor schädlichen Inhalten zu schützen, müssen Unternehmen ihre Sicherheitsmechanismen auf diese organisierte Internet-Kriminalität anpassen. Das Problem liegt vor allem darin, dass die meisten Unternehmen der Meinung sind, ihre Systeme seien durch klassische Desktop-basierte Virenscanner sowie regelmäßige Updates vom Betriebssystem und von Anwendungen ausreichend geschützt.

Dafür müssten man die Updates allerdings sofort nach deren Erscheinen installieren, was wohl eher selten der Fall ist. Noch enttäuschender ist die Tatsache, dass sogar die sicherheitsbewusstesten Unternehmen gefährdet sind – je nachdem, welche Sicherheitsrichtlinien, Tools und Applikationen sie zum Schutz einsetzen.

Das Versagen traditioneller Sicherheitslösungen

Der traditionelle Ansatz für Internetsicherheit ist ein mehrschichtiger Aufbau. Im Allgemeinen umfasst diese Strategie zwei Ebenen am Gateway: URL-Filterung und signaturbasierte Virenscanner. Seit der Einführung dieser Technologie sind die Datenbanken mit Virensignaturen immer umfangreicher geworden, da die Anbieter versuchen, mit der Ausbreitung von Viren und anderer Malware Schritt zu halten.

Eine kombinierte Nutzung verschiedener Technologien in mehreren Schutzebenen ist empfehlenswert, da die jüngsten Daten zeigen, dass die Wirksamkeit von URL-Filterung und signaturbasierter Erkennung deutlich nachgelassen hat. In der Vergangenheit haben Antiviren- und Firewall-Technologien 97-99 Prozent der Malware geblockt. Heutzutage können Virenscanner nur noch 40 Prozent der Web-basierten Angriffe blockieren, während URL-Filter sogar nur 3 Prozent der gefährlichen URLs als Malware erkennen.

Signatur- und datenbankbasierte Sicherheitslösungen sind in ihrer Wirksamkeit gegen neue Arten dynamischer Web-Angriffe eingeschränkt. Durch die Volatilität der Web-Inhalte und die verschleiernde Art moderner Angriffe ist es praktisch unmöglich, schädliche Inhalte zu verfolgen oder zu kategorisieren. Der verschlüsselte Schadcode verbirgt sich hinter unauffälligen Webseiten und ist bereit, Unternehmensnetzwerke und Systeme zu infizieren, lange bevor eine signaturbasierte Virenschutzlösung aktualisiert oder ein Software-Patch eingespielt werden kann.

Inhalt

  • Seite 1: Klassische Sicherheitslösungen versagen
  • Seite 2: Die aktuelle Taktik der Angreifer
  • Seite 3: Wie die Code-Analyse funktioniert

Die aktuelle Taktik der Angreifer

Allgemein bevorzugen Cyberkriminelle zuvor unbekannte (Zero-Day-) Exploits, die eine beliebte reguläre Seite ausnutzen. Sie wissen, dass ein vollständig dynamischer Angriff der Schlüssel für langfristigen Erfolg ist, auch nachdem der Zero-Day-Exploit von Sicherheitsfirmen entdeckt wurde.

Das bedeutet, dass der gleiche Code kein zweites Mal übertragen wird. Jede Anfrage wird mit einem unterschiedlichen, dynamisch erzeugten und verschleierten Code beantwortet. Um ihre Angriffe durchzuführen, nutzen Cyberkriminelle die Kombination dreier Elemente: Sie greifen legitime Webseiten an, um Malware einzuschleusen, führen dynamischen Schadcodes aus und profitieren von bekannten Schwachstellen.

Mittlerweile hat sich ein Markt für Schadcodes gebildet, der von Angebot und Nachfrage reguliert wird. Schwachstellen werden in Online-Auktionen gehandelt. Kommerzialisierte Schadprodukte, beispielsweise Malware Toolkits, werden entwickelt, um diesen Markt zu bedienen.

Kriminelle sind bereit, große Summen für Konto- und Kreditkartendaten sowie andere vertrauliche Geschäftsdaten, die von Trojanern, Keyloggern und anderen Arten von Schadcode gesammelt wurden, zu zahlen. Deshalb finden profitorientierte und hoch talentierte Entwickler von Crimeware ständig neue Wege, ihre Angriffe zu verstecken, zu verschleiern und zu tarnen.

Diese Angriffe kombinieren oft mehrere Verbreitungsmethoden und Abwehrtechnologien gegen klassische Schutzlösungen, um ihre Chance, unentdeckt zu bleiben, zu verbessern. Die Cyberkriminalität ist seit 2007 um mehr als 400 Prozent gestiegen, was selbst konservativen Schätzungen zufolge einen Schaden von 100 Milliarden US-Dollar verursacht hat.

Vorteile der Code-Analyse in Echtzeit

Um wertvolle Informationen vor den Online-Gefahren zu schützen, müssen Sicherheitstechnologien in der Lage sein, jedes Stück ein- und ausgehender Web-Inhalte in Echtzeit zu prüfen – unabhängig von deren Herkunft, Kontext und Erscheinung. Nur eine aktive Code-Analyse identifiziert den Schadcode beim ersten Auftreten und versteht die Absicht hinter seiner Ausführung. Die Crimeware wird blockiert, sobald diese erkannt wird.

Entsprechende Lösungen sind effektiv bei der Handhabung von unbekanntem, dynamischem Rich Content und weiteren Gefahren, die reaktive signatur- und datenbankbasierten Technologien nicht blockieren können. Sollte eine legitime Webseite kompromittiert sein, so lässt sich der Schadcode nahtlos entfernen, ohne die Seite zu blockieren. Erst nach der Bereinigung werden die sicheren Web-Inhalte dem Anwender zur Verfügung gestellt.

Inhalt

  • Seite 1: Klassische Sicherheitslösungen versagen
  • Seite 2: Die aktuelle Taktik der Angreifer
  • Seite 3: Wie die Code-Analyse funktioniert

Wie die Code-Analyse funktioniert

Um zu erläutern, wie die Prüfung von Web-Inhalten in Echtzeit funktioniert, nehmen wir die verhaltensbasierte Technologie des Sicherheitsunternehmens M86 Security als Referenz. Dieser verarbeitet die Inhalte im mehreren Schritten.

Zunächst werden Änderungen bei gefälschten Dateitypen, verpackten ausführbaren Dateien und kodierten Skripten über Erkennungsalgorithmen identifiziert. Danach wird der gesamte ein- und ausgehende Verkehr einschließlich HTTP und HTTPS geprüft.

Im dritten Schritt erfolgt die Erkennung und Entschlüsselung verschleierten Codes, der versucht, Sicherheitsprüfungen zu umgehen. Der HTML-Code wird in einzelne Komponenten wie HTML-Kommandos, Textabschnitte, Stylesheets, URI, Skripte und Aktivierung externer Objekte aufgegliedert. Dazu analysiert eine untergeordnete Engine alle aktiven Komponenten, beispielsweise die Java, ActiveX, JS- und VB-Skripte, HTML, XML, CSS und HTTP/HTTPS/SSL, im Kontext.

Ein Verhaltensprofil, das das kombinierte Verhalten der aktiven Komponenten im Betrieb darstellt, wird erstellt und mit einer umfassenden Liste von Sicherheitsprofilen verglichen. So können alle abweichenden Verhaltensprofile effektiv blockiert werden. Wenn die Webseite schädliche Teile enthält, so werden diese geblockt und die Webseite wird sauber und so funktional wie möglich dargestellt.

Die verhaltensbasierte Echtzeit-Sicherheitsengine versteht die programmatischen Verbindungen zwischen den einzelnen Teilen des Codes. Die Fix-Up-Engine prüft dazu, dass die Seite richtig formatiert und sicher betrachtet werden kann.

Nur eine Tiefenprüfung der kombinierten Funktionen (ähnlich eines Compilers mit Echtzeit-Interpreter) kann die wahre Intention des Codes erkennen: für den Fall, dass er den Desktop des Anwenders erreicht. Die Engine wird nicht von programmatischen Varianzen wie Änderungen bei Objekt- und Variablennamen, wechselseitigen Aufrufen und wechselnden Aufrufsequenzen beeinflusst.

Fazit

Um auf die dynamischen Gefahren im Web zu reagieren, ist eine weitere Schutzebene notwendig. Die Antwort liegt in der Technologie zur Code-Analyse in Echtzeit. Durch das Verständnis der wahren Ziele der Web-Inhalte erkennt und verhindert dieser neue Ansatz den erfolgreichen Einsatz von Crimeware, auch im Angesicht der Verbreitungstechnologien und forensischen Gegenmaßnahmen, die gerne genutzt werden.

Eine effektive Kombination aus URL-Filterung, Virenschutz und Codeanalyse in Echtzeit ist heute der einzige sichere Weg, um Unternehmen vor den kostenträchtigen Folgen eines Malware-Angriffs zu schützen. Parallel müssen Firmen optimale Strategien und Verhaltensregeln definieren, um die entstehenden Sicherheitsrisiken aktiv zu bekämpfen.

Inhalt

  • Seite 1: Klassische Sicherheitslösungen versagen
  • Seite 2: Die aktuelle Taktik der Angreifer
  • Seite 3: Wie die Code-Analyse funktioniert

Werner Thalmeier ist Vice President Product Management bei M86 Security.

(ID:2052697)