Suchen

Web-Bedrohungen erfordern zeitgemäße Malware-Erkennung - Teil 2

Neue Antivirus-Lösungen identifizieren auch die Malware von morgen

Seite: 2/3

Firma zum Thema

Verhaltensbasierte Analyse

Ein gängiger Ansatz, der von einigen Sicherheitssoftware-Herstellern bereits verfolgt wird, ist das Analysieren von Verhalten. Hierzu wird eine potenzielle Schadsoftware nicht mit einer Kartei von bekannten Schädlingen verglichen.

Stattdessen wird die Datei ausgeführt und anschließend überwacht, was sie tun möchte. Anhand dessen wird dann entschieden, ob sie ungefährlich ist oder nicht. Beispielsweise könnte eine legitime Applikation Tastatureingaben protokollieren. Wenn sie aber gleichzeitig kein sichtbares Fenster oder einen Eintrag im Softwareverzeichnis besitzt, dann ist sie höchst verdächtig.

Geht man nach dieser Methode vor, kann man auch bis dahin unbekannte Schadsoftware erkennen, die noch nicht in der Signaturdatenbank erfasst ist. Dieser Ansatz hat noch einen weiteren Vorteil: Er erschwert es dem Angreifer, die Schadsoftware für den Scanner unsichtbar zu machen. Denn ein reines Verschleiern mit einem Runtime Packer wird zwar das Aussehen, aber nicht das Verhalten ändern.

Dieser Ansatz sollte nicht mit verhaltensbasierten NIDS (Network-based Intrusion Detection System) verwechselt werden, da diese eine Abweichung zu einem Normalzustand messen. Verhaltensbasierte Anti-Viren-Lösungen hingegen validieren verschiedene Verhaltensmuster und bewerten diese mit Attributen wie „gut“ oder „böse“. Schlussendlich entscheidet dann die Summe aller Attribute über das Ergebnis.

Einschränkungen und Nachteile

Das Überführen kann je nach Schädling einige Zeit dauern. Ein Trojaner könnte zum Beispiel nach dem Ausführen zunächst eine Stunde lang nichts tun und dann seine Schadroutine starten.

Solange kein bösartiges Verhalten gezeigt wird, löst der Sicherheitsscanner keinen Alarm aus, denn bis dahin ist ja nichts Abnormales ersichtlich. Um mögliche Systemveränderungen wieder rückgängig zu machen, muss die Sicherheitssoftware jedoch Änderungen von unbekannten Programmen protokollieren und bei einer späteren Überführung rückgängig machen.

Ein Nachteil der verhaltensbasierten Erkennung ist, dass auch gutartige Software teils ungewöhnliche Programmroutinen besitzt und es deshalb zu False Positives (Fehlalarmen) kommen kann. Deshalb hier der Hinweis: Ein False Positive kann für den Nutzer ähnlich schwerwiegende Folgen haben wie ein tatsächlicher Virenbefall.

Im schlimmsten Fall wird das System durch das ungewollte Löschen von Systemkomponenten unwiderruflich instabil. Hier bleibt für den Benutzer meist nur noch der Weg über die Backups oder eine Neuinstallation. Deshalb ist eine hohe Erkennung bei geringer False-Positive-Rate erstrebenswert.

Seite 3: Whitelisting

(ID:2017231)