Web-Bedrohungen erfordern zeitgemäße Malware-Erkennung - Teil 2

Neue Antivirus-Lösungen identifizieren auch die Malware von morgen

17.10.2008 | Autor / Redakteur: Candid Wüest von Symantec / Stephan Augsten

Whitelisting

Als gegensätzlichen Ansatz zum Black-Listing mit Signaturen gibt es die Möglichkeit, mit Whitelists zu arbeiten. Hierzu wird eine Liste aller bekannten gutartigen Programme generiert.

Natürlich ist es genauso schwierig eine komplette Whitelist aller gutartigen Software zu erstellen, wie es unmöglich ist, eine Blacklist aller Schadprogramme zu führen. Da sich gutartige Programme aber nicht absichtlich verstecken oder wurmartige Verbreitungsmethoden benutzen, ist die Whitelist dennoch die gangbarere Option.

Im Unternehmensumfeld werden solche Lösungen bereits seit Jahren mit Erfolg eingesetzt. Gewisse Server ändern nur selten die Softwarekonfiguration. Deshalb ist es möglich, einen Lockdown-Modus zu betreiben.

Zu diesem Zweck werden bei der Installation alle anderen installierten Softwarepakete lokal registriert und kryptografisch protokolliert. Ab diesem Zeitpunkt lassen sich nur noch bereits lokal bekannte Programme starten. Jegliche nicht registrierte Software, also auch jeder neue Schadcode, wird automatisch vor dem Ausführen blockiert.

Einschränkungen und Nachteile

Dies bietet einen sehr guten, aber leider auch noch keinen hundertprozentigen Schutz vor Schadcodes. Beispielsweise könnte immer noch ein Shellcode durch Netzwerk-Exploits direkt zum Ausführen gebracht werden.

Auf Heimanwender ist der Whitelisting-Ansatz nicht ganz so einfach zu übertragen, da dort häufig neue Software installiert wird. Wer dennoch eine möglichst genaue Liste führen will, kann auf die freiwillige Mithilfe der Web-Community zurückgreifen.

Mithilfe spezieller Rootkit- und Registry-Scanner kann von jedem Benutzer, der zustimmt, ein anonymisierter Hash-Wert aller installierten Applikationen an einen zentralen Server gesendet werden. Durch statistische Auswertung der Verbreitung und deren Vergleiche kann nun mit einer hohen Trefferquote vorausgesagt werden, welche Programme gut und welche bösartig sind.

Nicht klar klassifizierbare Dateien können dann von der lokalen Sicherheitssoftware einem genaueren Scan unterzogen werden. Dies ermöglicht eine deutliche Steigerung der Performance und Verringerung der Falscherkennung, weil nur noch ein Bruchteil aller Applikationen auf einem Computer analysiert werden muss.

Auch heruntergeladene Software-Installer und andere Dateien lassen sich mithilfe spezieller Hash-Berechnungssoftware wie VisualHash verifizieren. Damit kann der User die gängigen SHA1- und MD5-Prüfsummen berechnen und anschließend über eine Suchmaschine mit Internet-Einträgen abgleichen.

Fazit

Statische Anti-Viren-Signaturen haben sich vor 25 Jahren erfolgreich im Kampf gegen damalige Schädlinge etabliert. Für die neuen Gefahren im Internet braucht man jedoch zusätzliche Erkennungsmethoden.

Verhaltensbasierte Analyse von Programmen erweist sich als vielversprechender Ansatz im Kampf gegen die Schädlingsflut. Bösartige Funktionen werden rechtzeitig erkannt und verhindert – unabhängig davon, wie stark der Schadcode verschleiert ist.

Auch der Paradigmenwechsel von der Blacklist zur Whitelist wird verfolgt und leistet durchaus einen Beitrag für die verbesserte Sicherheit des Nutzers. Hierzu können zusätzlich Informationen von freiwilligen Anwender-Communities gesammelt werden, die einen Aufschluss über Verbreitungsgrad und Sauberkeit neuer Applikationen geben können. Dies erlaubt das schnelle Erkennen von neuem Schadcode – und damit dem Benutzer weiterhin das sorglose Surfen im Internet.

Candid Wüest ist Senior Software Engineer und Antivirus-Experte beim Security-Hersteller Symantec.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2017231 / Malware)