:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Malware-Analyse Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz
Ein Virenscanner ist fester Bestandteil einer jeden Sicherheitsarchitektur. Auf Endpoint-Systemen, in der Cloud und auch auf Gateway-Systemen für Web- und E-Mail-Traffic. Eigentlich sollte das genügen, doch was tun, wenn man sich nicht ganz sicher ist? Online-Virenscanner sind hier ein probates Hilfsmittel für mehr Sicherheit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wer neben einem lokal installierten Virenscanner mehr Sicherheit will, kann auf Web-Services zurückgreifen, die für genau diesen Zweck Online-Tools anbieten. Ganz grob lassen sich diese Produkte in Multi-Virenscanner und Analyzer unterteilen.
Die Multi-Antivirus-Maschinen
Diese Tools gehört zu denen, die zeitlich am längsten etabliert sind (JOTTI seit 2004). Anstatt sich eines einzelnen Virenscanners zu bedienen, nutzen Multi-Antivirus-Maschinen (MAVM) einfach (fast) alle am Markt angebotenen Malwarescanner-Produkte. Diese Verfahren bietet folgende Vorteile:
- Geographische Vorlieben werden nivelliert (Manche Malware tritt regional unterschiedlich häufig auf)
- Unterschiedliche Technologien verbessern die Erkennungsrate
- Weltliche und religiöse Feiertage und die damit verbundenen Reduzierungen der Malware-Analysten durch Urlaub wird ausgeglichen
- Organisatorische und technologische Schwerpunkte der Virenscanner-Hersteller ergänzen sich
- Es werden immer die neuesten Produkte und Erkennungspattern verwendet.
:quality(80)/images.vogel.de/vogelonline/bdb/1238300/1238384/original.jpg "Startseite VirusTotal; Bereit zum Upload einer verdächtigen Datei zur Analyse.")
:quality(80)/images.vogel.de/vogelonline/bdb/1238300/1238385/original.jpg "Ergebnisse der Dateiüberprüfung durch VirusTotal (Kein Befund; Datei enthält vermutlich keine Schadsoftware).")
:quality(80)/images.vogel.de/vogelonline/bdb/1238300/1238386/original.jpg "MetascanOnline von OPSWAT; Startbildschirm mit allen Auswahlpunkten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1238300/1238387/original.jpg "Ergebnisbildschirm OPSWAT Scan IP; OPSWAT bietet „SCAN A File“ und „SCAN AN IP ADDRESS“ als Scan-Methoden.")
Üblicherweise ermöglicht dieses Verfahren eine zuverlässige Erkennung von „exotischer“ Malware. Jedoch ist dies auch kein Garant für eine 100 Prozent Erkennung, denn gegen spezifische Schadsoftware, die geschrieben wurde um ein ausgewähltes Ziel anzugreifen oder ganz neue Malware hilft auch die Masse der Virenscanner nicht.
MAVM-Systeme bieten inzwischen auch automatisierbare Schnittstellen an, so das der manuelle Aufwand reduziert wird. So kann man beispielsweise VirusTotal per Powershell nutzen. Alles was man dafür benötigt, ist eine Programmschnittstelle (API für application programming interface) wie beispielsweise einen API-Key, den man anfordern muss. Beim kostenlosen Service von VirusTotal ist jedoch die Anfragemenge und die Nutzungsart beschränkt.
Eine API-Nutzung bietet auch das Tool "Metascan Online" von opswat. Damit ist eine kommerzielle eingeschränkten Gratis-Version per Lizenz erweitert nutzbar. Auch „Institutionen“ wie JOTTI bieten auf Anfrage eine API-Schnittstelle an.
MAVM für Nicht-Windows-Systeme
Die meisten der Tools sind fokussiert auf Windows-Dateien. Online-Scanner für andere Betriebssysteme werden nur vereinzelt angeboten und das das „Multi“ wird meistens ersatzlos gestrichen. Das Produkttest-Unternehmen AV Comparatives offeriert mit AVC UNDroid einen Scanner von .APK-Dateien für das Betriebssystem Android. Wer hingegen Online-Tools für Linux sucht oder gar für iOS wird nicht fündig werden. Bestenfalls Hobby-Projekte sind hier existent, deren Lebensdauer und Qualität jedoch eingeschränkt ist
Online Multi-Antivirus-Maschinen (MAVM)
| Dienst | OS | API | Privat / Lizenz | URL-Check | Info an AV-Community |
|---|---|---|---|---|---|
| Jotti | Win | Anfrage | Ja / Anfrage | Nein | Ja |
| MetaScan opswat | Win | Ja | Ja / Ja | Ja | Ja |
| Virscan | Win | Nein | ? / ? | Nein | Ja |
| VirusTotal | Win | Nein | Ja / Nein | Ja | Ja |
| AVC UnDroid | Android | Nein | Ja / ? | Nein | ? |
Analyzer
Analyzer-Tools führen üblicherweise relevante Dateien in einer virtuellen Arbeitsumgebung aus und beobachten das Verhalten der potentiell verdächtigen Datei. Handelt es sich zum Beispiel um eine Text-Datei mit Makros die versuchen zentrale Vorlagen zu modifizieren oder per Shell-Aufruf Internet-Verbindungen zu etablieren ist dies ein (verdächtiges) Verhalten, das der Analyzer dann meldet. Durch nachgelagerte Analysen lässt sich dann (hoffentlich) feststellen, welche URLs geöffnet werden, ob verdächtige DLL-Dateien geladen werden oder andere typische Malware-Mechanismen ausgeführt werden.
Der Vorteil den Analyzer bieten liegt darin, dass sie ohne die klassischen Malware-Suchmuster auskommen und das unmittelbare Verhalten einer Datei untersuchen. Anhand dieses Verhaltens kann man dann ersehen, ob die Datei ein Risiko darstellt und ggf. eine neue, bis dato unbekannt, Malware ist. Aber auch dieses Verfahren bietet keine 100 Prozent Sicherheit, denn:
- Die Analyse ob eine Malware vorliegt erfordert technologisches Fachwissen und einen erfahrenen, menschlichen Interpreter
- Malware kann virtuelle Umgebungen erkennen und in diesem Fall die Schadfunktion nicht ausführen oder Debugging-Fallen enthalten und so Analyse-Tools narren
- False-Positive sind auch mögliche, denn mitunter gleichen legitime Aktivitäten denen einer Schadsoftware
Unterstützte Betriebssysteme
Auch bei Analyzer-Systemen gilt, dass bevorzugt das Windows-Umfeld bedient wird. Proprietäre Internet-of-Things-Betriebssysteme oder Android werden nicht nennenswert unterstützt. Gerade einmal für Linux werden einige Tools angeboten. Hier ist vor allem „detux - The Linux Sandbox“ zu nennen. Über eine Upload-GUI können Dateien für verschiedenen CPU-Architekturen (X86, MIPS, ARM …) zur Analyse eingereicht werden.
Analyzer-Schwund
Die Zeiten scheinen es schwer zu machen, die erforderlichen Ressourcen für Analyzer-Systeme bereit zu stellen und so verschwinden immer mehr Tools von der „Bildschirmoberfläche“. Eines der bekanntesten Tools am Markt, Anubis wurde im April 2016 eingestellt.
Unfortunately, we are discontinuing #anubis and #wepawet b/c we lack the resources. Thanks for supporting us all those years! #iseclab 1/2
— iSecLab (@iseclab) 11. April 2016
Deepviz ist inzwischen Teil des Unternehmens MalwareBytes und such Threatexpert verabschiedet sich sporadisch mit einer Fehlermeldung und liefert kein Ergebnis. Bei malwr.com mit der der etablierten Cuckoo Sandbox gab es seit Mitte 2016 wiederholt Probleme mit der Erreichbarkeit (We’ll be back soon!“). Aber nun scheint es wieder bergauf zu gehen, den in einem Blog-Post vom Anfang April 2017 kündige Cuckoo eine neue Version 2.0 an, die direkt von der Webseite oder via Github heruntergeladen werden kann.Es bleibt zu hoffen, dass sich dies auch positiv auf malwr.com auswirkt
Analyzer – Was bleibt übrig?
Wenige Tools sind es, die das große „Analyzer-Sterben“ überlebt haben und noch nutzbar sind. Eines davon ist Payload Security mit Nutzung einer „Hybrid Analyse“. Payload Security ist ein aktuelles, gepflegtes Tool, mit einer zweckdienlichen GUI, und informativen „Read ME“-Inhalten, wie ein FAQ, eine Knowledge-Base und einer API-Beschreibung.
Das Besondere an diesem Tool ist die „Hybride Analyse“. Dies bedeutet vereinfacht gesagt, dass nicht nur Laufzeitdaten analysiert werden, sondern auch Speicherbereiche statistisch analysiert werden. Damit ist es mögliche getarnte Daten (zum Beispiel zerlegte oder verteilte Strings) besser zu erkennen. Nach etwa 5 Minuten erhält man eine recht aussagekräftige Analyse, was die untersuchte Datei alles an Aktivitäten im System ausführt, welche DLL’s genutzt werden und welche Bildschirmausgaben es durchführt.
Parallel zu den Tools, die frei nutzbar sind, aber auch mehr Features gegen Bezahlung bieten, gibt es auch Werkzeuge, die keine öffentliche (gratis) Online-Schnittstelle bieten. Dazu zählt z.B. das Tool „Lastline Analyst“ der amerikanischen Firma Lastline, welches den KMU und Enterprise-Markt adressiert. Details zum Tool, die über die Informationen auf der Produktseite hinausgehen, müssen erfragt werden. Zu dieser Kategorie zählt auch das Tool ThreatAnalyzer von ThreatTrack.
Einschränkungen
An der Nutzung von MAVM- oder Analyzer-Tools kommt kein Unternehmen vorbei, das seine Cyber-Risiken minimieren will. Aber im Business-Umfeld muss man sich auch der Einschränkungen bewusst sein, die mit der Nutzung dieser Tools einhergeht, wie zum Beispiel:
- 1. Es gibt keine garantiert sicherere Aussage, ob die geprüfte Datei einen neuartigen Virus, Trojaner oder eine Backdoor enthält! Man erhält eine Momentaufnahme der den aktuellen Wissenstand wiedergibt. Dies reicht zwar oft aus, um mit hoher Wahrscheinlichkeit eine richtige Einschätzung zu treffen – aber es ist keine hundertprozentige Garantie!
- 2. Wer die Prüfservices nutzt und Dateien zur Analyse übergibt, willigt implizit ein, dass diese innerhalb der Antimalware-Community weitergegeben werden um die Forschung zu optimieren. Geheime und vertrauliche Daten sollen also nicht an öffentliche Services übergeben werden! Wer hier mehr Sicherheit benötigt, kann sich z.B. an das AV-TEST Center in Magdeburg wenden, dass entsprechende Vertraulichkeitszusagen bietet.
- 3. Heute ist es üblich, im WWW alles zu bekommen – bevorzugt umsonst. Wer sich hinter dem Service-Anbieter verbirgt, interessiert üblicherweise nicht! Allerdings sollte wissen, mit wem man geschäftlich verkehrt. Die MAVM VirusTotal gehört inzwischen zu Google. Virscan.org wurde in China lizenziert und jotti.org in den Niederlanden. Direkte Ansprechpartner Fehlanzeige – so etwas könnte problematisch werden!
100 Prozent gibt es nicht, aber die vorgestellten Werkzeuge sind eine bessere Option, als spirituelle Ansätze, um Malware vorzubeugen. ;-)
(ID:44723989)
:quality(80)/images.vogel.de/vogelonline/bdb/1912500/1912534/original.jpg "Der Weg zu militärischen Zielen führt oftmals über verbreitete Standardsoftware. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929500/1929511/original.jpg "Zum Valentinstag sprechen wir über Liebesgrüße von der Cyber Kill Chain. (Vogel IT-Medien)")