Transcription
Viren, Würmer und TrojanerAndreas MarxAV-Test GmbHhttp://www.av-test.deheise Security - Konferenz „E-Mail-Sicherheit“, Vortrag über „Viren, Würmer und Trojaner“Copyright 2005 AV-Test GmbH, Klewitzstr. 7, D-39112 Magdeburg, GermanyTelefon: 49 391 6075460, Fax: 49 391 6075469, http://www.av-test.de
InhaltllllllBegriffe (II)Klassifikationsmöglichkeiten (I)Herausforderungen (V)Aktuelle Malware-Entwicklungen (V)Testergebnisse (VII)Gegenmaßnahmen (V)
Begriffe (I)lMalware Oberbegriff (Malicious Software)––lViren infizieren Dateien (Wirte), etwaProgramme oder Office-Dokumente–lPer Intention schädliche SoftwareUmgangssprachlich oft mit „Viren“ gleichgesetztHeutzutage kaum noch verbreitet ( 2,5 Prozent)Würmer verbreiten sich über Netzwerkeund infizieren die Rechner des Verbundes
Begriffe (II)llTrojanische Pferde Programm mit (meistversteckter) schädlicher NebenfunktionBackdoor Hintertürenprogramm–llAngreifer kann alles, was der Benutzer auch kannBot Kombination aus Backdoor und Wurm,Kommunikation über IRC-Netzwerke(Internet Relay Chat)Adware, Spyware, Dialer
Klassifikationsmöglichkeiten (I)lNach „Lebensraum“:–lUnterteilung nach Verbreitung:––lBoot-, Datei-, Skript- und MakrovirenSehr weit verbreitete Viren „ItW“- (In-the-Wild) oder WildListViren à http://www.wildlist.orgWenig bis kaum verbreitete Viren Zoo-Viren (sieht man nur inden „Viren-Zoos“ der Hersteller)Einordnung nach Schadensklassen:––––Geringer Schaden, z.B. Bildschirmeffekte, TöneMittlerer Schaden, z.B. Löschen von DateienHoher Schaden, z.B. Manipulation von DatenUnermesslicher Schaden, z.B. Weitergabe vertraulicherDokumente an die Konkurrenz
Herausforderungen (I)lVirenscanner heute:––lProdukt zum Aufspüren von Viren per Signatursuche(„Fingerabdrücke“ bekannter Schädlinge) und per Heuristik(„typische Malwareeigenschaften“, Emulation Sandbox)Dateibasiert (einzelne Dateien auf dem Datenträger)„Virenscanner“ (genauer: Security Suiten) morgen:–––––Firewall als integraler Bestandteil, inkl. Filterung vonNetzwerktraffic (Stichwort: Blaster, Sasser)IPS Intrusion Prevention (statt IDS Intrusion Detection)Erkennen von offenen (Windows-)SicherheitslückenNeue Filter: Anti-Spam, Anti-Spyware, Anti-Dialer Kurzum: Steigende Software- und Infrastruktur-Komplexität
Herausforderungen (II)lReaktionsgeschwindigkeit bei Outbreaks (I)–Häufige Aktualisierung der Scannerdatenbanken wichtigll–Vom Hersteller aus mehrmals pro Woche, besser mindestenseinmal täglich und nach Bedarf auch öfterCa. 75 bis 100 neue Schädlinge pro Tag, davonschätzungsweise aber nur etwa 1 bis 2 Prozent kritischà Jeden Tag gibt es mindestens eine echte, neue Bedrohung!Hersteller: Definitionsupdates rechtzeitig bereitstellen llWichtig ist eine schnelle Reaktion, wenn was los ist und nicht,wenn es technisch (un-)möglich ist, Updates herauszugebenHersteller warten oft ab, wie sich ein neuer Wurm „entwickelt“statt sofort zu handeln (Wichtig: Meldungen an AV-Hersteller!)
Herausforderungen (III)lReaktionsgeschwindigkeit bei Outbreaks (II)– und regelmäßig auf Updates prüfen und rechtzeitigautomatisch einspielen lassen (vom Kunden)!llllPriorität: Internet Gateway-Systeme (z.B. E-Mail-Schutz)Komplette Verteilung im Rest des Unternehmens nach BedarfAchtung! Nebenwirkungen: Jedes Update ist Software-Patch!Durchschnittliche Outbreak-Reaktionszeit von AVHerstellern im Jahr 2004 und im 1. Quartal 2005––Bei Würmern: ca. 8 bis 12 StundenBei anderer Malware (z.B. Online Banking-Trojaner, die fürPhishing genutzt wurden): Oft noch mehrere TageàDaher ist Inhaltsfilterung unverzichtbar!
Beispiel: Mydoom.A - OutbreakDatenquelle: 2004 MessageLabs
Herausforderungen (V)lSignaturdatenbanken von Virenscannern wachsenauf Grund der Malware-Flut ins Unermessliche––Es gibt heute ca. 125.000 verschiedene Schadprogramme(inklusiver vieler „Altlasten“ aus MS DOS-Zeiten)Typisches Wachstumsbeispiel (Trend Micro):llll––August 2001:Januar 2004:Januar 2005:April 2005:4,0 MB7,5 MB11,8 MB14,7 MB10 Jahre hat es gebraucht (1991 bis 2001), damit dieDatenbank 4 MB groß wird, aber nur wenige Monate, bissich ihre Größe mehr als verdoppelt und verdreifacht hatAllein in den letzten 4 Monaten ganze 3 MB Wachstum
Aktuelle Malware-Entwicklungen (I)lVirenschreiber werden immer professioneller––Früher: Schlagzeilen in den Medien produzierenHeute: Geld, Geld, Geld (organisierte Kriminalität)llOnline-Banking (Phishing) und Spam am lukrativstenIntegrierte Malware („All-Inclusive“-Prinzip)–––Kombination von Viren, Würmern, Trojanischen Pferden,Backdoors, sowie Ad- und SpywareWenig Rechner infizieren, damit die Schadsoftware nicht soschnell auffällt und irgendwann nach einigen Kundenreportsvon AV-Software erkannt und eliminiert wird„Seeding“ von weiterer Malware, Spam-Schleudern,Schutzgelderpressung per DDoS-Attacken
Aktuelle Malware-Entwicklungen (II)lBot-Netzwerke (Spybot, SDBot, Agobot & Co.):–Quelltexte vieler Bots sind frei im Internet verfügbarl–Gestern: Zentralisierter Ansatzll–Ein IRC-Server, der alle „Anmeldungen“ verwaltetKillt man den Server, ist das Bot-Netzwerk „tot“Aktuelle Erweiterungen:ll–Anpassen, kompilieren, komprimieren und verschickenListen mit weiteren (Backup-)IRC-ServernVerschlüsselte Kommunikation (AES-128 oder besser)Morgen: Dezentralisierter (P2P-)AnsatzlVergleich: Napster konnte man durch die Abschaltung desZentralservers einfach vom Netz nehmen, aber bei eDonkeygibt es „kein Anfang und kein Ende“
Aktuelle Malware-Entwicklungen (III)lPro Tag erscheinen mittlerweile ca. 75 bis 100 neueMalware-Programme und Varianten bekannterSchadsoftware––lHauptanteil: Kombinierte Angriffsmethoden (Bots)Kaum noch „klassische“ Viren zu finden, die Dateieninfizieren (zu kompliziert?)Häufiges Klassifikationsproblem: Malware, Ad-/Spyware vs. legitime Software––EULA vs. „Potentiell unerwünschtes Objekt“Klagen und gerichtliche einstweilige Verfügungen gegenAV-Hersteller wegen einer Erkennung
Aktuelle Malware-Entwicklungen (IV)lMalware-Schreiber „testen“ neue Varianten gegen AV-Softwarevor der Freisetzung–Selbst die beste Heuristik nützt oft nichts mehrl–Wenn ein AV-Update erschienen ist, erscheint genauso schnelleine nicht erkennbare VersionllSo lange modifizieren, bis nichts mehr erkannt wirdNeue Varianten werden auf Vorrat produziertTrick mit „Malformed Mails“ (d.h. nicht RFC-konform)–Beispiel: Keine abschließende Anführungszeichen im Dateinamen,Scanner geht von deren Existenz aber aus und sieht .ex statt .exellMail-Scanner sieht keinen (kritischen) Anhang und prüft somit nichtMS Exchange und Outlook reparieren die Mail aber, der Anhang wirdsichtbar und die Schadsoftware wird erst auf dem Groupware-Systemoder dem Client gefunden
Aktuelle Malware-Entwicklungen (V)lNur „Download-Link“ schicken, keine Mail-Anhänge–Rechner wird erst beim Besuch einer Webseite infiziertlSicherheitslücken in gängigen Browsern sei Dank à Patches!à Links mit in die Filterung einbeziehen, http/ftp-Daten prüfenlDeaktivieren von Sicherheitssoftware–Heimanwender meist mit Administrator-Rechtenll–Beenden von Prozessen, Löschen von Dateien l–Oft keine oder nicht alle Patches eingespieltSchon gar kein Sicherheitsbewusstseinà Einfache „Beute“ für MalwareErneute Installation von AV-Software unmöglich machen„Selbstschutz“ der Malware vor EntfernunglViele Startpunkte und „Backups“, schwer zu entfernen
Testergebnisse (I)llEs folgen: Messergebnisse im Rahmen des Testsder Outbreak-Reaktionszeiten von AV-ProduktenUpdates von Virenscannern pro Quartal:––––––Q1 / 2004: 11.494 Dateien (35,4 GB)Q2 / 2004: 15.761 Dateien (57,3 GB)Q3 / 2004: 17.447 Dateien (63,9 GB)Q4 / 2004: 17.103 Dateien (61,6 GB)Q1 / 2005: 22.295 Dateien (77,8 GB)Insgesamt: 84.100 Dateien (296 GB)
2004-01-292004-01-152004-01-01TE (II) - Reguläre Updates pro Tag1009080706050403020100
TE (III) - Updates pro Wochentag050010001500Tue1408W ed14022932277427441207Fri661281318216881763Regular Def initions300027911269ThuS un25001493M onS at2000Beta Def initions3500
TE (IV) - Updates nach Tageszeit10090807060504030201000 0 :0 00 2 :2 40 4 :4 80 7 :1 20 9 :3 61 2 :0 01 4 :2 41 6 :4 81 9 :1 22 1 :3 60 0 :0 0
Testergebnisse (V)lReaktionszeiten: Letzter Sober-Ausbruch (I)–Heuristische Erkennung:lllll–AntiVirDr. an (probably)Trojan/Worm (suspicious)W32/Sober.gen@MMSuspicious (warning)Signaturerkennung .Win32.Sober.pW32/Sober.O@mm (exact)Win32.Sober.O@mmW32/Sober-N
Testergebnisse (VI)lReaktionszeiten: Letzter Sober-Ausbruch (II)–Signaturerkennung andaeTrust (CA)NormanTrend MicroAVGeTrust 422:4623:1823:2700:1502:3808:52W32/Sober.O@mm ober.V.wormWin32/Sober.53554!WormSober.O@mmWORM n32/Sober.Q@mm
Testergebnisse iVirF-SecurePandaTrend MicroNormanMcAfeeSymantecUpdates/Tag(Januar tliche Reaktionszeit(45 Outbreaks im Jahr 2004) 4 Stunden 8 Stunden 4 Stundenwenn erkannt, dann 6 Stunden 6 Stunden 6 Stunden 6 Stunden 10 Stunden 10 Stunden 14 Stunden 16 Stunden
Gegenmaßnahmen (I)lAlle ein- und ausgehenden Daten müssen anInternet- und Intranet-Gateways gefiltert werden–Generell alle Mails auf Schädlinge prüfen (und nicht nur die)l–Einsatz mehrerer verschiedener AV-Engines sinnvoll, daandere Schwerpunkte, etwa bei Erkennungsraten (Virenund Exploits) und Reaktionszeiten bei Outbreaksl–Andere Infektionswege wie VPN oder USB nicht vergessen!Fehlalarmen vorbeugen: Quarantäne statt Löschen!Danach erst potentiell gefährliche Inhalte aussortierenllWenn man schon vorher filtert, erhält man weniger brauchbareStatistiken („100 EXE-Dateien gefiltert“ vs. „50 Netskys, 39Mydooms, 10 Bagles und eine unbekannte EXE-Datei“)Benachrichtigungsoptionen besser nutzen
Gegenmaßnahmen (II)lStichwort Inhaltsfilterung–Keine direkt ausführbaren Dateien per Mailempfangen oder verschicken (Blacklisting)l–Alternativen nutzen: Web-Downloads, (s)ftp-ServerNur erwünschte Dateien zulassen (Whitelisting)lllAuch „reine“ Datendateien wie JPG, ANI, GIF, BMPoder MP3 können Schadcode enthalten und ihn durchSicherheitslücken (meist Buffer Overflows) zurAusführung bringen à Minimal-Prinzip!Jede Abteilung hat spezifische Bedürfnisse (PR vs. HR)Restrisko abschätzen und dokumentieren
Gegenmaßnahmen (III)lAV-Software auf allen Systemen einsetzen–Mail-Gateway: Laufend automatisch aktualisiertl––Groupware-Systeme: Regelmäßig updatenClient- und Server-Systeme: Nach Bedarfll–Nicht jedes Update muss sofort unternehmensweitverteilt werden, besser vorher gründlich prüfenJedes AV-Update ist letztendlich ein Software-PatchWelche Systeme sind nicht geschützt?llMindestens (!) ein Update-Check pro StundeBedrohungen und Risken einschätzenAusblick: Cisco Microsoft NAC/NAP
Gegenmaßnahmen (IV)lUnd wenn doch mal was passiert –––Reinigungsfunktion der AV-Software nur als Mittel, denInfektionsherd schnell los zu werden ansehen (Anzahl derNeuinfektionen eindämmen)Systeme generell neu aufsetzen (Imaging)Denn: Keiner weiß, ob die Desinfektion wirklich komplettund erfolgreich war, sowie welche „Nebenwirkungen“ (etwaweitere Malware) der Schädling noch so mitgebracht hatl–Beispiel: Wurm ist entfernt, Backdoor aber noch aktivAlle Service Packs und Patches einspielen, bevor derRechner wieder ins Unternehmensnetzwerk darf
Gegenmaßnahmen (V)lImmer alle Ebenen in einem Schutzkonzept(IT-Sicherheitsstrategie) berücksichtigen:–––TORP Technisch, Organisatorisch, Rechtlichund PersonellIn diesem Vortrag wurde nur der technischeAspekt entsprechend gewürdigt, d.h. 25 ProzentUmgesetzt wird oft allein das technisch mögliche,die restlichen 75 Prozent werden oft vergessenllTechnik: Es ist nur ein Schritt in die richtige RichtungMitarbeiter-Schulungen helfen! (Verständnis )
Gibt es Fragen?lGibt es Fragen?
- Neue Filter: Anti-Spam, Anti-Spyware, Anti-Dialer . lHäufiges Klassifikationsproblem: Malware, Ad-/ Spyware vs. legitime Software . 0 500 1000 1500 2000 2500 3000 3500 Mon Tue Wed Thu Fri Sat Sun Regular Definitions Beta Definitions. TE (IV) -Updates nach Tageszeit 0 10 20 30 40 50 60 70 80 90 100
