Die neueste Bedrohung: Ein Virus, der nur für Sie gemacht wurde

Der Flashback-Computervirus erlangte Anfang dieses Jahres als erste Malware Bekanntheit, die gegen Apples relativ unberührtes Betriebssystem Mac OS X vordrang und auf dem Höhepunkt des Ausbruchs die Computer von etwa 600.000 Opfern infizierte.





Computerwissenschaftler und Sicherheitsexperten machten sich jedoch mehr Sorgen über einen anderen Aspekt der Malware. Die Autoren von Flashback verwendeten eine Technik, die Hollywood häufig einsetzt, um das Kopieren von Film- und Musikdateien zu verhindern – sie fügten Funktionen hinzu, die den Virus an jedes infizierte System binden. Der Einsatz dieser Technik verhinderte, dass Sicherheitsunternehmen den Virus in ihren Labors ausführen konnten.

Neue Forschungen zeigen, dass eine Verfeinerung der Technik eine automatisierte Analyse von Malware nahezu unmöglich machen könnte. Paul Royal, ein Forscher bei der Informationssicherheitszentrum des Georgia Institute of Technology , plant, die Arbeit im zu enthüllen Black-Hat-Konferenz diese Woche in Las Vegas.

Royal und seine Kollegen von Georgia Tech zeigen, dass eine Form des Kopierschutzes, die Host-Identitäts-basierte Verschlüsselung genannt wird, kritische Teile eines Malware-Programms mit Schlüsseln basierend auf Informationen aus dem System eines Opfers verschlüsseln kann, wodurch es noch schwieriger wird, das Exemplar auf einem andere Maschine.



Die Analyse der bösartigen Software, mit der Kriminelle die Computer von Menschen infizieren, ist ein zeitaufwändiger, aber notwendiger Vorgang. Die Hersteller von Antivirensoftware sammeln regelmäßig Malware-Muster und verwenden dann eine automatisierte Analyse, um eine Sammlung von Erkennungsmerkmalen zu erstellen, die allgemein als Signatur bezeichnet wird.

Während ein einzelner Analyst die von Malware-Autoren auferlegten Beschränkungen umgehen kann – genauso wie der Kopierschutz von Filmen von Piraten umgangen werden kann –, wird die Verhinderung der automatischen Verarbeitung großer Dateimengen durch Sicherheitsunternehmen ihre Fähigkeit, mit Angreifern Schritt zu halten, beeinträchtigt.

Für das Antivirenmodell erschwert dies die Entnahme der Löschwassermenge von Malware erheblich und reduziert sie in eine Untergruppe, die von einem menschlichen Analysten praktisch analysiert werden kann, sagt Royal.



Da Antivirensoftware auf solche Signaturen angewiesen ist, um Malware abzufangen, versuchen Online-Kriminelle regelmäßig, die Analyse zu erschweren. In den letzten zehn Jahren haben Angreifer beispielsweise Polymorphismus verwendet – eine Technik, mit der Programme jedes Mal geändert werden, wenn sie auf eine neue Maschine kopiert werden –, um die Identifizierung zu erschweren. Dieser Trend hat sich in den letzten Jahren beschleunigt (siehe Die Antivirus-Ära ist vorbei ).

Die Malware-Datenbank, die von . verwaltet wird Symantec beinhaltet ca. 19 Millionen Unterschriften . In seinem Anfang dieses Jahres veröffentlichten jährlichen Internet Security Threat Report gab Symantec an, dass seine automatisierten Analysesysteme im Jahr 2011 403 Millionen einzigartige Varianten von Schadprogrammen analysiert haben, was einer Steigerung von 41 Prozent gegenüber 286 Millionen im Jahr 2010 entspricht. Ohne Automatisierung wäre diese Aufgabe viel zu bewältigen Schwerer.

Wenn Malware-Jungs ein Stadium erreichen können, in dem, selbst wenn Sie die [Datei] haben, sie an eine bestimmte Maschine gebunden ist, dann verkompliziert das unser Leben, sagt Roel Schouwenberg , leitender Forscher für Kaspersky , einem anderen Software-Sicherheitsunternehmen. Im Jahr 2011 verarbeitete Kaspersky über seine automatisierten Systeme mehr als eine Milliarde Samples.



Wenn Flashback ein Hinweis auf die Zukunft ist und die Automatisierung den Ansturm von Dateien zur Analyse nicht mehr aussortieren kann, könnten Antiviren-Unternehmen ihre Kosten in die Höhe schnellen sehen.

Aus unserer Sicht analysieren wir täglich Hunderttausende von Proben, sagt Dean De Beer, Chief Technology Officer von BedrohungsGRID , ein Unternehmen für Malware-Analysedienste. Jetzt werfen sie diesen Curveball, und wir müssen uns zurücklehnen und sagen: ‚Was müssen wir tun, damit wir die Probe entnehmen können?‘

Antivirus-Firmen könnten versuchen, solche Malware zu vereiteln, indem sie eine virtuelle Maschine erstellen, die mit dem System des Opfers identisch zu sein scheint. Dies könnte jedoch Datenschutzbedenken bei den Benutzern aufkommen lassen. Um die Analyse zu erschweren, könnten Malware-Autoren Funktionen erstellen, die Befehle von den Command-and-Control-Servern mithilfe eines Schlüssels interpretieren, der aus Informationen über den Netzwerkstandort des Computers erstellt wurde. Die als Befehlssatzlokalisierung bekannte Technik würde Befehle, die für eine Maschine mit Sitz in San Francisco bestimmt sind, für eine Maschine mit Sitz in Boston unkenntlich machen.



Antivirus-Firmen hoffen, dass Royal die Diskussion auf einem hohen Niveau hält, um Angreifern keine präzisen Ratschläge zu geben, wie sie ihre Fähigkeit verbessern können, Malware auf infizierten Computern zu sperren. Flashback war eine Qual, sagt Schouwenberg. Wenn die Rede davon ist, wie man es dem Angreifer sehr leicht machen kann, dann freue ich mich darauf nicht.

Royal hofft, dass die Präsentation als Warnung dient, dass Verteidiger dieses Problem schnell lösen müssen. Diese Präsentation sei kein Grund, Ihre Malware-Analysetools wegzuwerfen, sagt er. Es soll eine Warnung sein. Wir alle müssen uns vorbereiten.

verbergen