Malware am Verhalten erkennen

Stärken und Schwächen signaturloser Malware-Erkennung

Virenscanner haben lange nur auf signaturbasierte Erkennung gesetzt, bei der von bekannter Malware ein digitaler Fingerabdruck erstellt wird, mit dem diese dann überall erkannt werden kann. Gegen moderne Viren und Trojaner reicht diese Technik nicht mehr. Im Gespräch mit Uwe Gries von Stormshield betrachten wir die Stärken und Schwächen signaturloser Lösungen.

Security-Insider: Ransomware entwickelt sich rasant weiter und die Meldungen über erfolgreiche Attacken reißen nicht ab. Warum greifen die bisherigen IT-Security-Konzepte beim Thema Ransomware scheinbar ins Leere?

Uwe Gries: Die meisten Unternehmen zahlen das Lösegeld für ihre Daten. Daher ist Ransomware lukrativ und wird immer schneller weiterentwickelt. Viele klassische signaturbasierte Sicherheitskonzepte sind mit dieser Geschwindigkeit überfordert. Bis die Sicherheitslösung ihr Update erhalten hat, kann es zu spät sein. Zudem sind die meisten signaturbasierten Lösungen reaktiv. Sie greifen erst, wenn es schon zu einer Infektion und zu einer Verschlüsselung der Daten gekommen ist. Dann ist es auf jeden Fall zu spät.

Security-Insider: Wo liegt Ihrer Meinung nach das Problem von signaturbasierten Sicherheitskonzepten und wie könnte ein signaturloser Ansatz aussehen?

Gries: Signaturbasierte Verfahren haben den Nachteil, dass der Virus, vor dem sie schützen, bekannt sein muss. Das bedeutet auch, die Infektion muss bereits geschehen sein, damit der Schädling identifiziert werden kann. Existieren aber von einem Virus verschiedene Varianten, wie es zum Beispiel bei Ransomware häufig der Fall ist, wird aus dieser Lösung schnell eine Gratwanderung: Entweder ist die Signatur zu genau auf den Virus abgestimmt und erkennt andere oder neuere Varianten nicht, oder sie ist nicht genau genug. In diesem Fall werden sogenannte False Positives erzeugt, also unbegründete Infektionsmeldungen. Eine Technologie, die ein System schützt, ohne den Eindringling zu kennen, schützt so, dass es erst gar nicht zur Infektion kommen kann, und umgeht dieses Problem, das signaturbasierte Ansätze heute plagt. Der signaturlose Ansatz schützt das System generell und nicht nur vor bestimmen Dateien bzw. Malware. Man kann es sich vorstellen, als ob wir den Rechner quasi härten und damit keine ungewollten Veränderungen an der Maschine mehr möglich sind; egal, was von einer nicht vertrauenswerten Quelle versucht wird.

Security-Insider: Wie könnten die Schwachstellen eines solchen signaturlosen Ansatzes aussehen?

Gries: Anders als zum Beispiel bei einer Standard-Antiviren(AV)-Software kann man eine solche Lösung nicht einfach installieren, und alles ist gut. Die AV-Software filtert einfach jede Aktivität auf dem Rechner und sucht nach bekannten Muster bzw. Signaturen. Das ist ressourcenaufwending, daher haben AV-Lösungen auch stets einen erheblichen Einfluss auf die Performance eines Rechners. Eine signaturlose Lösung muss man aber stets an das Zielsystem anpassen. Man muss also der Lösung sagen, was erlaubt ist und was nicht; zum Beispiel, dass der Browser ins Internet darf, andere Applikationen aber nicht, usw. Eine weitere Herausforderung kann es sein, unerwünschtes von erwünschtem Verhalten zu trennen. Wird zum Beispiel eine Systemdatei verändert, ist das häufig ein Zeichen für schadhafte Aktivitäten. Es kann aber auch gewollt sein, bei einem Hotfix zum Beispiel. Das Verfahren ist wesentlich aufwändiger, führt aber meiner Meinung nach zu einem besseren Schutz.

Security-Insider: Auch Stormshield setzt bei seinem Endpoint-Security-Konzept auf einen signaturlosen Ansatz. Wie lösen Sie diese spezifischen Probleme signaturloser Ansätze?

Gries: Anders als traditionelle Antivirenlösungen kann es bei uns nicht darum gehen, ein neues Betriebssystem möglichst schnell oder gar ab Veröffentlichung zu unterstützen. Wir richten uns mit unserem Angebot ohnehin nicht an die Early Adopter. Bevor wir ein Betriebssystem schützen können, müssen wir es erst einmal ganz genau analysieren und verstehen, wie es arbeitet. Wir müssen wissen, welches Verhalten normal und welches eindeutig schadhaft oder zumindest auffällig ist. Dafür analysieren wir zum Beispiel das Verhalten im Arbeitsspeicher sehr sorgfältig. Wie arbeitet der Kernel hier? Was ist normal, und was ist offenkundig nicht normal? Auf dieser Ebene arbeitet jedes Betriebssystem anders. Zum Beispiel haben wir Windows 10 erst unterstützt, als das System schon ein Jahr auf dem Markt war. Der Grund dafür ist, dass wir mit unserem Ansatz mehr Zeit benötigen, um das System zu verstehen. Später lohnt sich der Einsatz allerdings, denn unser Ansatz schützt zuverlässig vor neuer Schadsoftware und Zero-Day-Exploits. Diesen Schutz können Sie mit signaturbasierten Verfahren nicht erreichen.

Security-Insider: Herr Gries, vielen Dank für das Gespräch.

Autor: Peter Schmitz

© 2018 https://www.security-insider.de/staerken-und-schwaechen-signaturlosermalware-erkennung-a-708626/
Vogel Business Media