Neue Ansätze gegen Zero-Day-Angriffe

Signatur-basierte Methoden stoßen immer häufiger an ihre Grenzen, wenn Attacken und Angriffe gegen Netzwerke und Systeme gefahren werden. Sicherheitsanbieter feilen daher an neuen Ansätzen, die Schade-Code vielmehr an den Anomalien und unbekannten Verhalten erkennen, die sie in den Systemen hervorrufen.

Der Wettlauf zwischen Sicherheitsanbietern und Hackern treibt auf beiden Seiten die Entwicklungen an. Vorbei sind daher die Zeiten, da man als Admin die Malware komfortabel mit einem digitalen Etikett versah und alles war gut. Traditionelle Schutzmaßnahmen wie signaturbasierte Antivirus-Software oder voreingestellte Firewalls reichen allein längst nicht mehr aus, um Zero-Day-Angriffen auf IT-Systeme beizukommen.

Längst haben viele Schadcode-Programme einen “Reifegrad” erreicht, der sie für die herkömmlichen statischen Schutzmaßnahmen unsichtbar macht: Fortschrittliche Programmiertechniken, beispielsweise fest im Code verankerte Varianten (“Polymorphismus”) werden nicht nur von ehrlichen Programmieren gern genutzt, sondern auch von den schwarzen Schafen der Branche.

 

 

Sie erstellen damit Schadsoftware, die nur eine Codebasis hat, aber in der Ausführung ganz unterschiedliche Gestalt annimmt. Mit dieser Schadsoftware lassen sich dann die gefährlichen Zero-Day-Angriffe unternehmen, für die noch keine Signatur existiert und die die Unternehmen sozusagen in Echtzeit treffen.

Oder man schleust den Schadcode am Betriebssystem und den dort installierten Schutzmaßnahmen unerkannt vorbei. Rootkits, die beispielsweise im Master-Boot-Record eines Rechners platziert wurden, herkömmliche Virenscanner aushebeln und womöglich regelmäßig auch noch neuen Schadcode aus dem Internet nachladen, sind besonders tückische Vertreter derartig getarnter Schadsoftware.

BIOS nach der Installation nicht “vergessen”

Der sichere Aufbau, die regelmäßige Aktualisierung sowie die aufmerksame Verwaltung des Basic Input/Output Systems (BIOS) stellt deshalb eine Schutzmaßnahme mit hoher Priorität dar, die trotzdem in vielen Unternehmen immer noch nicht in ausreichendem Umfang durchgeführt wird. BIOS-Updates sollten immer digital signiert werden, um die Echtheit sicherzustellen, aber auch für bereits installierte BIOS-Systeme ist die Definition eines Lebenszyklus unerlässlich. BIOS-Systeme sollten nach der Installation nicht einfach “vergessen”, sondern immer wieder angesehen und angefasst werden. Dazu gehören die Etablierung einer verlässlichen Backup-Datenbank und die regelmäßige Durchführung von Patches analog den Patches bei anderen Software-Sektionen.

Die genannten Maßnahmen sind umso wichtiger, als sich mit dem “Unified Extensible Firmware Interface” (UEFI) gerade ein neues BIOS etabliert. Es kommt zum Beispiel in Windows 8 zum Einsatz. Aufgrund der erweiterten Leistungsmerkmale – beispielsweise lässt sich dieses “BIOS 2.0″ von Multi-Terabyte-Festplatten booten – noch viel breiter angreifbar ist als das bisherige BIOS.

So enthält das UEFI-BIOS eine Reihe von Laufzeit-Services, die auch dann aufgerufen werden könnten, wenn eigentlich das Betriebssystem die Systemkontrolle innehat. Außerdem ist das UEFI BIOS besser dokumentiert, was in Kombination mit der höheren Wahrscheinlichkeit von Updates, ebenfalls die Angriffsfläche für Exploits erhöht.

Hardware-basierte Schutzmechanismen

Hans-Peter-Bauer, Vice President Central Europe von McAfee: (Bild: McAfee)
Hans-Peter-Bauer, Vice President Central Europe von McAfee: (Bild: McAfee)

Die zuverlässige Absicherung aller im Netz hängenden Endgeräte ist die entscheidende Komponente bei der Entdeckung und Abwehr von Tarn-Schadcode, der über das BIOS eingeschleust werden soll. Leistungsfähige Endpoint-Security-Werkzeuge wie der Endpoint Monitor von Wave Systems oder der Deep Defender von McAfee beginnen deshalb die Absicherung des Systems unterhalb des jeweiligen Betriebssystems beziehungsweise des Hypervisors.

Das Wave-Tool überprüft dabei in erster Linie mit Hilfe des auf offenen Standards beruhenden Kryptochips “Trusted Platform Module” (TPM) die Systemintegrität, sodass sichergestellt ist, dass sich ausschließlich bekannte und schadcode-freie Geräte mit kritischen Applikationen und sensiblen Datenquellen verbinden. McAfee konzentriert sich noch umfassender auf die Betriebssystem-”Unterwelt”. Hans-Peter-Bauer, Vice President Central Europe von McAfee, drückt es ebenso flapsig wie griffig aus: “Sobald Strom auf die Hardware kommt, setzen beim Deep Defender die Sicherheitsroutinen ein.”

Während der Endpoint Monitor mit dem TPM-Chip auf einem Stück Hardware aufsetzt, das mittlerweile in Business-Computern inklusive Laptops praktisch flächendeckend verfügbar ist, profitiert Deep Defender von der Tatsache, dass McAfee als Tochterunternehmen von Intel über eine intime Kenntnis der Prozessor-Hardware des Mutterunternehmens verfügt. Daraus ist ein hardwarebasierter Schutzmechanismus zwischen CPU und Betriebssystem entstanden, der die Komponenten im physischen Speicher schützt. Die dem Schutzmechanismus zugrunde liegende Technologie wird im VMX-Root-Modus ausgeführt und verhindert laut McAfee “mit minimalen Leistungseinbußen” in Echtzeit Kernel-Manipulationen durch getarnte Schadsoftware.

Die Kernel- und Speicherschutz-Mechanismen vereiteln und protokollieren unter anderem Versuche, in die Interrupt Description-Tabelle oder die System Service Dispatch-Tabelle zu schreiben oder Änderungen in der Process System Transitioning-Tabelle oder in der Direct Kernel Object Manipulation-Liste vorzunehmen. Sie blockieren außerdem Schadcode-Zusätze für die Kernel-Modus-Treiber und deren Threads und verhindern Schadcode-induzierte Inline-Hooks in Kernel-Mode-Abschnitten sowie in wichtigen Gerätetreibern.

Sichere Emulation in der Sandbox

Getarnter Schadcode, der auf das BIOS zielt, um das (virtuelle) Betriebssystem zu tunneln, ist die eine Kategorie von Schadcode-Angriffen, die sich nicht mit herkömmlichen statischen, signaturbasierten Abwehrmethoden erfolgreich bekämpfen lässt. Die andere Kategorie sind gezielte Angriffe mit spezieller Schadsoftware, die sich mit ausgeklügelter Programmiertechnik an den vorhandenen Signatur-Datenbanken quasi unerkannt vorbeimogelt. Hier helfen nur Abwehrmechanismen, die das Verhalten von Software-Komponenten auf verdächtige Operationen, zum Beispiel das Öffnen von unbekannten Dateien oder das Verbinden-Wollen mit unbekannten Zielen, überprüfen.

Gil Shwed, Chairman and CEO von Checkpoint Software Technologies (Bild: Checkpoint)
Gil Shwed, Chairman and CEO von Checkpoint Software Technologies (Bild: Checkpoint)

Einige der erforderlichen Abwehrmaßnahmen werden durch die eben genannten hardware-basierten Schutzmechanismen abgedeckt. Aber kein Schutzmechanismus wirkt hundertprozentig gegen alle denkbaren Varianten von Schadsoftware. Hier kann dann oft nur die gute alte Sandbox-Technik helfen, also die versuchsweise Ausführung von verdächtigem Code in abgeschotteter Umgebung, sozusagen das kontrollierte Zur-Explosion-Bringen der Bombe.

Das kürzlich vorgestellte Threat Emulator Software Blade von Checkpoint Software ist genau solch ein Sandbox-Werkzeug. “Der Threat Emulator untersucht aber nicht nur bestimmte Software in geschützter Umgebung, sondern leitet bei Entdeckung von Schadcode auch gleich Präventionsmaßnahmen ein”, erklärte Gil Shwed, Chairman and CEO von Checkpoint Software Technologies auf der Partnerkonferenz des Unternehmens kürzlich in Barcelona. Überdies werde der Malware-Fund, so Shewd weiter, samt Analyse in die Threatcloud von Checkpoint eingespeist, sodass möglichst viele Unternehmen vor dem Schadcode-Angriff gewarnt werden und der unbekannte Angriff in die Signatur-Datenbanken aufgenommen werden kann.

Prävention gleich mitbedenken

Technisch besteht die Threatcloud von Checkpoint aus rund 2500 Gateways, die Detailinformationen zu Angriffen mit Schadsoftware enthalten. Auch McAfee hat mit seinem Netzwerk Global Threat Intelligence (GTI) ein solches Blacklist-Netzwerk, das dabei hilft, aus unbekannten Angreifern bekannte Schädlinge mit Signatur zu machen. Threatcloud und GTI sind natürlich nur zwei Beispiele von vielen, denn letztlich sind alle Security Operation Center (SOC) dieser Welt, wie sie unter anderem auch IBM, Hewlett-Packard, Symantec und Trend Micro unterhalten, nichts anderes als solche Warn- und Analyse-Netzwerke.

Die wenigsten Anwender-Unternehmen können und wollen sich ein solches Rundum-die-Uhr-Beobachtungszentrum für IT-Sicherheit in Eigenregie leisten: Das müssen sie freilich auch gar nicht, gibt es doch viele Managed-Service-Angebote in diesem Sektor. Bei der Auswahl der IT-Sicherheits-Software beziehungsweise des entsprechenden Dienstleisters müssen Unternehmen vor allem darauf achten, dass der Dienstleister beziehungsweise seine Tools Angriffe nicht nur zuverlässig entdecken, sondern dass sie auch eine plausible und effiziente Präventionsstrategie parat haben.

 

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de