Forscher warnen vor Wandlungsfähigkeit der Malware

Finjan, ein Sicherheitsunternehmen aus Großbritannien, hatte in der jüngsten Untersuchung, dem ‘Web Security Trends Report’ für das Jahr 2007, mehr und andere Gefahren festgestellt. Sie sind demnach darauf zurückzuführen, dass die Malware ihren Gegnern immer einen Schritt voraus bleiben will.

Die Experten sprechen gar von einem “evolutionären Charakter” der Malware. Bei der Live-Analyse von insgesamt mehr als 10 Millionen URLs hätten die Mitarbeiter im Finjan-eigenen ‘Malicious Code Research Center’ festgestellt, dass die Verschleierungstaktik der Angreifer und Hacker deutlich zugenommen habe. So sei die zunehmende Komplexität der Angriffe, die die Forscher diagnostiziert hätten, nur eine Seite der Medaille. Die Fähigkeit der Hacker, durch Verschleierung des Codes direkt gegen die Abwehrmaßnahmen der Security-Softwareanbieter zu arbeiten, stelle eine neue Gefährlichkeitsstufe dar.

Wie Finjan mitteilte, würde solcherart verborgener Malware-Code von den Erkennungssystemen “schlichtweg übersehen”, weil diese meist signaturbasiert arbeiteten. Demnach war mehr als 80 Prozent der entdeckten Malware getarnt, hieß es. Auch Software, die nach der Methode der Mustererkennung vorgehe, sei hier verloren. Ein ebenso bösartiger Trick, der sich immer weiter ausbreite, bestehe darin, dass Schädlinge in legitimem Datenverkehr versteckt würden. Beispielsweise würden vertrauenswürdige Websites heute öfter infiziert als früher. Dabei nimmt der Anwender beim Besuch der Site oder beim Herunterladen von vermeintlich vertrauenswürdigen Inhalten den Schädling ungewollt mit und trägt ihn so durchs Netz, auf den eigenen Rechner, ins Firmennetzwerk und ähnliches.

Finjans Technik erkenne die Bösewichte, weil die Realtime-Erkennung der Briten ausführbaren Code ebenso entdecken könne, wie im Web Content oder im Netz verborgene Schädlinge. Dies geschehe unabhängig vom Ort oder vorheriger Signaturinformation, die die Suche üblicherweise erleichtern, hieß es.

Diese Ortsunabhängigkeit der Finjan-Technik brachte demnach ein weiteres Phänomen ans Licht: Bösartiger Code wird der Studie zufolge immer seltener auf Servern in den “typischen” Malware-Ländern gehostet. Mehr noch, bald werde es gar keine typischen Badware-Länder mehr geben und die bisherigen Erkenntnisse hierzu verlören an Bedeutung, warnte Yuval Ben-Itzhak, Chief Technology Officer bei Finjan.

Demnach hätten die Studienautoren beschrieben, dass 90 Prozent der Content-Träger – seien es nun Websites oder Datenformate im Web – sich auf Servern in Großbritannien und den USA befunden hätten. Und dies, obwohl in diesen Ländern die Sensibilität hoch und die Strafverfolgung für IT-bezogene Verbrechen streng sei. Ihm zufolge hat das etwas damit zu tun, dass zunehmend kommerzielle Erwägungen für die Kriminellen mit der Badware verbunden seien. Und diese zwingen augenscheinlich zu vorgetäuschter Seriosität, wie sie beispielsweise eine Serveradresse in Industrieländern gewährleistet. Security-Software, die nur auf bestimmte URL-Adressen aus gewissen Ländern anspringt, springt demnach in Zukunft immer öfter zu kurz.

Ben-Itzhak nannte es außerdem sehr bedenklich, dass sich ein neuer, noch weitgehend unbeachteter Trend abzeichne: Malware schleuse sich öfter in Suchseiten oder Firmen-Sites, und hier gerade in den immer beliebter werdenden Übersetzungshilfen ein. Dabei würde durch den grundsätzlich seriösen Übersetzungsservice der Ursprung der Malware oder die Malware selbst verschleiert. Der Finjan-Mann fühlte sich dadurch an Versuche von Kriminellen erinnert, Speicher- oder Caching-Systeme zu infizieren und so Drittparteien den Weg in geschützte Netzwerke zu öffnen. “In der Vergangenheit waren Angriffe von Würmern und Viren dominiert, die für eine große und möglichst sichtbare Unterbrechung konzipiert waren. Moderne Angriffe haben zunehmend eine kriminelle Absicht”, sagte Peter Christy, Principal Analyst der Internet Research Group. Die von Finjan gefundenen Trends würden einen präzisen, aber sehr gruseligen Ausblick in die Zukunft der Security geben.