Doom gelaufen Aktuelle Tricks der VirenautorenDoom gelaufen Aktuelle Tricks der VirenautorenDer Outbreak von MyDoom hat Ende Januar, Anfang Februar mal wieder gezeigt, was in der Branche seit jeher als goldene Regel gilt: Wer Dateianhänge ungeprüft öffnet oder gar ausführt, ist verloren – im Zweifelsfall lieber Löschen als Speichern. Obendrein wurde durch die Epidemie eine wichtige Tatsache offenkundig: Selbst ein geschütztes Unternehmensnetzwerk ist nicht notwendigerweise vor Malware-Bedrohungen sicher. MyDoom führt ganz deutlich vor Augen, wie unzählige Privat-PCs eine sehr effiziente Denial-of-Service-Attacke durchführen können. Heimcomputer sind als Angriffsziel und in der Folge als Ausgangspunkt für ernsthafte Sicherheitsbedrohungen nicht zu unterschätzen.
Neue Tücken stecken außerdem in den durch MyDoom indirekt erzeugten E-Mails: Je nach eingesetztem Mail-Client (bzw. Mail Transport Agent, MTA) führten sie dazu, dass Anti-Viren-Hersteller sehr zeitnah ihre Prüftechniken modifizieren mussten, da wesentlich mehr Bestandteile eines Datenstroms als bisher zu prüfen waren. Grund dafür: Mancher MTA erzeugte E-Mails, in denen MyDoom zwar enthalten, jedoch gemäß Internetstandards (RFCs für SMTP) nicht als Attachment erkennbar war.
MyDoom war der erste große Schreck in diesem Jahr. Generell ist für 2004 zu erwarten, dass sich die markanteste Taktik des Vorjahres weiter durchsetzt: der Trend zum kombinierten Angriff. Bei diesen so genannten Blended Threats werden sowohl Sicherheitslücken in Anwendungen als auch Kombinationen von Viren, Würmern und Trojanischen Pferden zur Ausführung und Verbreitung von Malware genutzt. Die Masse der Angriffe betrifft dabei weiterhin die Produkte des Marktführers in diesem Segment: Microsoft. Die steigende Popularität von Linux für Arbeitsplatzrechner wie Ximian-Desktop [1] macht dieses Betriebssystem jedoch auch für Virenautoren zunehmend interessanter.
Viren bahnen sich am häufigsten per E-Mail den Weg in ein Computersystem. Dies wird sich so schnell auch nicht ändern, denn wie sonst könnte man in kürzester Zeit eine Vielzahl von arglosen Anwendern adressieren? Dabei zeichnet sich allerdings eine neue Dimension der Bedrohung ab: Viren als Datendiebe. Während in vorangegangenen Jahren der wohl zweifelhafte Ruhm ausreichte, ein Schadprogramm mit großen Auswirkungen geschrieben zu haben, kommen seit 2003 vermehrt kommerzielle Hintergedanken zum Tragen. Der augenscheinlichste Versuch der letzten Monate war der Wurm Mimail-J, der sich als Nachricht vom Online-Bezahldienst PayPal ausgab. Der Name der besonders unter Ebay-Kunden bekannten Zahlungsfunktion verführte Anwender dazu, ihre Kreditkarten- und PIN-Details preiszugeben. Weniger offensichtlich gingen in den letzten sechs Monaten mehrere Viren vor, die zu definierten Zeitpunkten Software von bestimmten Servern nachinstallierten, um Informationen auszuspionieren, oder die einen SMTP-Server zum Spam-Versand auf den befallenen PCs installierten.
Die starke Zunahme des Viren- und Spam-Aufkommens im vergangenen Jahr nährt den Verdacht, dass Spammer und Virenautoren sich gegenseitig die Programmiertechniken und Tricks abschauen. Spam wird zwar eindeutig zum Geldverdienen eingesetzt, kann aber indirekt auch eine epidemieartige Virenverbreitung beschleunigen. Den Zusammenhang verdeutlicht eine einfache Rechnung: Um mehrere Millionen E-Mails zu versenden, ist erstens keine umfangreiche Infrastruktur vonnöten. Zweitens braucht es in den USA schätzungsweise nur rund 250 Dollar, um mehrere Millionen E-Mail-Adressen zu kaufen. Zu guter Letzt ist zum Absetzen der E-Mails nicht viel Aufwand nötig. Wenn sich von diesen Spam-Mails lediglich 100 Personen überreden lassen, ein Produkt für beispielsweise zehn Dollar zu kaufen, bleiben bereits fast 750 Dollar Einnahmeüberschuss – eine enorme Spanne. Da man gegen Spammer mittlerweile (mehr oder minder gut) juristisch vorgehen kann, muss er sich als Absender tarnen. Dies machen Viren wie die Sobig-Familie möglich: Sie ermöglichen einem Spammer, die illegalen E-Mails durch Spoofing der Absenderadressen unerkannt abzusetzen. Der wirtschaftliche Gewinn ist ihm durch die noch mangelhafte Rechtslage gewiss.
Grundsätzlich ist der erste Schritt eine Bedrohungsanalyse: Auf welchen Wegen kann eine Schadsoftware ins Unternehmen eindringen? Darin hat sich über die letzten Jahre nicht viel geändert. Lediglich die Dimensionen sind naturgemäß bei Organisationen mit zehn PCs anders als bei einer Systemumgebung mit 100 000 Rechnern.
Erhöhte Sorgfalt sollte bei E-Mail geboten sein, denn sie ist mehr und mehr zu einer unternehmenskritischen Anwendung geworden. Erfolgreiche Angriffe über dieses Medium sind daher extrem risikoreich für Unternehmen. Als Faustregel gilt weiterhin, aktuelle Sicherheits-Patches auf allen Servern installiert zu haben. Zu beachten ist dabei, dass Instanzen von Microsofts Web- und Datenbankserversoftware (IIS bzw. SQL/MSDE) auf wesentlich mehr Systemen als nur den designierten Servern laufen. Besonders die Schädlinge Nimda und Blaster haben im letzten Jahr einer Vielzahl von Systemadministratoren dieses Gefahrenpotenzial folgenreich bewusst gemacht. Unternehmen sollten wesentlich aufmerksamer überwachen, welche Anwendungen auf allen ihren Systemen laufen, um diese effizient schützen zu können.
Ein besonders performanter Schutz ist für die SMTP-Schnittstelle des Mailservers nötig, da dort ein enormer Datendurchsatz zu bewältigen ist. Damit beispielsweise ein Scanner an diesem Punkt die optimale Geschwindigkeit erreichen kann, sollten Tests auf virale Infektion der Daten höchst effizient gesteuert sein – im Idealfall genauso wie bei einem klassischen File-Scanner. Die höchste Beschleunigung erreicht man durch Ausschlus von Komponenten, die auf keinen Fall weiter geprüft werden müssen. Im File-System ist das relativ einfach, da dort klare Kriterien für die Definition einer (ausführbaren) Datei vorliegen. Diese sind zwar beim Mailversand per SMTP ebenfalls in Internet-Standards festgelegt (z. B. Request for Comments, RFC 2822, 2045-48, vgl. [2]). Es ist jedoch seit jeher eine gute Praxis, eine Anwendung so zu programmieren, dass sie auch fehlerhafte Dateien lesen kann.
Übertragen auf E-Mails ist dies jedoch zunehmend problematisch, da derzeit rund 400 mögliche Abweichungen von RFCs für SMTP bekannt sind. Dies kann unter Umständen zur Ausführung eines Binärfiles innerhalb einer E-Mail führen, welches gemäß Standard gar keine gültige Datei ist – exakt dieses Dilemma nutzen Virenautoren derzeit aus. Bezogen auf den Schutz des SMTP-Gateways und der Frage nach Performance heißt dies schlicht, dass ein Scanner nicht mehr darauf vertrauen darf, dass sich eine E-Mail an die Standards hält: Er muss nicht nur korrekt als Dateianhang deklarierte Bestandteile einer Mail prüfen, sondern auch bekannte Abweichungen erkennen und checken.
Da dieses Scanning-Prinzip enorm aufwändig ist, empfiehlt sich der Einsatz einer flexiblen Lösung, die auch das händische Erstellen bestimmter Regeln ermöglicht. Solche individuell definierten Regeln ermöglichen beispielsweise, dass der Scanner in einer "Unzustellbarkeitsnachricht" einen nicht korrekt als Attachment deklarierten, jedoch darin enthaltenen MyDoom-Wurm erkennt. Solche Informationen liegen Herstellern zwar meist sehr schnell vor, müssen jedoch oftmals in zentralen Komponenten wie der Scan-Engine einer Software aktualisiert werden. Diese wiederum muss natürlich erst die interne Qualitätssicherung durchlaufen, bevor sie ausgeliefert wird. Obgleich dies oft in wenigen Stunden geschieht, kann das für ein E-Mail-System schon zu spät sein. Darum ist der Einsatz von Lösungen ratsam, die beispielsweise Textanalyse beherrschen, auf deren Basis sich schnell händisch Regeln erstellen lassen. Solche Textanalysen sind eine klassische Aufgabe von Anti-Spam-Software, sodass sich hier gleich zwei Fliegen mit einer Klappe schlagen lassen: Flexibilität bei der Regelerstellung und Unterbinden von Spam-Mails.
Die zweite wichtige Schnittstelle zum Internet sind die Firewall und gegebenenfalls der Proxy-Server. Wichtigste Überlegung bei der Bedrohungsanalyse ist die grundsätzliche Frage, wie viele und vor allem welche Rechner überhaupt Zugriff aufs globale Netz haben müssen. Optimal dürfte – sofern darstellbar – eine Trennung von Internet- und Produktiv-Systemen sein. Der Internetzugriff kann auch lediglich über eine Terminal-Session ganz ohne oder mit begrenzten Cut- und Paste-Möglichkeiten realisiert werden, um potenziell gefährliche Internet-Daten von Arbeitsrechnern zu trennen. Wo eine derartige Infrastruktur nicht implementierbar ist, sollten zumindest Desktop-Firewalls den Zugriff auf das Internet nur definierten Anwendungen gestatten. Auf diese Weise können bereits die meisten gängigen HTTP-Tunnel-Programme in ihrer Funktion, zentrale Firewalls zu umgehen, beschnitten werden.
Prinzipiell bietet sich auch eine klare Richtlinie zur Internet- und E-Mail-Nutzung an. Dabei sollte man auch festschreiben, dass Eingriffe oder Umgehungen gegebener Sicherheitsmechanismen nicht toleriert werden. Aufgrund von bestimmten Sachzwängen sind in manchen Unternehmen derzeit noch viele Desktops mit Windows 95 oder 98 ausgestattet – ein per Design kaum vor Benutzereingriffen schützbares Betriebssystem. Da Microsoft unlängst den Support für diese Produkte verlängert hat [3], dürfte das eine oder andere Migrationsprojekt verschoben worden sein.
Bei der Bedrohungsanalyse ist auch der Blick nach innen wichtig, um sich vor eventuell versehentlichen Ausbrüchen aus dem eigenen Netzwerk heraus zu schützen. Weiterentwicklungen von Intrusion-Detection-Systemen (IDS) können dabei als positiver Trend gelten. Sie können nicht nur verdächtigen Netzwerkverkehr erkennen, sondern diesen eventuell auch unterbinden oder betroffene Systeme melden und abschotten. Eine interessante Variante ist Network Admission Control von Cisco [4]. Es verfolgt den Ansatz, dass Router und Switches in Kommunikation mit den Clients stehen und den Zustand oder das Vorhandensein von Sicherheitssoftware überwachen. Ist ein Client nicht korrekt geschützt, werden seine Datenpakete entweder nicht weitergeleitet oder aber die Installation der als notwendig definierten Software initiiert.
Trotz aller vorgeschalteten Sicherheitssysteme ist es nicht auszuschließen, dass ein Virus auf einem Arbeitsplatz auftaucht – MyDoom hat das erst letztens wieder bewiesen. In großen Systemumgebungen ist es deshalb immer empfehlenswert, sich nicht ausschließlich auf Gateway-Schutz zu verlassen, sondern Schutzmaßnahmen bis hinunter zum Einzelplatzrechner zu implementieren.
Viel Sicherheit vor Virenplagen lässt sich nicht zuletzt durch die stete Aufklärung der Mitarbeiter im Unternehmen erreichen (vgl. S. 10), sofern diese zielgruppengerecht aufbereitet ist. Dabei ist jede Mitarbeiter-Ebene zu berücksichtigen – bis hin zum Außerdienstler, der gelegentlich sein Firmen-Notebook oder PDA an das Unternehmensnetz anschließen muss. Nicht zu vergessen: Neben einem eingeschleppten Virus kann selbst ein Hoax Manntage an Arbeitszeit vernichten [5] und das Immunsystem des Netzwerks schwächen.
Gernot Hacker ist Senior Technical Consultant bei Sophos.
![[externer Link]](../../../../images/link.gif)
www.ximian.com/products/desktop/ www.systemwebmail.com/faq/6.3.1.aspx http://support.microsoft.com/default.aspx?scid=fh;DE;lifewin98 http://newsroom.cisco.com/dlls/hd_111803.html www.sophos.de/sophos/docs/deu/comviru/viru_bde.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#2, Seite 83
| 