Aufräumarbeiten Systembereinigung nach einem Virenangriff Aufräumarbeiten Systembereinigung nach einem VirenangriffEin Großteil der Kosten von Malware-Folgen entfällt auf die Systembereinigung nach Virenausbrüchen sowie auf die Härtung der Netzwerkumgebung zum Schutz vor zukünftigen Angriffen. Angesichts der komplexen Netzwerkstrukturen und der rasanten Verbreitungsgeschwindigkeit kommt es trotz installierter und aktuell gehaltener Anti-Virus-Maßnahmen immer wieder einmal zu Infektionen. Alle Hersteller bemühen sich zwar um eine schnelle Bereitstellung von Pattern-Updates für ihre Produkte. Wenn aber kritische Systeme oder Prozesse betroffen sind, muss die Systembereinigung oftmals ohne Unterstützung der Sicherheitssoftware noch während der ersten Angriffsphase durchgeführt werden. Damit steht der Administrator zunächst vor der Aufgabe, den Malicious Code zu erkennen und zu identifizieren, um einen wirtschaftlich und technisch optimalen Wiederherstellungsplan entwickeln zu können. Anhand von verschiedenen Indikatoren lässt sich der Schädlingstyp zumeist näher einkreisen.
----------Anfang Textkasten----------
Jedes Unternehmen benötigt für den Fall eines Virenausbruchs einen Ablaufplan, der alle genannten Faktoren und Aufgaben an geeigneter Stelle berücksichtigt. Eine Standardisierung ist dabei nur schwer möglich, da unternehmensspezifische Aspekte eine große Rolle spielen, zum Beispiel Backup-Häufigkeit, Funktionsumfang der eingesetzten Anti-Viren-Lösung oder die konkrete Netzwerk-Topologie. Einige zentrale Aufgaben müssen jedoch Bestandteil jedes Ablaufplans sein:
----------Ende Textkasten----------
Nur noch sehr selten treten bei Infektionen heutzutage so genannte Interface-Indikatoren auf, die als Hinweise auf Malware das Erscheinen unerwarteter Sounds und Bilder bedeuten. Da Anwender zudem schon bei der normalen Computernutzung einer Vielzahl von audiovisuellen Signalen ausgesetzt sind, werden Interface-Indikatoren meist solange übersehen, bis sie zu einer akuten Störung des Arbeitsablaufs führen. Da Administratoren bei der Erkennung von Interface-Indikatoren auf die Wachsamkeit der Anwender angewiesen sind, ist eine kontinuierliche Schulung und Sensibilisierung von großer Bedeutung.
File-Indikatoren umfassen zum Beispiel verschwundene oder neue Dateien auf Workstations und File-Servern, Datenverluste oder geänderte Datei-Inhalte. Handelt es sich bei dem auftretenden Virus um einen Datei-Infektor, zählt besonders die Größenveränderung ausführbarer Dateien (.exe usw.) zu den unmittelbaren Alarmzeichen. Da die Hersteller von Anti-Viren-Lösungen meist innerhalb zwei Stunden eine Aktualisierung für ihre Produkte bereitstellen, ist es meist am sinnvollsten, mit der Suche bis zum Erscheinen des Updates zu warten.
Leicht zu entdecken sind System-Indikatoren, die eine normale Nutzung des Computersystems verhindern, zum Beispiel durch das Löschen von File-Systemen oder Partitionen. Diese Auswirkungen sind jedoch eher selten, da sie die Verbreitungsmöglichkeiten eines Virus beschränken. System-Indikatoren sind daher oftmals auch Anzeichen für unvollständige oder schlecht programmierte Malicious Codes. Bei besonders aggressiven Viren kann ein solcher destruktiver Schadteil aber auch absichtlich implementiert sein.
Im Zeitalter der E-Mail-Würmer gehören Netzwerk-Indikatoren zu den wichtigsten Hinweisen auf eine Infektion: Als Nebenprodukt der Verbreitung von Malicious Codes wird die Netzwerk-Performance stark beeinträchtigt, was Anwender normalerweise schnell bemerken. Zuverlässiger ist dennoch die Überwachung der Netzwerkaktivitäten durch spezielle Werkzeuge mit Benachrichtigungsfunktion.
Zu guter Letzt stehen dem Administrator noch so genannte Custom-Indikatoren zur Verfügung, die er bewusst im Netzwerk platziert. Ein Beispiel ist die Einrichtung einer Dummy-E-Mail-Gruppe in Microsoft Exchange, die nur Dummy-Accounts enthält. Mit dieser Konfiguration kann man bislang unbekannte E-Mail-Würmer entdecken, die sich über Outlook verbreiten.
Nach dem Sammlen möglichst vieler spezifischer Indikatoren sollte man die Daten mit den Informationen auf einschlägigen Web-Sites (z. B. ![[externer Link]](../../../../images/link.gif)
www.trendmicro.de oder www.symantec.de) vergleichen.
Mit der Identifikation des Malicious Code geht die Suche nach dem Infektionsherd einher. Vor allem in verteilten Strukturen kann dies ohne geeignete Werkzeuge schnell zu einer fast unlösbaren Aufgabe werden. Moderne, netzwerkbasierte Malware erfordert eine sofortige Trennung der infizierten Rechner vom Netz. Dabei können auf der Suche nach dem Infektionsherd unerwartete Hindernisse auftreten, wenn man zum Beispiel in segmentierten Netzen jeden geschützten Bereich gesondert untersuchen muss.
Hersteller von Anti-Viren-Lösungen setzten daher zunehmend auf das so genannte Vulnerability Assessment zur Identifikation von Schwachstellen vor und während eines Angriffs. So bietet zum Beispiel Symantec eine Lösung an, die automatisierte Schwachstellenanalysen und nach Prioritäten geordnete Informationen zur Schadensbehebung bereitstellen soll. Dieses Vulnerability Assessment nutzt dabei eine hauseigene Schwachstellendatenbank, die über einen Index der Common Vulnerabilities and Exposures (CVE, vgl. http://cve.mitre.org) und Bugtraq ID (vgl. www.securityfocus.com) erkannten Bedrohungen verfügt.
Trend Micro hat für dieses Jahr eine Appliance angekündigt, die infizierte Datenpakete innerhalb des Netzwerks blockiert. Die Network VirusWall 1200 wird zwischen LAN-Segmenten implementiert und bietet umfangreiche Funktionen für das Netzwerk-Monitoring. Wesentlicher Bestandteil ist auch hier ein Vulnerability Assessment, mit dem sich Netzwerk-Komponenten selektiv isolieren lassen. Damit wird wertvolle Zeit für die Identifikation ungeschützter Systeme und die Installation von Sicherheitsupdates gewonnen – ohne den restlichen Netzwerkbetrieb zu beeinträchtigen.
Nach Identifikation des Bedrohungstypus und Isolation befallener Maschinen folgt dann die eigentliche Hauptaufgabe der Systembereinigung. In diesem Zusammenhang stellt sich zwingend die Frage, ob eine Reparatur befallener Dateien überhaupt mit der nötigen Zuverlässigkeit gewährleistet werden kann. Dabei spielen auch wirtschaftliche Aspekte eine Rolle, da die Systembereinigung – nicht nur in großen und verteilten Infrastrukturen – oftmals mit erheblichem Aufwand verbunden ist. Als Alternative wird deshalb oft das Einspielen von Backups vorgeschlagen, um die befallenen Systeme wieder auf den letzten Stand zu bringen.
Die ideale Vorgehensweise bei der Beseitigung von Virenangriffen wird von Experten, Administratoren und Herstellern immer noch diskutiert. Im Wesentlichen hat sich aber ein Lösungsansatz durchgesetzt, der die spezifischen Vorteile von Wiederherstellungswerkzeugen und Backups je nach konkretem Fall kombiniert. Folgende Faktoren sind dabei zu berücksichtigen:
Wurde das System durch einen Datei-Infektor befallen, so ist es im Allgemeinen unter wirtschaftlichen Gesichtspunkten sinnvoller, zumindest die Server über das Einspielen eines Backups wiederherzustellen. Gleiches gilt auch bei einer Infektion durch polymorphe oder speicherresidente Würmer. Voraussetzung für diese Strategie ist natürlich, dass in regelmäßigen und nicht zu langen Abständen Datensicherungen durchgeführt wurden, damit keine relevanten Dateien verloren gehen. Liegt das Backup länger zurück, lohnt der Einsatz von Bereinigungswerkzeugen der Anti-Virus-Hersteller.
Anders verhält es sich, wenn die Infektion durch Backdoors, Mass-Mailer oder Skriptviren verursacht wurde, die das System nur geringfügig ändern (Registry-Schlüssel). Hier ist eine Bereinigung durch Wiederherstellungswerkzeuge aus verschiedenen Gründen vorteilhafter: Wichtigstes Argument ist dabei, dass man befallene Server nur für kurze Zeit oder gar nicht vom Netz trennen muss, da automatische Werkzeuge die Reinigung in der Regel sehr schnell durchführen. Je nach Art der bereitgestellten Informationen und Prozesse können Ausfallzeiten des Servers ansonsten zu erheblichen finanziellen Schäden für Unternehmen führen.
Darüber hinaus bleibt nur bei der Systembereinigung mit entsprechenden Werkzeugen der gesamte, aktuelle Datenbestand erhalten. Durch das Einspielen eines Backups gehen naturgemäß alle Daten verloren, die nach der letzten Sicherung angefallen sind. Vor einem besonderen Problem stehen Administratoren dabei, wenn es sich bei dem infizierten System um einen Client handelt: In den meisten Unternehmen hat sich zwar die Erkenntnis durchgesetzt, dass Server zumindest täglich gesichert werden müssen, um den Datenverlust im Störungsfall zu minimieren. Bei Clients ist ein tägliches Backup aus technischen und organisatorischen Gründen hingegen eher selten eingerichtet, obwohl auch auf diesen Rechnern kritische Informationen lagern können.
Die Entscheidung, ob eine Systemwiederherstellung per Bereinigungswerkzeug oder Backup durchgeführt wird, ist letztendlich also vollkommen situationsabhängig und liegt beim Administrator. Dabei gilt es aber zu bedenken, dass nur etwa 10 Prozent aller Virenangriffe explizit das Ziel verfolgen, infizierte Systeme zu "zerstören". Rund 90 Prozent aller Malicious Codes lassen sich durch entsprechende Werkzeuge und ohne Beeinträchtigung der Systemstabilität zuverlässig entfernen.
Unter wirtschaftlichen und technischen Gesichtspunkten kann es somit sehr sinnvoll sein, auf ein Bereinigungswerkzeug zu warten, zumal die meisten Hersteller entsprechende Utilities bereits nach einem Tag bereitstellen. Die Einführung einer grundlegenden Backup-Lösung ist dennoch für jedes Unternehmen und jeden Anwender unumgänglich. Zumindest die Server und die Clients der Geschäftsführung müssen täglich gesichert werden. Trotzdem bedeutet die Rücksicherung eines Backups immer auch einen gewissen Datenverlust. Darüber hinaus kann eine Sicherungsdatei ebenfalls infizierte Dateien enthalten. Besonders bei einem kumulativen Backup (üblich an Werktagen) besteht die reale Gefahr, dass infizierte oder virale Dateien mitgesichert wurden.
Alle Hersteller von Anti-Viren-Lösungen bieten in der einen oder anderen Form auch Werkzeuge zur Bereinigung der Folgeschäden eines Virenangriffs an. So stellen zum Beispiel Network Associates (NAI) unter http://vil.nai.com/vil/stinger/ das Utility Stinger zur Malware-Entfernung bereit. Symantec hat ebenfalls eine ganze Reihe von Werkzeugen veröffentlicht, die von www.symantec.com/avcenter/tools.list.html zu beziehen sind. Das kostenlose Bereinigungswerkzeug von Trend Micro heißt Sysclean Package und steht unter http://de.trendmicro-europe.com/enterprise/support/tsc.php zur Verfügung. Diese ausführbare Datei ist nicht auf einen Virus spezialisiert, sondern adressiert eine ganze Reihe möglicher Infektionen. Darüber hinaus leistet Trend Micro unter der E-Mail-Adresse virus@tmlab.de in gewissem Umfang Support bei Infektionen mit bislang unbekannten Viren.
Trend Micro hat zudem eine umfangreiche Lösung zur Systemwiederherstellung im Programm: Mit dem so genannten Damage Cleanup Server stellt das Unternehmen eine Server-basierte Software zur Analyse und Behebung von Schäden bereit, die in Folge eines Virenangriffs entstanden sind. Dieses System setzt angriffsspezifische Templates ein, durch die beispielsweise versteckte Gast-Konten, Registry-Einträge oder speicherresidente Schadteile zuverlässig entfernt werden. Auf die Installation von Software-Agents auf dem Client wird dabei verzichtet, was zum einen die Kombination mit Anti-Viren-Lösungen anderer Hersteller ermöglicht und zum anderen den Implementierungsaufwand minimiert. Für Unternehmen könnte sich zudem das webbasierte Management als hilfreich erweisen, da es Administratoren die zentralisierte Verteilung von Cleanup-Templates ermöglicht. Die Aktualisierung der verwendeten Templates erfolgt automatisch.
Trotz Anti-Viren-Lösungen auf dem Desktop, Gateway, Mail- und File-Server kann es zu einem Virenausbruch im Unternehmen kommen. Malware-Programmierer haben in jüngster Zeit mehrfach bewiesen, dass sie in der Lage sind, bekannte System- und Netzwerk-Schwachstellen gezielt und zeitnah auszunutzen. Das Problem wird verschärft durch die rasante Geschwindigkeit, mit der sich heutzutage Viren und Würmer global über das Internet verbreiten. Neben einer permanenten Aktualisierung der eingesetzten Sicherheitsmaßnahmen gehört daher die Planung des Ernstfalls zu den wichtigsten Aufgaben für Administratoren. Schon im Vorfeld müssen geeignete Lösungen für Backup-, Systembereinigung und Vulnerability Assessment implementiert und koordiniert werden, ansonsten sind die Schäden eines Angriffs nicht zu begrenzen.
Helmut Haslbeck ist Geschäftsführer der TREND MICRO Deutschland GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#2, Seite 89
| 