CERTs und maliziöse Software haben eine lange und enge Verbindung, wurde doch das erste Team nach dem Chaos gegründet, das der erste Internet-Wurm 1988 verursacht hatte. Allerdings haben sich viele CERTs seither nur wenig um Computer-Viren oder Trojaner gekümmert: Anders als die Sicherheitsteams von Organisationen, die mit konkretem Virenbefall zu kämpfen haben, gab es auf Netzwerk-Ebene eher wenig zu koordinieren. Dies änderte sich erst, seit Bot-Netze, Spyware und die Verbreitung via Netzwerk dafür sorgen, dass derartige Vorfälle auch statistisch neue Rekorde aufstellen.
Tatsächlich gibt es gute Gründe, die Malware-Verbreitung über Netzwerke besser zu verstehen, nicht zuletzt für den Bereich der Frühwarnung (vgl. <kes> 2006#1). Dabei sind bereits mit geringem Aufwand schon interessante Aussagen zu erzielen, wie die folgenden Erkenntnisse zeigen, die auf der Datenbasis von nur 10 Tagen beruhen.
Neun "gut verteilte" Darknets – IP-Adressbereiche ohne aktive Rechner – wurden für diese Untersuchung vorübergehend mit dem Malware-Sammel-Tool Nepenthes überwacht (![[externer Link]](../../../../images/link.gif)
http://nepenthes.mwcollect.org/). Nepenthes emuliert hierzu bekannte Schwachstellen und speichert Malware, die versucht, die vermeintlich angreifbaren Systeme zu infizieren. Die abgefangenen Programmen wurden dann alle vier Stunden mit zwei unabhängigen namhaften kommerziellen Viren-Scannern und jeweils aktuellen Signatur-Dateien geprüft.
Dabei fielen trotz der kurzen Zeit eine Menge von Daten an, deren erste Auswertung einige zentrale Erkenntnisse lieferte, wenngleich es immer noch mehr offene Fragen als Antworten gibt. Obwohl die gesammelten Daten nicht vorrangig für die Vorfallsbearbeitung gedacht waren, blieb es nicht aus, bestimmte Einrichtungen zu informieren: Beispielsweise gab es eine afrikanische Bank, deren interne Systeme munter Viren verteilte, und einen amerikanischen ISP, dessen zentrale Systeme ebenfalls betroffen waren; auch deutsche Systeme hatten mehr als genug Probleme.
Bei einigen Malware-Samples hat sich die ausgegebene Bezeichnung selbst über den kurzen Zeitraum des Experiments geändert – in einem Fall sogar zweimal innerhalb von vier Tagen. Die Gründe hierfür müssen zunächst im Dunkeln bleiben, allerdings ist damit für die weitere Analyse und vor allem die Frühwarnung klar, dass die Bezeichnungen der Anti-Viren-Hersteller nicht verwendet werden können. Stattdessen sind kryptographische Prüfsummen viel besser geeignet, wie sich im Laufe des Experiments weiter zeigte.
Innerhalb von acht Tagen wurden 317 verschiedene Exemplare von Malware aufgezeichnet – circa 25 % davon wurden von keinem der beiden eingesetzten Viren-Scanner erkannt. Zudem bewahrheitete sich klar die Vermutung, dass mal die eine, mal die andere Abwehr-Software die Nase vorn hat, dass also ein Viren-Scanner eine bestimmte Datei noch nicht als Virus erkennt, obwohl ein anderer bereits Alarm gibt. Dies kommt nicht überraschend, unterstreicht aber eindrücklich den Vorteil beim Einsatz mehrerer verschiedener Scanner.
Bei der Untersuchung der fünf häufigsten Malware-Dateien, die in 10 Tagen gesammelt wurden, ergibt sich die in Abbildung 1 dargestellte Verteilung. Obwohl einige Exemplare über mehrere Tage hinweg – durchaus unterschiedlich stark – verteilt werden, so kann man dies doch nicht generell für alle Malware behaupten. Für eine genauere Analyse müssten allerdings breitere Langzeittests durchgeführt werden.
![[Illustration]](06-3-016-1.jpg)
Abbildung 1: Die Verbreitung verschiedener Malware schankte deutlich.
Zudem wurde deutlich, dass unterschiedliche Netze auch unterschiedlich unter verschiedenen Angriffen zu leiden hatten. Durch die Sicht auf neun getrennte Netzbereiche sieht man bereits deutlich, ob es Gemeinsamkeiten gibt oder nicht. Ein ganz wichtiger Faktor bezüglich der Frühwarnung ist die Anzahl neuer – bisher noch nicht negativ aufgefallener – IP-Adressen, von denen Angriffe ausgehen.
Abbildung 2 zeigt beispielsweise, dass Netz 1 sich einer durchgängigen hohen Rate neuer Angreifer gegenübersah, während etwa Netz 4 deutlich weniger "unter Beschuss" stand. Da keiner der Netzbereiche Dienste vorhält oder beworben wurde, scheidet die Überlegung aus, dass dies an interessanteren oder weniger interessanten Angriffs-Zielen liegen könnte. Viel wahrscheinlicher ist es, dass die "Nähe" zu potenziellen Angreifern hierfür verantwortlich ist (Lokalisierung innerhalb der gleichen Adressbereiche). Auch hier müssen natürlich Langzeituntersuchungen dazu dienen, die Ursachen zu ermitteln.
![[Illustration]](06-3-016-2.jpg)
Abbildung 2: Verschiedene Netze wurden unterschiedlich intensiv angegriffen.
Es ist auch für einen Experten immer wieder verblüffend zu sehen, wie viele neue Einsichten man gewinnen kann, wenn Daten aus der Praxis zusammengefasst werden. Natürlich sind Experimente wie dieses (noch) nicht statistisch relevant, doch sie zeigen deutlich, dass in dieser Richtung viel "zu holen" ist. Wichtig wird dabei sein, derartige Erfassungen in einem hinreichend großen Verbund voranzutreiben. Zudem wird es darauf ankommen, mit solchen Massendaten eine sinnvolle Vorfallsbearbeitung durchgängig zu automatisieren. Denn von Hand lassen sich diese massenhaften Geschehnisse nicht bewältigen! Der Blick in die Zukunft bleibt auf jeden Fall spannend – nicht zuletzt im Hinblick auf eine breit angelegte Qualitätsbeobachtung von Viren-Scannern und besonders hinsichtlich einer frühen Warnung vor neuer Malware.
Am 12. Juli 2006 findet in Berlin mit der SPRING der erste Graduierten-Workshop der Gesellschaft für Informatik (GI) über reaktive Sicherheit statt, der Diplomanden und Doktoranden die Gelegenheit gibt, laufende Projekte und Arbeiten einem breiteren Fachpublikum vorzustellen. Die Themen orientieren sich dabei vorrangig an der Analyse von Schwachstellen, Intrusion Detection, Malware-Analyse, Forensik et cetera. An den folgenden Tagen (2006-07-13/14) folgt dann am gleichen Ort die GI-Tagung zu Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA). ( www.gi-fg-sidar.de)
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#3, Seite 16
| 