![[Aufmachergrafik: heller, corporate design]](07-5-070-0.jpg)
Surf nicht zu den Schmuddelkindern Reputationsdienste zum Schutz vor Web-Threats Surf nicht zu den Schmuddelkindern Reputationsdienste zum Schutz vor Web-ThreatsDas Web stellt mittlerweile den wichtigsten Infektionsweg für neuartige Malware-Angriffe dar. So genannte Web-Threats bestehen oft aus verschiedenen Komponenten, wie zum Beispiel E-Mail- und Web-Downloadern, die flexibel aus dem Internet heruntergeladen und neu kombiniert werden. Nach übereinstimmender Aussage der großen Sicherheitsanbieter lassen sich diese Bedrohungszenarien mit rein Scan-basierten Anti-Malware-Lösungen nicht zufriedenstellend entschärfen.
Ein spektakuläres Beispiel für derartige Bedrohungen war kürzlich der so genannte "Italian Job": In seriöse italienische Web-Angebote wurde ohne Wissen der Betreiber zusätzlicher Code eingefügt, der die Browser von Besuchern automatisch auf andere Internetseiten umleitete. Dies war der Start einer ausgeklügelten Infektionskette, an der unterschiedliche Malware beteiligt war.
Die besondere Gefährlichkeit dieser Angriffe liegt auf der Hand: Für Besucher der an sich vertrauenswürdigen Webseiten war die Manipulation des HTML-Codes nicht zu erkennen. Möglich wurden die versteckten Angriffe durch ein geschicktes Ausnutzen bekannter Sicherheitsschwachstellen über die so genannten IFrames, die Bestandteil vieler Internetseiten sind. Damit die Infektion bei unterschiedlichen Browser-Versionen möglichst unbemerkt und automatisch ablief, überprüfte das eingesetzte Angriffswerkzeug zusätzlich, welche Sicherheitsschwachstellen beim Anwender vorhanden waren und ausgenutzt werden konnten.
Die Schwierigkeiten bei der Scan-basierten Identifikation von Web-Threats wie dem Italian Job entstehen zum einen durch die komplexen, mehrstufigen Infektionsprozesse und zum anderen durch die sehr einfache Modifikation der beteiligten Malware-Komponenten, mit der sich bestehende Viren-Signaturen (Pattern) unterlaufen lassen. Darüber hinaus verbreiten sich Web-Threats nicht wie herkömmliche Viren in Infektionswellen über das Internet, sondern bedrohen auf einen Schlag eine große Zahl von Anwendern.
Obwohl die Anbieter von Sicherheitssoftware ihre Reaktionszeiten in den letzten Jahren radikal verkürzt haben, erfordert die Pattern-Bereitstellung schon aufgrund der nötigen Quality Assurance eine gewisse Zeit – ganz abgesehen von der Frage, wann verfügbare Updates vom Anwender auch tatsächlich eingespielt werden. Für Web-Threats ergibt sich daraus ein Verwundbarkeitsfenster, das angesichts des enormen finanziellen Schadenspotenzials nicht toleriert werden kann.
Als Lösung für diese Situation werden reputationsbasierte Konzepte propagiert, analog zu den seit langem bekannten E-Mail-Reputation-Services (ERS) und DNS Blacklists (DNSBL), die sich bei der Abwehr von Spam bewährt haben. Ziel ist es, den Aufruf von Malware-verbreitenden Web-Ressourcen von vornherein zu unterbinden oder zumindest die Infektionskette zu unterbrechen.
Für die Sicherheitsbewertung von URLs wird dabei je nach Anbieter eine unterschiedliche Anzahl von Datenquellen herangezogen. An erster Stelle stehen Web-Adressen, die im Code von identifizierter Malware aufgefunden werden. Selbst in der kleinsten Ausbaustufe der Web-Reputation werden aber auch weitere Merkmale analysiert, um Anwender von potenziell gefährlichen Inhalten fernzuhalten: Wer hat die Domain registriert? Welcher Registrator wurde genutzt? Wie lange existiert die Domain bereits? Die Antworten lassen sich mit einer einfachen Abfrage von Whois- und anderen Datenbanken klären und ermöglichen durchaus eine Einschätzung der Seriosität von Web-Angeboten.
So kann zum Beispiel der Domain-Inhaber mit Datenbanken bekannter Spam-Versender oder Malware-Verbreiter abgeglichen werden. Beim Registrator sind bestimmte Anbieter bekannt, welche die Malware-Szene aufgrund ihrer schwachen Identitätsüberprüfungen bevorzugt verwendet. Ist eine hochfrequentierte Domain zudem erst wenige Tage alt, sind Zweifel an ihrer Vertrauenswürdigkeit angebracht. Das bedeutet aber nicht, dass eine Webseite abgelehnt wird, sobald ein einzelnes negatives Merkmal auffällt: Alle Anhaltspunkte werden untereinander gewichtet, sodass auch ihr Verhältnis zueinander zählt.
Noch detaillierter wird die Analyse, wenn neben der Domain auch das IP-Adress-Verhalten in die Reputationsbewertung einfließt: IP-Adressen seriöser Angebote sind zumeist statisch oder kommen zumindest immer aus demselben Adress-Bereich. Wechselt jedoch der Host im Rhythmus weniger Wochen oder Tage, dann ist eine Abwertung der Reputation gerechtfertigt. Zudem ergeben sich auch aus der rückwärtigen Betrachtung interessante Aussagen: Wenn ein und dieselbe IP-Adresse über einen kurzen Zeitraum für wechselnde Websites genutzt wird, so ist auch das verdächtig.
Um diese Sicht auf IP-Adressen und Domains zu ermöglichen, sind allerdings umfangreiche "historische" Daten erforderlich – die Registrierungsdienste von DENIC und RIPE können technisch nur Momentaufnahmen liefern. Anders als in Nordamerika gelten in der Europäischen Union zudem umfangreiche Datenschutzregelungen, die eine detaillierte Auswertung der vorhandenen Daten auch zukünftig beschränken. Aus diesem Grund führen Sicherheitshersteller eigene Datenbanken, in denen sie IP-Adressen und ihre DNS-Auflösung in beide Richtungen (IP, Domain) speichern. Größe und Qualität der erfassten Daten bestimmen zusammen mit der Analyselogik zu einem wesentlichen Teil die Effizienz eines Reputationsdienstes.
Durch die Reputation von Web-Adressen werden viele Gefahrenmomente eliminiert: So lassen sich zum Beispiel Infektionsketten (vgl. S. 78) unterbrechen, wenn die URLs von nachzuladenen Komponenten bereits bekannt sind. Ein regelmäßiger Wechsel dieser URLs ist nicht so einfach möglich, da der sukzessive Malware-Download nicht mehr funktionieren würde. Ohne zusätzliche Malware wird die initiale Infektion aber spätestens nach dem nächsten Viren-Pattern-Update durch den Viren-Scanner erkannt und entfernt. Das gilt auch für bereits installierte Schadkomponenten. So wird beispielsweise ein Spam-Bot nutzlos, der dann weder Spam-Inhalte, Adresslisten noch Updates nachladen kann. Auch vor Webseiten, die nach den erwähnten IP- und Adresskriterien als unseriös oder zumindest fragwürdig eingestuft werden, kann ein Reputationsservice schützen.
Aber die Malware-Szene verabschiedet sich nicht kampflos von ihren lukrativen "Geschäftsmodellen": So wie mit Web-Threats auf die immer besseren Scan-Engines und schnelleren Pattern-Updates reagiert wurde, verlagert sich die Szene angesichts der Reputations-Verfahren nunmehr auf die Manipulation seriöser Webseiten. Dabei offenbart sich eine Schwachstelle der rein IP-Adress- und Domain-basierten Reputation, denn Web-Threats wie der "Italian Job" lassen sich damit in der Anfangsphase nicht erkennen: Durch das Einschleusen von Malicious Code in bestehende Webseiten werden die Bewertungsmechanismen umgangen, da die an sich vertrauenswürdigen Internet-Angebote über eine makellose Reputation verfügen.
Erst wenn ein Malicious Code identifiziert und die entsprechenden Malware-URLs in die Datenbank aufgenommen wurden, greift der Reputationsservice wieder – für viele tausend Anwender ist es dann aber schon zu spät. Adressen schlecht geschützter Server werden in der Malware-Szene seit langem rege gehandelt. Auf jedem dieser Server können mehrere hundert oder tausend Webseiten gehostet sein, sodass ein fast unerschöpflicher Nachschub verwundbarer Einstiegspunkte bereitsteht.
Durch die Manipulation von seriösen Seiten wird die Domain- und IP-Analyse zwar nicht nutzlos, sie muss aber durch andere Datenquellen ergänzt werden. Art und Umfang dieser zusätzlichen Inputs unterscheiden sich je nach Sicherheitshersteller stark in der Leistungsfähigkeit der angebotenen Services zum Schutz vor Web-Threats. Trend Micro wertet zum Beispiel insgesamt sechs verschiedene Datenquellen aus: Neben den angesprochenen Domain-und IP-Behaviour-Analysen sowie URL-Kategorisierungen werden URLs auch mit vorhandenen Security-Rating-, Anti-Phishing- und E-Mail-Reputation-Datenbanken abgeglichen. So lassen sich oftmals weiter gehende Anhaltspunkte für eine Gefährdung ausmachen.
Bei entsprechenden Kooperationen zwischen Sicherheitsherstellern und Hosting-Anbietern kann nicht zuletzt eine systematische Auswertung der Log-Dateien aufgerufener URLs wertvolle Erkenntnisse liefern. Jede Adresse wird dazu von einem Web-Crawler angesprungen und heruntergeladen, bereits negativ aufgefallene oder verdächtige Seiten werden fortlaufend überwacht. Durch die Analyse von 450 000 URLs einer solchen Log-Datei für einen einzigen Tag ließen sich in einem konkreten Fall 680 bösartige Code-Samples und 700 Malicious URLs identifizieren.
Aufgrund der überragenden Bedeutung der Aktualität beim Schutz vor Web-Threats erscheint eine Ansiedlung der Reputationsinformationen als lokale Datenbank auf jedem einzelnen System als keine gute Lösung, da hier analog zur Pattern-Verteilung ein Verwundbarkeitsfenster zwischen Identifikation und Update-Implementierung entsteht. Einige Hersteller setzen daher auf die Bereitstellung der Schutzmaßnahmen als Service über das Internet ("in the Cloud"): URL-Aufrufe durch Anwender werden über einen lokalen Proxyserver auf dem Client an den Service des Sicherheitsanbieters geleitet und dort in Echtzeit untersucht.
Damit ist der Schutz für den Anwender immer so aktuell wie die Datenbank des Anbieters, Verzögerungen durch das Einspielen von Updates entfallen. Sobald eine URL ein einziges Mal aufgerufen wurde, gelangt sie in den Analyseprozess und wird auf ihre Sicherheit hin bewertet. Bereits nach kurzer Zeit sind dann weltweit alle Nutzer des Service geschützt. Die Sichtbarkeit der tatsächlich aufgerufenen URLs für den Sicherheitshersteller öffnet zudem weitere Analysemöglichkeiten, sodass zum Beispiel eine plötzliche Häufung bestimmter URL-Aufrufe näher untersucht werden kann.
Und diese Lösung hat auch einen weiteren Vorteil in Bezug auf die Mobilität von Systemen: Ein Client ist damit auch dann "wie zuhause" vor Web-Threats geschützt, wenn er sich nicht im Unternehmensnetzwerk befindet. Die Infektion von Unternehmensnetzen über "heimgekehrte" mobile Geräte gehört zu den größten Problemen von IT-Abteilungen, daher sollte der Schutz vor Web-Threats nicht allein auf dem Firmen-Gateway angesiedelt werden. Eine Verbindung der Abwehr "in the Cloud" mit lokalen Sicherheitslösungen ermöglicht zudem die Kontrolle aller Verbindungsanfragen von Hintergrund-Prozessen: Versucht beispielsweise ein Spionageprogramm, gesammelte Daten über das Internet zu versenden oder eine neue Malware-Komponente herunterzuladen, wird die Zieladresse in Echtzeit analysiert und gegebenenfalls blockiert. Im Gegensatz zu Personal-Firewalls lässt sich dieser Mechanismus auch durch die Verwendung häufig genutzter Standard-Ports (z. B. HTTP) nicht täuschen und ermöglicht eine intelligente Sicherheitsbewertung der Empfangsadresse.
Um ihre Malware unbemerkt einzuschleusen, setzen Angreifer heute verstärkt auf Web-Threats, die verschiedene E-Mail- oder Web-Komponenten kombinieren und selbsttätig aus dem Internet herunterladen – ohne Wissen und Zutun des Anwenders. Die Infektion erfolgt häufig allein durch den Aufruf einer manipulierten Website – dabei kann es sich durchaus auch um an sich vertrauenswürdige Web-Angebote handeln, die von Hackern oder Kriminellen unbemerkt zweckentfremdet wurden. Der Anwender hat somit keine Chance, die Infektion zu bemerken.
Rein Scan-basierte Sicherheitslösungen können Web-Threats nur schwer entdecken. Die Reputationsbewertung von URLs liefert einen wertvollen Ansatz, um Anwender von manipulierten Webseiten fernzuhalten und Infektionsketten zu unterbrechen. Dabei erscheint es ungenügend, nur Domain- und IP-Historie zu analysieren. Aussagekräftige Bewertungen sind erst möglich, wenn alle verfügbaren Datenquellen, wie Spammer- und Phishing-Datenbanken, mit der aktiven Analyse durch Web-Crawler verbunden werden. Darüber hinaus sollte der Schutz vor Web-Threats überall in Echtzeit zur Verfügung stehen, was sich durch Internet-Service-basierte Verfahren erreichen lässt.
Dipl-Inf. (FH) Rainer Link ist Senior Security Specialist Anti-Malware bei Trend Micro (![[externer Link]](../../../../images/link.gif)
http://de.trendmicro-europe.com/).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 70
tag:kes.info,2007:art:2007-5-070
| 