Auf den Spuren des Endpoints

Firewall und Perimeter ist nicht alles

Mit der Bezeichnung IT Sicherheit oder auch IT Security verbindet man zumeist den Perimeterschutz. Sofort fallen einem Begriffe wie Firewall, Proxy und Netzwerk ein. Diese Termini sind nach wie vor gültig, reichen jedoch nicht aus um IT Sicherheit als ganzes zu erfassen.  Selbst auf einer Firewall integrierter Virenschutz und sowie Deep Packet Inspection bieten nicht ausreichend Schutz. Begründet wird dies durch die ebenfalls stetige Weiterentwicklung der Aggressoren. Die heutige Bedrohungslage ist gänzlich anders, als sie es vor einigen Jahren gewesen ist. Mit ausgeklügelten Angriffsvektoren entstehen für eine IT Abteilung neue Herausforderungen, denn Angriffe werden häufig am Perimeter vorbei geschleust und erreichen so ihr Ziel auf dem Endpoint.

Was geschieht auf dem Endpoint?

Zunächst soll ein einfaches Beispiel angeführt werden. Eine E-Mail landet mit einem infizierten Anhang im Postfach eines Benutzers. Im Konkreten zielt die angehängte PDF Datei darauf ab, eine Schwachstelle einer älteren Adobe Acrobat Readers Version zu infiltrieren. Die wenig kontinuierliche Updatepolitik von Unternehmen, welche in der Regel nur Windows Updates sehr strikt umsetzten, führt dazu, dass anderweitige Software oftmals übersehen wird und somit angreifbar wird.

Malwareentwickler fassen häufig folgende Software ins Auge:

  • Java
  • Flash
  • Acrobat Reader

Die Komplexität und Größe jedes, seit Jahren auf dem Markt befindlichen, Softwarequellcodes steigt konstant und wird dadurch immer schwieriger wartbar. Zeitdruck und stets neu auftretende Schwachstellen in Software bilden einen unaufhörlichen Kreislauf, welcher zur Folge hat, dass immer mehr neue Lücken im Programmcode existieren. Umso wichtiger ist es jedwede, auch nicht zum Betriebssystem gehörige, Software auf dem neuesten Stand zu halten.

Warum ist das wichtig?

Betrachtet man nun den Anstieg der entdeckten Schwachstellen beim Acrobat Reader wird schnell deutlich, wie viele Wege Angreifer verwenden können, um beispielsweise schädlichen Code einzuschleusen.

Im folgenden Link sind die aktuellen Schwachstellen aufgelistet: http://www.cvedetails.com/product/497/Adobe-Acrobat-Reader.html?vendor_id=53

Allein, um fremden Programmcode einzubringen, konnten Angreifer im letzten Jahr 35 unterschiedliche Wege verwenden. Ein Klassiker der vergangenen IT Jahrzehnten, ist ebenfalls anzutreffen: Der Bufferoverlow. Er war 2014 beim Acrobat Reader mit 17 möglichen Angriffswegen auszulösen, was wiederum die Ausführung fremden Programmcodes zur Folge hatte.

Schädlicher Programmcode kann beispielsweise die Installation einer Remote Software bewirken, die einem Angreifer Informationen und Zugriffsrechte auf einen entfernten Rechner verleiht, im Allgemeinen auch unter dem weitverbreiteten Begriff Trojaner bekannt.

Wie kann ich das Problem angehen?

Sich vor diesen Angriffen zu schützen, sollte essentieller Bestandteil jeder Firmenpolitik werden. Die meisten Versuche eines Übergriffs können durch mehrstufige Sicherheitskonzepte blockiert werden. Immer wieder gelingt es dennoch, E-Mails mit verdächtigem Anhang in Unternehmen einzuschleusen, welche z.B. durch das Öffnen einer Rechnung_Nr378472.xlsx.exe Datei durch einen ahnungslosen Benutzer, zur Gefahr wird. Um derartige unbekannte Schädlinge zu erkennen, bedarf es deutlich größeren Aufwand als es ein Antivirus Programm liefern kann.

Zur Erkennung solcher Angriffe müssen im Vorfeld Dateien und Anhänge über ein sogenanntes Sandboxing Verfahren analysiert werden. Auf dem Markt gibt es deutliche Unterschiede zwischen den einzelnen Herstellern. Essentiell hierbei ist, dass nicht ausschließlich eine dynamische Analyse der Binärdaten erfolgt, sondern auch eine statische, welche Beide vor dem Erreichen der Daten am Endpoint durchgeführt werden müssen.

Tiefere Analysen

Die dynamische Analyse ist bei Malwareentwicklern bereits bekannt und wird durch ein Wartezeitintervall im Programmcode der Software überwunden. Das Verfahren als solches darf nur einen kurzen Augenblick benötigen, da die Daten schnellstsmöglich am Endpoint ankommen müssen.

Mittels automatischer, statischer Analyse lässt sich Malware, ohne die schädliche Software ausführen zu müssen, in kurzer Zeit untersuchen. Hierbei werden spezielle Entpackungsprogramme eingesetzt, die versuchen eine mögliche Kodierung rückgängig zu machen. Im Anschluss wird der disassemblierte Maschinencode auf Muster und Eigenschaften untersucht. Eine derartige Überprüfung wird zum Beispiel auf folgendem Blog dargestellt: http://fumalwareanalysis.blogspot.de/p/malware-analysis-tutorials-reverse.htm

Konkrete Lösungen

Im konkreten Fall des Herstellers Intel Security, ehemals McAfee, lässt sich die Appliance Advanced Threat Defense (ATD) exakt für diesen Zweck einsetzen. Um die sogenannten Zero Day Angriffe abzuwehren, werden Dateien dort dynamisch, aber auch statisch analysiert. Somit ergibt sich eine signifikante Steigerung der Erkennungsrate noch unbekannter Malware.

Beitragsbild von Torkild Retvedt veröffentlicht unter CC-BY-SA 2.0

Artikel teilen:

Kommentar verfassen