Security-Anbietercheck

Wie sich gezielte Angriffe abwehren lassen

06.05.2015
Von 
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.

Ausgehenden Traffic analysieren

Eine andere Technik fokussiert nicht so sehr das eingehende Objekt, sondern die ausgehende Kommunikation. Die Ursprungsidee ist hier, dass Malware regelmäßig Kontakt zu einem Command-and-Control-Server (C&C-Server oder auch C2-Server) aufbaut, um dort entweder ausgespähte Daten abzuliefern, sich selbst zu aktualisieren oder Befehle abzuholen. Malware verwendet dafür oft DNS Tunneling. Das DNS-Protokoll ist für die Auflösung von Namen, beispielsweise aus URLs zu IP-Adressen, zuständig. Bei einem DNS Tunnel wird die ausgehende Kommunikation in DNS-Abfragen versteckt und die IP-Adresse der Antwort enthält die eingehenden Daten. Da die meisten Unternehmen die Auflösung von externen Namen im internen Netz erlauben, kann somit ein ungehinderter Datenaustausch erfolgen, der von klassischer Sicherheitstechnik in der Regel weder bemerkt noch behindert wird.

Ebenso kann die Kommunikation zwischen dem Schadcode im internen Netz und dem externen C&C-Server über HTTPS, sprich mittels verschlüsselter HTTP-Kommunikation, erfolgen.

Spezialisierte Sicherheitsprodukte versuchen, genau diese versteckte Kommunikation anhand ihrer speziellen Eigenschaften zu erkennen. Die häufige Änderung des Host-Anteils einer Namensauflösung, die Herkunft und das Alter der angefragten Domäne, die Menge der übermittelten Daten und viele weitere Details fließen dabei in eine Bewertung ein.

Bekannte Hersteller, die diese Technik implementiert haben, sind FireEye und Damballa, wobei letzterer hier seinen Schwerpunkt setzt.

Verhaltensanalyse

Neben der Analyse von eingehender und ausgehender Kommunikation kann man auch versuchen, Malware an seinem tatsächlichen Verhalten auf den Endgeräten zu erkennen. Zwar wird dafür zusätzliche Software auf den Arbeitsplatz-PCs der Mitarbeiter benötigt, zugleich ist die Erkennung jedoch genauer und weniger fehleranfällig. Die tatsächlichen Manipulationen und das Verhalten von Malware lassen sich direkt erfassen und bewerten. Entsprechende Produkte klinken sich typischerweise in den Betriebssystem-Kern des Endgeräts ein und überwachen dort jegliche Kommunikation und Systemänderung von Programmen. Malware, die sich in das System einnistet, Daten extrahiert oder weitere Komponenten nachlädt, ist auf diese Weise recht zuverlässig aufzuspüren.

Die größte Hürde beim Einsatz solcher Sicherheitssysteme ist der Einsatz eines weiteren Software-Agenten auf den Arbeitsplatz-PCs der Mitarbeiter. Das Verteilen der Software schreckt viele Unternehmen ab und macht Systeme, die nur an zentraler Stelle im Netzwerk angeschlossen werden müssen, scheinbar attraktiver. Wird jedoch auch der spätere Betriebsaufwand berücksichtigt, so relativiert sich der vermeintliche Vorteil einer netzwerkbasierten Lösung schnell. Bedingt durch die ungenaue Erkennung im Netz, kommt es immer wieder zu Alarmen, die dann mit hohem Aufwand auf den Endgeräten verifiziert werden müssen. Allein dafür wünschen sich die Betriebsverantwortlichen bald eine zusätzliche Analysekomponente auf allen Endgeräten. Diesen Weg hätte man jedoch auch von Anfang an gehen können.

Direkt auf dem Endgerät

Noch effektiver sind Lösungen, die auf dem Endgerät verteilt werden und nicht nur Malware erkennen und Alarm auslösen, sondern auch eine Kompromittierung des betroffenen Endgeräts verhindern. Dadurch sinkt der Aufwand im späteren Betrieb deutlich. Das erreichte Sicherheitsniveau ist zudem höher als bei einer Erkennungskomponente im Netz. Um dies zu erreichen, existieren mehrere technische Varianten am Markt: Sandboxing, Mikrovirtualisierung und Exploit Mitigation beziehungsweise Host Intrusion Prevention (HIPS).

Sandboxing auf Endgeräten und Host IPS sind keine neuen Ideen. Bereits vor etwa 15 Jahren brachten Aladdin mit seinem eSafe-Enterprise-Produkt und Finjan mit seinem Surfin Shield Sandbox-System Lösungen auf den Markt, die sich in das Betriebssystem einklinkt, um Schadcode daran zu hindern, sich in das System einzunisten oder auf sensible Daten zuzugreifen. Einige Jahre später kam mit dem StormWatch-Produkt von Okena ein erstes bekannteres Host-IPS-Produkt auf den Markt.

Keines der Produkte hat bis heute überlebt, denn die Hersteller waren offensichtlich ihrer Zeit voraus und der Markt war noch nicht bereit für derartige Lösungsansätze. Auch die damals verwendeten Betriebssysteme auf PC-Arbeitsplätzen waren Teil des Problems. Das Einklinken von Virenscannern, Personal Firewalls, VPN-Clients und ähnlichen Agenten in ein 32-Bit Windows XP führte nicht selten zu Kompatibilitätsproblemen und Systemabstürzen. Für die Hersteller von Sicherheitslösungen ist es heute einfacher, denn Windows 7 oder Windows 8.1 sind an dieser Stelle anders strukturiert.

Aladdin ist inzwischen in SafeNet aufgegangen und die eSafe-Produktlinie ist verschwunden. Die Finjan-Produkte wurden 2009 von M86 gekauft und M86 wurde wiederum 2012 von Trustwave übernommen. Okena wurde von Cisco gekauft - das Unternehmen machte aus dem StormWatch-Produkt den Cisco Security Agent und stellte ihn ein paar Jahre später ein.