Vernachlässigte Hacker-Methode
Fehlalarme mit Malware-Signaturen auslösen
von
Alexandra
Lindner - 06.04.2017
Foto:
Hacker lösen durch Viren-Signaturen bewusst Fehlalarme in Virenscannern aus und verursachen so die Löschung oder Blockierung eigentlich harmloser Dateien. Manchmal wird sogar der komplette E-Mail-Speicher gelöscht.
Forscher der TU Braunschweig und der Universität Göttingen warnen vor einer oft vernachlässigten Hacker-Methode. Schädliche Signaturen werden in eigentlich harmlose Dateien eingefügt. Der dadurch bewusst ausgelöste Fehlalarm der Security-Suite verhindert so den Empfang der Datei oder löscht sie gar. Manchen Hackern gelingt dadurch auch die Löschung des ganzen Mail-Archivs.
Fast jeder Anwender hat einen Virenscanner im Einsatz, um sich vor schädlicher Software zu schützen. In der Regel arbeiten diese auch zuverlässig. Sie scannen die Signatur jeder neuen Datei und jedes Links nach bekannten Viren-Signaturen. Dazu greifen die Programme auf ständig aktualisierte Datenbanken der Hersteller zurück. Hacker können dieses Vorgehen allerdings auch umgekehrt nutzen. Als schadhaft erkannte Signaturen werden in eigentlich harmlose Dateien integriert, um so einen Fehlalarm der Security-Suite auszulösen. Diese Aktion zielt darauf ab, dass die betroffenen Dateien vom Virenscanner geblockt oder gelöscht werden. Manchmal schafft es die manipulierte Datei sogar, die Löschung des gesamten E-Mail-Archivs zu provozieren.
Ein prominentes Beispiel hierfür ereignete sich 2014. In die Bitcoin Blockchain wurde die Signatur von DOS/STONE-Malware eingefügt. Microsoft Security Essential und andere Virenscanner erkannten dies als Virus-Signatur und löschten das Bitcoin-Log.
Nicht druckbare Zeichen überlisten E-Mail-Clients
Für die aktuelle Testreihe änderten die Forscher zunächst einzelne Bytes von bekannten Malwares um herauszufinden, worauf genau die Antiviren-Software reagiert. Angriffsziel war unter anderem der Open-Source-Mail-Client Thunderbird von Mozilla. Dieser kodiert zwar Anhänge und binäre Dateien, nicht aber den Textkorpus der eigentlichen Mail. So ist es für Angreifer ein Leichtes, schädliche Signaturen in ungefährliche Dateien einzuschmuggeln. Dazu können zum Beispiel nicht druckbare Zeichen mit ASCII-Erweiterung eingeflochten werden.
Durch dieses Verfahren können verschiedene Geschäftsprozesse empfindlich gestört werden. Zwar gelingt es den Angreifern nicht immer, dass das gesamte Mail-Archiv des Opfers über den Jordan geht. Wichtige Mails nicht empfangen zu können, ist in vielen Fällen trotzdem extrem hinderlich.
