Vorbeugende Systeme und Probelauf im Sandkasten

Der Entdeckung versuchter oder erfolgreicher Angriffe kommt also eine wachsende Bedeutung zu. Klassische Intrusion-Prevention-Systeme (IPS) oder UTM-Tools (Unified Threat Management) reichen nicht mehr aus, sagt Frank Melber, Head of Business Development und Leiter des Computer Security Incident Response Teams (CSIRT) beim TÜV Rheinland: „Vielmehr werden verstärkt verhaltensbasierte Detektionssysteme insbesondere im Netzwerkbereich eingesetzt.“

Verhaltensabhängige Analysen sind schon seit einigen Jahren fester Bestandteil praktisch jeder Antiviren-Suite. Sie reagieren auf verdächtige Aktivitäten, etwa wenn ein Programm Registry-Einträge ändern oder Treiber installieren will.

Diese Art der Detektion hat allerdings zwei Nachteile: Erstens schlagen die Wächter oft auch bei harmlosen Programmen Alarm. Das nervt und verleitet vor allem unerfahrene Anwender dazu, die verhaltensbasierte Erkennung ganz auszuschalten. Zweitens verhält sich Schadsoftware heute – wie Duqu 2.0 – extrem unauffällig oder deaktiviert als Erstes die Verhaltensdetektion, bevor sie sich ans Werk macht. Besser geschützt ist man deshalb mit Sandbox-Technologien.

Dabei muss man zwei Ansätze unterscheiden: Vorbeugende Systeme wie Browser in a Box von Sirrix verwenden eine virtuelle Maschine mit einem eingeschränkten Betriebssystem und einem Webbrowser. Die virtuelle Maschine wird bei jedem Aufruf auf ihren Ausgangszustand zurückgesetzt, sodass Manipulationen durch Schadsoftware den Neustart nicht überleben. Nur Daten wie Favoriten oder die Chronik werden außerhalb der Sandbox im Basissystem des Nutzers gespeichert. Auch aus dem Internet heruntergeladene Dateien landen zunächst hier, bevor sie nach einem Malware-Scan dem Anwender in seinem üblichen Download-Verzeichnis zur Verfügung gestellt werden.

Noch einen Schritt weiter geht vSentry von Bromium. Auch hier kommt eine stark eingeschränkte, als Microvisor bezeichnete virtuelle Maschine zum Einsatz. Jede potenziell angreifbare Aktivität wie Surfen, ein Dokument öffnen, auf einen USB-Stick zugreifen, wird in einer eigenen gekapselten Umgebung ausgeführt. Ein Task kann nur dann aus seiner Mikro-VM ausbrechen und etwa auf die Zwischenablage zugreifen, wenn vordefinierte Policies dies erlauben.

Etwas anders funktionieren Sandbox-Systeme wie sie Fire­Eye, Trend Micro oder Intel Security (vormals McAfee) verwenden. Sie führen neue oder verdächtige Dateien beziehungsweise Programme in einer parallelen virtuellen Umgebung aus und analysieren ihr Verhalten. „Dadurch können Sicherheitsgefahren unter realistischen Bedingungen zuverlässiger gefunden und beseitigt werden“, erklärt Rolf Haas, Enterprise Technology Specialist EMEA bei Intel Security.

Viele Schadprogramme erkennen allerdings, wenn sie in einer virtuellen Umgebung isoliert sind, und verhalten sich dann unauffällig. Deshalb muss die VM möglichst wie ein physikalisches System agieren, etwa Netzwerkverbindungsanfragen akzeptieren, auf Dialogboxen reagieren oder eine Browsersitzung starten können.

Der im Juni dieses Jahres vorgestellte Service Adaptive Defense 360 von Panda Security wiederum setzt auf Big-Data-Analysen in der Cloud statt auf Sandboxing. Er soll Endgeräte und Server nicht nur vor klassischen Viren und Zero-Day-Attacken, sondern auch vor APTs schützen können. Der gemanagte Service überwacht alle laufenden Prozesse und klassifiziert sie in der Cloud anhand von über 2000 Kriterien. Wird eine Applikation nicht automatisch erkannt, was nur in 0,4 Prozent der Fälle vorkommen soll, kümmert sich ein Experte des Herstellers um die Einordnung.

Panda betont, dass ausschließlich Portable Executables (PE-Dateien) zur Analyse übermittelt werden, aber keine Dateien, die persönliche oder vertrauliche Informationen enthalten könnten, etwa PDFs oder Office-Dokumente. Kunden können zudem eigenen Programmcode ausdrücklich ausnehmen, wenn sie nicht möchten, dass dieser zu Adaptive Defense hochgeladen wird.