Die Malware-Detektive

Eine äußerst wirkungsvolle und kostengünstige Methode zur Verbreitung von Malware sind Botsites, also gehackte oder verseuchte Webserver, die Anweisungen von Command-and-Control-Netzwerken, so genannten Botnetzen, folgen. Denn mit jedem Computer des Botnetzes kann automatisch eine Spam-Mail erzeugt und versendet werden, die einen Link zu einer verseuchten Zielseite enthält. Damit verbreitet sich die infizierte Website quasi eigenständig. Die Intelligenz dahinter ist erstaunlich: Ein einziges Netzwerk ist in der Lage, Tausende Malware-beladene Botsites zu publizieren, die nur ein paar Stunden oder auch nur einige Minuten aktiv sein können.

Generell zeichnet sich ab, dass die Cyberkriminellen verstärkt mehrfach einsetzbare Plattformen nutzen. Diese können dynamische Attacken aktivieren, synchronisieren und verteilen. Ein gefährlicher Mix aus Spam, Viren, Phishing, Trojanern und sonstiger Malware sorgt dafür, dass ein Angriff mit Hilfe der Plattform weitere Web- und E-Mail-Attacken auslöst.

Hinter den Angriffen stecken längst keine Amateure mehr. Vielmehr sind gut organisierte Spezialisten am Werk, die ihre unseriösen Dienste kommerziell vertreiben, inklusive Update und Support. Auch wenn der Verkauf von Malware nichts Neues ist - das professionelle Angebot setzt neue Maßstäbe. So können beispielsweise die Käufer ganz einfach ihren "Erfolg" verifizieren und Daten wie Infektionsraten oder die Zahl der Besucher pro infizierter Web-Seite abrufen.

Die Offensive: Kombinierte Technologien

Gegen die oben beschriebenen, hoch entwickelten Methoden helfen in der Regel keine einfachen Einzelmaßnahmen mehr. Gefragt sind daher ausgeklügelte, kombinierte Sicherheitstechnologien, die auf mehreren Stufen schützen. Als äußerer Schutzschild haben sich reputationsbasierte Verfahren bewährt, welche die Seriosität von Web-Adressen oder E-Mail-Domains schon am Gateway genau analysieren und Schädlinge erst gar nicht ins Netzwerk lassen. Dieses Vorgehen bietet sowohl auf Netzwerk- als auch auf Applikationsebene eine sehr frühzeitige Abwehr von Spyware- und Malware-Attacken. Denn die Einschätzung über die Seriosität einer Webseite ist in vielen Fällen bereits verfügbar, bevor der Angriff beginnt.

Das Prinzip hinter dem reputationsbasierten Verfahren ist die genaue Analyse einer URL anhand verschiedener Parameter. Dabei werden zahlreiche Faktoren hinterfragt, etwa wie lange und in welchem Land eine Domäne bereits registriert ist oder ob der Webserver eine dynamische IP-Adresse nutzt

Beim Sicherheitsanbieter Cisco beispielsweise stammen diese Informationen von Senderbase (www.senderbase.org), einem System zur Analyse und Bewertung des weltweiten E-Mail- und Webverkehrs. Diese Datenbank erfasst täglich Daten zu rund 25 % des weltweiten Web- und E-Mailverkehrs und analysiert mehr als 20 vordefinierte Parameter. Daraus resultiert eine Seriositätsbewertung, die "Reputation", die von -10 bis +10 reichen kann. Unternehmen können so die Intelligenz eines hoch spezialisierten Sicherheitszentrums nutzen, in dem mehr als 500 Analysten rund um die Uhr den weltweiten E-Mail- und Webverkehr beobachten. Auf Basis dieser Information kann der Reputationsfilter gezielt einzelne HTTP-Transaktionen zulassen oder blockieren. Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurmwellen sehr frühzeitig erkennen und die betreffenden URLs blockieren.

Regulierbare Sicherheitsstufe

Wie anhand der unterschiedlichen Reputationswertegrundsätzlich mit den HTTP-Transaktionen verfahren wird, entscheidet der Administrator der Web Security Appliance. Auf der Appliance sind mehrere Sicherheitsmechanismen kombiniert, unter anderem auch ein Malware-Scan, der bösartige Inhalte erkennt. Je nach Einstellung des Administrators kann der Scan für alle Transaktionen durchgeführt oder beispielsweise für stark positive Reputationen weggelassen werden. Der integrierte Exploit-Filter erkennt Malware aus dem Internet selbst dann, wenn eine eigentlich seriöse Website gehackt ist. Denn die Web Security Appliance prüft jede einzelne HTTP-Transaktion.

Das bedeutet, dass der Filter nachgeladene Webseiten in Form von Redirects, Embedded Sites oder Frames nur zulässt, wenn diese alle Scans durchlaufen haben und als unbedenklich eingestuft wurden. Verdächtige Inhalte hingegen werden vom Browser ferngehalten. Auf diesem Weg prüft die Technologie jede Anfrage des Browsers - vom anfänglichen Seitenaufruf bis zu den nachfolgenden HTTP-Transaktionen, die durch die ursprüngliche Seite ausgelöst werden. Dies ist unabhängig vom Inhalt oder dem Format, also lässt sich Malware auch von so unterschiedlichen Quellen wie Multimedia-Streams oder Flash-Einblendungen blockieren.

Eine weitere wichtige Funktion: Die Analyse von HTTPS-Datenströmen. HTTPS ist eine verschlüsselte Verbindung zwischen dem Client und dem adressierten Server. Vielen Sicherheitslösungen fehlt der Einblick in oder die Kontrolle über einen HTTPS-Datenaustausch. Eine große Sicherheitslücke. Denn eine Webseite zu fälschen und per HTTPS anzubieten, ist heute kein Problem mehr. Hinzu kommt, dass sich Benutzer durch Sicherheitsabfragen meist ohne große Aufmerksamkeit durchklicken. Ist so der Web-Schutz erst einmal unterwandert, stehen Angriffen aller Art Tür und Tor offen - vom Phishing über illegale Transaktionen bis zum Einschleusen von Malware.

www.ironport.com/de