133948

Wie Malware-Sites Antivirus-Forscher austricksen

14.11.2007 | 17:07 Uhr |

Das Honeynet-Projekt hat einen neuen Bericht veröffentlicht, in dem die Verfasser hinter die Kulissen von Malware-Sites blicken und aufzeigen, wie diese unter dem Radar der Antivirusforscher hindurch schlüpfen.

Meldungen über spektakuläre Virenausbrüche sind rar geworden. Oft wird neue Malware von Antivirus-Programmen nicht erkannt, weil die Programmierer der Schädlinge mehrfach am Tag neuen Varianten generieren. Dabei testen sie auch, ob diese von Virenscannern erkannt werden. Die Malware-Spezialisten bei Antivirus-Herstellern erfahren oft nichts von den neuen Varianten, weil sie diese nicht zu sehen bekommen. Warum das so ist, beleuchtet der neue Bericht des Honeynet-Projekts . Sie haben ihre Artikelserie "Know Your Enemy" (KYE; kenne deinen Feind) um den Titel "KYE: Behind the Scenes of Malicious Web Servers" erweitert.

Das Honeynet-Projekt sammelt und analysiert Daten über Web-Angriffe mit Malware, indem präparierte Rechner mit automatischen Scripten Malware-Sites besuchen und sich infizieren lassen. Der jüngste Bericht aus der KYE-Serie befasst sich vor allem mit den Angriffswerkzeugen "WebAttacker", "MPack" und "IcePack". Dabei handelt es sich um kommerziell vertriebene Baukästen für Malware-Sites. Sie enthalten Angriffs-Code, der bekannte Sicherheitslücken in Web-Browsern, vor allem im Internet Explorer ausnutzen. Bei so genannten "Drive-by-Downloads" schleusen sie Trojanische Pferde ein, wenn ein Besucher eine präparierte Web-Seite aufruft.

Diese Malware-Sites liefern zum Teil schon für jede neue IP-Adresse, von der aus ein Aufruf erfolgt, eine andere Variante des jeweiligen Schädlings aus. Dabei werden die IP-Adressen protokolliert - erfolgt ein zweiter Aufruf von der gleichen IP-Adresse, wird keine Malware eingeschleust, die Seite gibt sich harmlos. Außerdem werden bestimmte IP-Adressen oder Adressbereiche, von die Täter annehmen oder wissen, dass sie zu Antivirus-Firmen gehören, gesondert behandelt. Die Seiten verhalten sich dann ebenfalls harmlos und unterlassen jegliche aggressiven Aktivitäten.

Eine weitere Methode sind Sonderbehandlungen für geografische Regionen. Es gibt Malware-Sites, die nur bei Aufrufen von IP-Adressen aggressiv reagieren, die sich einem bestimmten Land zuordnen lassen. So gab es zum Beispiel eine ganze Familie von Websites, die nur italienische Besucher angegriffen hat. Besucher aus den USA oder Asien bekamen harmlose Seiten zu sehen. Nur Antivirus-Firmen, die genug italienische IP-Adressen zur Verfügung hatten, konnten die Malware abgreifen, um sie zu analysieren.

Zudem zielen die Angriffe immer öfter nicht einfach auf Sicherheitslücken im Browser selbst sondern versuchen Schwachstellen in installierten Plug-ins wie etwa Quicktime oder Flash auszunutzen. Die Angreifer gehen davon aus, dass diese seltener oder gar nicht aktualisiert werden als die Browser selbst.

Die breite Verwendung vorgefertigter Angriffs- und Phishing-Baukästen hat aus Sicht der Malware-Forscher auch Vorteile. Ist eine neue Malware-Site erst einmal entdeckt, wissen die Forscher oft bereits, an welchen Stellen sie suchen müssen. Meist greifen die präparierten Seiten auf schon bekannte Server zurück, von denen sie den Angriffs-Code und die eigentlichen Schädlinge beziehen.

Ein möglichst weltweit verteiltes Netzwerk von Honeypots (Honigtöpfe, also Lockfallen), die zusammen ein Honeynet bilden, gehört heute und auf absehbare Zeit zur Pflichtausstattung von Malware-Forschern. Ohne solche Lockfallen können Antivirus-Firmen und andere Sicherheitsunternehmen mit der Entwicklung auf dem Malware-Sektor nicht mehr Schritt halten.

0 Kommentare zu diesem Artikel
133948