86336

Tarnkappe für Browser-Exploits

19.10.2006 | 14:39 Uhr |

Mit einer Reihe von Verschleierungsmethoden sollen Virenscanner mit statischen Signaturen daran gehindert werden bekannten Exploit-Code zu erkennen und zu blockieren.

Der Sicherheitsforscher HD Moore und seine Mitstreiter im Metasploit-Projekt haben ein Modul entwickelt, das Exploit-Code für Sicherheitslücken in Web-Browsern tarnen soll. Verschiedene Algorithmen fügen etwa zusätzliche Zeichen (zum Beispiel Leerzeichen, Zeilenumbrüche) und Zeilen (wie etwa Kommentare) ein, sortieren Code-Blöcke um und verändern die Namen von Variablen und Funktionen.

Das von Moore, Aviv Raff und einem Dritten, der sich nur als "LMH" identifiziert, entwickelte Metasploit-Modul trägt den Namen "VoMM" (eVade o’ Matic Module). Es soll eine praktisch unbegrenzte Anzahl von Varianten bestehender Angriffs-Codes erstellen können. Ähnliche Techniken setzen Malware-Programmierer schon länger ein, mit VoMM gibt es jedoch erstmals ein Modul, das beliebigen Javascript-Code zwecks Tarnung umbauen kann.

Die statischen Signaturen von Virenscannern sind eine Art digitaler Fingerabdruck bekannten Programm-Codes. So genannte generische Signaturen decken hingegen durch ihre Formulierung eine ganze Reihe von Variationsmöglichkeiten ab, sind jedoch schwerer zu entwickeln. Offenbar wollen die Metasploit-Entwickler die Hersteller von Anti-Malware-Lösungen zwingen, die Verwendung statischer Signaturen aufzugeben und stattdessen die Ausnutzung der Sicherheitslücke selbst zu erkennen.

0 Kommentare zu diesem Artikel
86336