Wer sich auf seinen Virenscanner verlässt, der ist verlassen

Diesen Artikel wollte ich schon längst mal schreiben und mit zahlreichen Mythen rund um das Thema Antivirus aufräumen. Heute möchte ich darüber schreiben, dass Sie für einen guten oder schlechten Antivirenschutz kein Geld ausgeben müssen. Es gibt nämlich keinen Virenscanner, den ich als „gut“ bezeichnen würde. Sie können auch getrost ein kostenloses Produkt einsetzen und nicht einen Cent für den Virenschutz in ihrem Unternehmen ausgeben. Verglichen mit einer Lizenz von bis zu 30 Euro pro Gerät, die von den bekannten Herstellern von Antivirensoftware aufgerufen werden, sind Sie in allen Fällen gleich schlecht geschützt. Warum also Geld für Lizenzen ausgeben und das knappe IT-Budget strapazieren? Dass der kostenlose Windows Defender der Einäugige unter den Blinden und das Antivirenprodukt der Wahl ist, erkläre ich im Verlaufe des Artikels. Die Worte Viren, Trojaner und Schadsoftware verwende ich synonym. Es gibt technische Unterschiede zwischen den Begriffen, aber diese möchte ich hier erst einmal ganz bewusst ausklammern.

Früher war alles besser

Virenscanner begleiten die IT seit MS-DOS. Schon in der Zeit vor den bunten Windows Desktops gab es die ersten Viren, die sich durch den Austausch von Disketten verbreiteten. Der PC war Anfang der 90er Jahre noch nicht so weit verbreitet, der Zugang zum Internet kostete über 10 DM pro Stunde und die Bandbreite lag bei 14.400 Baud über ein analoges Modem. Die ersten Viren waren recht einfach gestrickt, umfassten nur ein paar Zeilen Softwarecode und die damals verbreiteten Virenscanner konnten die paar Tausend von Hand programmierten Viren schnell finden, isolieren und löschen.

9:35 Zeit für BRAIN?

Die Aktualisierung des Virenscanners war einmal in der Woche notwendig, weil in der Woche zuvor ein oder zwei neue Viren irgendwo auf der Welt entdeckt wurden. Zu dieser Zeit konnte Antivirensoftware noch mithalten und Viren, Trojaner und die damals populären Dialer zuverlässig erkennen.

Hash me if you can

Für diese Erkennung reichte eine einfache, statische Erkennungsmethode, bei der der Hashwert einer Datei mit dem Eintrag in der eigenen Virendatenbank abgeglichen wurde.

Was ist ein Hashwert?

War der Hashwert in der integrierten Antivirendatenbank, handelte es sich um einen Virus. Der Virenscanner hat dann den Zugriff auf diese Datei unterbunden, in eine sogenannte Quarantäne verschoben oder auch gleich gelöscht. Wurden neue Viren entdeckt, kam auch deren Hashwert (noch heute üblicherweise MD5) in die Datenbank des Virenscanners, wenn er ein Update durchlief.

Diese statische Art der Erkennung von Schadsoftware hat erstaunlich lange funktioniert. Die Grenze dieser Technik war an dem Punkt erreicht, als jede Woche nicht zwei oder drei neue Viren entdeckt wurden- sondern Millionen. An jedem Tag des Jahres 2016 waren es mehr als 320.000 nach Angaben des Herstellers Kaspersky, was auf das ganze Jahr gerechnet zu mehr als einer Milliarde neuer Bedrohungen führt. Dieses Business ist auf beiden Seiten, der Programmierung von Schadsoftware und ihrer Identifizierung, voll automatisiert. Es ist ein Katz-und-Maus-Spiel zwischen den Urhebern dieser Malware und den Unternehmen aus der IT-Sicherheitsbranche. Die entscheidende Frage, ob ein Unternehmen vor einem Trojaner geschützt wird oder nicht, ist die der Zeit. 

Der Lebenszyklus eines Trojaners

Lifecycle einer Bedrohung durch Malware

Der Zeitraum zwischen der Ausführung eines Trojaners und seiner finalen Beseitigung ist eines der entscheidenden Kriterien für das Ausmaß der Bedrohung ihrer IT. Dieser Zeitraum ist sehr variabel und kann von wenigen Stunden bis zu einigen Jahren reichen. Folgend erläutere ich den oben von mir beschriebenen Lifecycle einer Schadsoftware:

  1. Die erste Phase ist die Ausführung der Schadsoftware. Ein Trojaner wird programmiert und auf einem Computer ausgeführt. Wie er dahin gekommen ist, bleibt erst einmal offen. Das betroffene Betriebssystem ist korrumpiert.
  2. Zwischen der Ausführung der Malware und ihrer erstmaligen Entdeckung durch das betroffene Unternehmen liegt oftmals der längste Zeitraum. Unternehmen, die nicht aktiv nach solchen Bedrohungen suchen, finden solche Trojaner oftmals nur durch einen Zufall oder einen Hinweis von Dritten.
  3. Die Phase Reaktion und Integration bezeichnet die Zeit, die während der Interaktion Kunde – Hersteller vergeht. Dieser erhält eine Kopie des entdeckten Trojaners, analysiert ihn und stellt dann seinen Kunden eine aktualisierte Antivirendatenbank zum Download bereit. Das dauert normalerweise nicht lang. Ich selbst habe einmal vom Hersteller McAfee nach 11 (in Worten: elf) Minuten via E-Mail eine eigene Erkennungsdatei („extra.dat“) für einen Trojaner erhalten. Wenige Stunden später erhielten alle Kunden aktualisierte Erkennungssignaturen für diesen Trojaner.
  4. Die Aktualisierung obliegt nun dem Kunden und seinen organisatorischen Prozessen. Wer sich an dieser Stelle zuviel Zeit lässt und die Virenscanner auf seinen Clients nicht umgehend aktualisiert, ist selbst schuld.
  5. Im letzten Schritt erfolgt die gezielte Suche nach Viren und Trojanern auf den Festplatten im Unternehmen. Hier ist immer ein vollständiger Scan aller Dateien  mit den aktuellen Signaturen notwendig. Alleiniges on-access Scannen, also nur beim Zugriff auf eine Datei, ist nicht ausreichend.

Die Zeiträume der oben genannten Schritte müssen addiert werden, um ein Bild von der Dauer der Bedrohung zu erhalten. Ein Virenscanner kann eine Schadsoftware nicht beseitigen, wenn sie sich nicht in seiner Datenbank befindet. Dies gilt für alle 320.000 neuen Varianten, die jeden Tag hinzukommen.

Schnell ist nicht schnell genug

Zuvor skizzierte ich Ihnen den gesamten Lifecycle eines Trojaners, wie er in der Theorie aussieht. Nun gehen wir in die Praxis und schauen uns das Beispiel des Verschlüsselungstrojaners Locky an.

time-to-detect der Locky Ransomware Family

Oben sehen Sie eine Übersicht von Cisco, die darüber Auskunft gibt, wie lange die Hersteller von Virenscannern durchschnittlich in 2016 benötigten, um die Ransomware Locky  erkennen zu können. An dem theoretischen Modell aus dem vorherigen Kapitel gemessen, sind dies die Schritte 1 – 3. Die Abkürzung TTD steht für time to detect. Anfangs waren es 116 Stunden, also fast volle fünf Tage, die zwischen der Entdeckung und dem Schritt Reaktion und Integration vergingen. Selbst im Fall der kürzesten Zeitspanne von 4,7 Stunden muss der Anwender anschließend noch seinen Virenscanner aktualisieren und einen vollständigen Scan über alle Festplatten durchführen. Was glauben Sie, wie lange ein Notebook, ausgestattet mit zwei CPU und einer SSD Festplatte, bis zur vollständigen Verschlüsselung aller Daten benötigt? Gehen Sie einfach mal von 10 Minuten pro 1 GB typischer Office Dokumente aus.

Aus dem wahren Leben

Anhand eines eigenen Beispiels möchte ich Ihnen das Dilemma mit den marktüblichen Virenscannern verdeutlichen. Am 23.2.2017 erhielt ich die unten gezeigte E-Mail von einer Dame namens „Eva Becker“.  Eine Dame mit einem solchen Namen kenne ich aber nicht.

E-Mail von Eva Becker

Eigenschaften des Dokumentes

Schnellanalyse: unbekannter Sender, holpriges Deutsch, keine Signatur und ein Microsoft Office Dokument im Anhang. Diese E-Mail samt Anhang ist mehr als verdächtig. Die weiteren Eigenschaften des Dokumentes sind ebenfalls alles andere als vertrauenerweckend. Die kyrillischen Zeichen geben einen ersten Hinweis auf einen möglichen Ursprung des Dokumentes aus Russland. Ganz sicher ist der genannte Autor namens Ehned Dodahjy nicht der Programmierer des Makros in der Word Datei, sondern selbst Opfer eines Hacks geworden. Dieses Vorgehen ist absolut üblich und dient der Verschleierung der wahren Urheberschaft solcher Kampagnen.

Virustotal(1)

Anschließend habe ich das Word Dokument zu Virustotal hochgeladen und mit 53 Virenscannern gleichzeitig überprüft. Das Ergebnis war mehr als ernüchternd. Gerade einmal fünf Produkte haben eine generische Malware erkannt.

Parallel dazu habe ich bei Payload Security eine dynamische Analyse gestartet, um auf zuverlässige Weise zu ermitteln, was die Datei bei ihrer Ausführung wirklich tut und nicht, ob sie in einer Antivirendatenbank gelistet ist. Um es abzukürzen und Sie nicht zu sehr mit technischen Details zu langweilen:

Powershell BefehlEs handelt sich also um einen sogenannten Dropper, der via Powershell ein Kommando zum Download der Datei nit.nbv von hxxp://vgy.worldnews932.ru/file/nit.nbv ausführt. Sobald die Datei auf das lokale System heruntergeladen ist, soll sie in eine ausführbare Datei (nit.nbv.exe) umbenannt und gestartet werden. Typisch für die Verbreitung von Ransomware ist auch hier wieder die Trennung von Dropper, der nur für den Download dient, und der eigentlichen Schadsoftware. Durch dieses zweistufige Verfahren können die Kriminellen im Hintergrund den Trojaner der zweiten Stufe einfacher austauschen oder modifizieren, damit er einen anderen Hashwert erreicht und für gängige Virenscanner (wieder) unbekannt ist. Der oben gezeigte Powershell  Befehl ist ganz bewusst durch die vielen^Escape^Zeichen unleserlich gemacht worden, um Virenscanner und Malware Analysten zu verwirren. Die Verschleierung („Obfuscation„) und Entzifferung („Deobfuscation„) solcher Scripte hat sich übrigens in den letzten Jahren selbst zu einer kleinen, eigenständigen „Wissenschaft“ entwickelt.

4D5AEin Blick in den Header der Datei verrät dem IT-Forensiker sofort, dass die Dateiendung nbv nur billige Tarnung ist. Der Header der Datei beginnt mit dem typischen 4D5A in Hex, was für MZ steht und der Anfang einer jeden ausführbaren Datei mit Endung exe ist.

In diesem Fall kann ich vorwegnehmen, dass es sich um den Verschlüsselungstrojaner Win32/Teraac handelt- so zumindest hat Microsoft ihn genannt. Der Trojaner liegt auf einem russischen Server (.ru), was ein zweiter Hinweis auf seine Herkunft ist- aber kein Beweis dafür. Bei der Erkennung des eigentlichen Trojaners nit.nbv.exe sieht es bei Virustotal nicht viel besser aus als bei dem zuerst getesteten Dokument.

Virustotal(2)

Diesmal sind es acht statt fünf Antivirenprodukte, die diesen Trojaner schon einmal gesehen haben und erkennen. Alle anderen Produkte hätten Sie an dieser Stelle nicht geschützt, wenn Sie oder einer ihrer Mitarbeiter die angebliche Rechnung von „Eva Becker“ geöffnet hätten. Schauen Sie sich bitte beide Screenshots von Virustotal etwas genauer an. Mir fallen die folgenden Dinge auf:

  • Bekannte Namen aus der Werbung tauchen (bis auf McAfee) nicht bei den Virenscannern auf, die beide Dateien als Malware erkannt haben. Sophos, Trend Micro oder Panda? Fehlanzeige. Die in Deutschland so beliebten kostenlosen Produkte von Avast, Avira und Comodo können es aber genauso wenig.
  • Hingegen war das aus China stammende Produkt Quihoo 360, das in der Essential Version kostenlos ist, bei der Erkennung beider Dateien auf Anhieb erfolgreich.

Aus meiner Erfahrung heraus kann ich Ihnen sagen, dass die Erkennungsleistung bei der nächsten Datei wieder ganz anders aussehen kann. Vielleicht ist es ein Produkt von Bitdefender oder Kaspersky, das diesmal gegenüber anderen Konkurrenzprodukten punkten kann. Ganz sicher ist aber eines: es vergeht zuviel Zeit zwischen der Verbreitung von Malware und ihrer zuverlässigen Erkennung und Unschädlichmachung, wenn Sie einen Virenscanner nutzen, der auf Signaturen und Hashwerte baut.

Teufel oder Beezlebub?

Eines der auf dem Markt erhältlichen Produkte kann ich Ihnen im positiven Sinne nicht empfehlen, doch sollten Sie den Windows Defender nicht vorschnell ablehnen. Dieses Produkt ist bei der Erkennung von Schadsoftware nicht besser oder schlechter als die Konkurrenz, hat aber einige Vorteile zu bieten. Microsoft hat (mal wieder) seine Marktmacht missbraucht und den Virenscanner Windows Defender kostenlos in das Betriebssystem Windows integriert. Von diesem Umstand profitieren Unternehmen wie Privatanwender gleichermaßen. Windows Defender wird zusammen mit dem Betriebssystem via Windows Update aktualisiert und durch eigene Group Policy Einstellungen für den Unternehmenseinsatz optimiert. Somit werden die personellen Aufwände für die Administration des Virenschutzes erheblich minimiert.

Zu guter Letzt

Oben habe ich Ihnen (mal wieder) erzählt, wie schlecht die Welt ist. Bitte verstehen Sie diesen Artikel nicht pauschal als Verteufelung der traditionellen Antivirenprodukte. Ich möchte Ihnen auch nicht empfehlen, keinen Virenscanner zu nutzen- besser ein schlechter Schutz als gar keiner. Meine Botschaft ist: Wer sich auf seinen Virenscanner verlässt, der ist verlassen.

Sie sollten um die Schwächen der traditionellen Antivirenprodukte (egal was Sie kosten) wissen und zusätzlich auf weitere Schutzmechanismen setzen. Technisch hat die Zukunft bereits angefangen und diese gehört der verhaltensbasierten Erkennung, die ich bereits in einem meiner früheren Artikel erwähnte. Der Faktor Mensch ist aber viel wichtiger: wenn ich eine Person namens „Eva Becker“ nicht kenne und bei ihr nichts bestellt habe, werde ich den Anhang ihrer E-Mail auch nicht öffnen.