Rubrik: Markt/Kommentare

Rik Ferguson, Solutions Architect bei Trend Micro, zum Kneber-Hype

Eine Anti-Malware-Lösung soll sich nicht nur auf die Infektionsschicht verlassen, sondern auch die exponierte Schicht prüfen

(01.03.10) - Die Medien zeigten sich in letzter Zeit entsetzt über die Ausmaße eines "neuen" Botnetzes namens Kneber. Einem Bericht von NetWitness zufolge hat ein bestimmtes Botnet, das ZeuS-Crimeware nutzt, Tausende Unternehmen und Zehntausende Computer erfolgreich infiziert. Natürlich ist dies für die betroffenen Firmen eine schreckliche Nachricht, und sicherlich lassen sich eine Menge Security-Lehren aus solchen Erfahrungen ziehen.

Anzeige

Dennoch möchte ich betonen, dass es nichts "Neues" ist, wenn ein Botnet ZeuS nutzt oder diese Ausmaße annimmt. ZeuS (oder ZBot) gibt es seit mindestens 2007, und es gilt im Online-Untergrund als Commodity-Crimeware. Die Malware wird in Online-Foren offen gehandelt, sowohl als Softwareprodukt als auch in Form von vorinfizierten Botnetzen. Die Anbieter gehen mittlerweile dazu über, Services mit ihren kriminellen Offerten zu bündeln - sozusagen Crimeware as a Service.

Sicherheitsforscher haben nahezu 1300 Command&Control-Server für verschiedene ZeuS-Botnets im Visier, von denen etwa die Hälfte derzeit online ist. Es zeigt sich auch, dass die durchschnitt-liche binäre Entdeckungsrate (wie die Antivirus-Produkte Malware aufspüren mithilfe von Pattern-Dateien und Signaturen) bei nur 49,62 Prozent liegt - was den Erfolg der Infektionsraten zum Teil erklärt.

Es ist allgemein bekannt, dass Malware-Autoren und andere Kriminelle bereits Wege gefunden haben, wie herkömmlicher Malware-Schutz, der sich auf Pattern oder Signaturen verlässt, zu umgehen ist: Sie verändern einfach ihren Code so oft wie möglich. Schätzungen zufolge gibt es derzeit jede 1,5 Sekunde ein neues einzigartiges bösartiges Binary.

Daher lautet die erste Sicherheitslehre aus der aktuellen Berichterstattung: Stellen Sie sicher, dass sich Ihre Anti-Malware-Lösung nicht lediglich auf die Infektionsschicht verlässt, nach dem Motto "wie die Datei aussieht". Stellen Sie sicher, dass die Lösung auch die exponierte Schicht prüft, woher die Datei kommt und wohin sie zurück berichtet. Wenn die Sicherheitsindustrie weiß, wo die Server der Bad Guys sind, so sollte dies auch jeder Ihrer Endpunkte wissen. Damit ist das binäre Aussehen der Datei nebensächlich. (Trend Micro: ma)

 

 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken