Auf einem modernen Computersystem laufen zu jedem Zeitpunkt eine Vielzahl von Program-men, die dem Benutzer (oder den Benutzern) des Systems mehr oder weniger nützliche Funktio-nen bieten. In diesem Kapitel werden wir uns mit Programmen und Programmcode beschäftigen,die unerwünscht auf dem Rechner laufen und eventuell dem Benutzer oder System Schaden zu-fügen. Programme und Programmcode, die vorsätzlich für solche Zwecke geschrieben wurden,werden als Malware oder Schadprogramme bezeichnet. Wir wollen in diesem Kapitel die wich-tigsten Arten von Malware beleuchten und uns mit der Frage befassen, wie man sich dagegenschützen kann.
Das Spektrum an Malware ist ebenso unbeschränkt wie die Bandbreite sinnvoller Anwen-dungsprogramme. Es hat sich eingebürgert, verschiedene Typen von Schadprogrammen zu un-terscheiden. Die Übergänge zwischen diesen Klassen sind fließend. Im Folgenden listen wireinige der Typen auf. Alle Typen enthalten in der Regel Code, der dem System oder den Nutzernschadet. Nach ihrer Verbreitungsmethode unterscheidet man:
• (Computer-)Viren: Ein Virus ist ein Programm oder Programmfragment, das sich bei Aus-führung repliziert, indem es den eigenen Code in andere Programme oder Dokumente inji-ziert. Werden diese Programme oder Dokumente später ausgeführt oder aufgerufen, wirdder Virencode wiederum ausgeführt, wodurch das Virus Schaden anrichtet und sich wei-terverbreitet.
• Trojaner: Programme, die scheinbar eine nützliche Funktion haben, aber im Programmversteckten Code beinhalten, der dem System oder den Nutzern schadet.
• Würmer: Programm, das sich selbst über ein Netzwerk (Internet oder Intranet) auf andereMaschinen repliziert, indem es Schwachstellen in über das Netzwerk angebotenen Diens-ten ausnutzt und die befallenen Systeme oder deren Nutzer schädigt.
Nach der Art des angerichteten Schadens unterscheidet man zwischen:
• Spyware: Unter diesem Begriff versteht man Programme, die ohne Genehmigung und Wis-sen des Benutzers Informationen sammeln und diese dann weiterleiten. Hierunter fallenbeispielsweise Keylogger, welche die Maus- und/oder Tastatureingaben eines Benutzersaufzeichnen. Auf diese Weise können vertrauliche Informationen wie beispielsweise Pass-wörter entwendet werden.
• Adware: Programme, die dem Benutzer (ungewollt) Anzeigen präsentieren.
• (Malware-)Dialer: Eigentlich bezeichnet der Begriff „Dialer“ Programme, die einem Com-puter über ein Modem und das Telefonnetz Zugriff auf das Internet ermöglichen. DieseFunktion wird meistens durch das Betriebssystem bereitgestellt. Malware-Dialer über-schreiben die Standardeinstellungen für den Zugriff auf das Internet über die Telefon-verbindung ohne Wissen und Einverständnis des Benutzers und veranlassen die Einwahlüber teure Service-Telefonnummern oder Anwahlpunkte im Ausland. Aufgrund der zuneh-menden Verbreitung von nicht-telefonbasierten Zugangsmechanismen zum Internet sindMalware-Dialer etwas aus der Mode gekommen.
• Zombie-Malware: Programm, das einen Computer kompromittiert und so in einen Zombieverwandelt. Darunter versteht man einen Rechner, der durch unbefugte Dritte ferngesteuertund kontrolliert werden kann, etwa über ein Bot-Net.
• Backdoors (auch Trapdoors genannt): Modifikation eines ursprünglich auf einem Systemvorhandenen Programms, so dass sich ein Angreifer unter Umgehung der auf dem Systemvorhandenen Sicherheitsmechanismen Zugriff auf das System verschaffen kann.
• Root Kit: Modifikation einer Gruppe von Programmen mit dem Ziel, Aktivitäten einesAngreifers auf einem System für andere Benutzer des Systems (den Administrator einge-schlossen) unsichtbar zu machen.
Malware kann auf allen Softwareebenen operieren und angreifen. Die Palette reicht von Boot-Sektor-Viren, die unmittelbar beim Systemstart aktiv werden, bevor das Betriebssystem geladenwird, über Programme, die Schwachstellen im verwendeten Betriebssystem ausnutzen wie etwaWürmer, bis hin zu Malware, die nur in Verbindung mit bestimmten Anwendungsprogrammenfunktioniert wie Email-Viren oder Makroviren.
Wir werden uns nun eingehend mit den unterschiedlichen Typen von Malware und der Frage,wem sie schadet und wem sie nutzt, befassen.
6.2 Schaden
Der durch Malware angerichtete Schaden kann vielfältig sein. Die Möglichkeiten beinhalten:
• Zerstörung der Hard/Software der kompromittierten Maschine: Malware kann Programmeund Daten auf dem betroffenen System löschen, verändern und zerstören. Dies betrifftnicht nur die Software, sondern auch die Hardware.
• Beeinträchtigung der Benutzbarkeit: Aufgrund der Aktivitäten der Malware kann die Be-nutzbarkeit des Rechners oder auch eines Netzwerks stark eingeschränkt sein.
• Datendiebstahl/Datenmissbrauch: Malware kann Daten vom infizierten System, angefan-gen von einzelnen Dateien bis hin zu Eingaben eines Benutzers per Maus oder Tastaturan andere Rechner weiterleiten. Auf diese Weise können vertrauliche Daten gestohlen unddann missbraucht werden. Es sollen auch bereits Dateien durch Malware verschlüsselt undBenutzer erpresst worden sein.
6.3 Verbreitung und Funktionsweise 97
• Missbrauch des Rechners für andere Aktivitäten: Ein kompromittierter Rechner kann zueinem Zombie werden, der durch den Angreifer von außen ferngesteuert werden kann.Ein solcher ferngesteuerter Rechner eignet sich hervorragend zum Absenden von uner-wünschten Massenemails, besser bekannt unter dem Namen Spam (siehe Abschnitt 13.1),als Ausgangspunkt einer Denial-of-Service-Attacke (siehe Kapitel 12) oder eines Angriffsauf weitere Maschinen, um auch sie in Zombies zu verwandeln.
• Kosten des Entfernens: Es ist bereits klar geworden, dass niemand Malware auf seinenSystemen haben möchte. Daher muss im Fall eines erfolgreichen Angriffs die Malwaremöglichst schnell wieder vom System entfernt werden. Falls eine umgehende Beseitigungnicht möglich ist, müssen Maßnahmen getroffen werden, die zumindest eine weitere Ver-breitung der Malware verhindern. Die Kosten solcher Aktionen können je nach Art undUmfang des betroffenen Netzes sehr hoch sein.
6.3 Verbreitung und Funktionsweise
6.3.1 Verbreitung
Die Möglichkeiten, wie Malware auf ein System gelangen kann, sind ausgesprochen vielfältig.Bei Würmern reicht zur Infizierung des Systems ein Netzwerkanschluss und eine Schwachstellein einem angebotenen Dienst. Bei Viren reicht das Ausführen oder Aufrufen einer infizierten Da-tei, die wie auch immer auf den Rechner gelangt sein kann. Bei Trojanern installiert ein argloserBenutzer das Programm selbst auf seinem System und führt es aus. Das Gleiche kann auch beiAdware, Spyware und Dialern der Fall sein.
Generell wollen wir bei der Verbreitung von Malware im Folgenden zwei Dimensionen unter-scheiden:
• Aktion eines legitimen Systembenutzers bei der „Installation“: Unter einer Aktion verste-hen wir beispielsweise das Kopieren oder Herunterladen einer Datei oder auch das Einle-gen eines Datenträgers, das Ausführen einer Datei oder Öffnen eines Anhangs einer Email.Keine Aktion in unserem Sinn führt der Benutzer dann aus, wenn die Malware ohne spezi-fische Benutzeraktion auf das System gelangt ist. Malware erfordert entweder eine Aktioneines legitimen Systembenutzers oder nicht, um auf einen Rechner gelangen.
• Mechanismus zur Verbreitung der Malware: Malware kann selbstreplizierend oder nicht-selbstreplizierend sein.
Tabelle 6.1 zeigt, in welche Klassen einige der bereits vorgestellten Malware-Typen fallen. Vi-ren und Würmer sind beide selbstreplizierend. Während sich ein Wurm ohne Benutzerinteraktionauf einem System selbsttätig einnisten kann, erfordert ein Virus zu seiner Verbreitung meistensdie Aktion eines Benutzers wie das Ausführen eines Programms oder das Öffnen einer Datei.
Nicht-selbstreplizierende Malware gelangt entweder auf ein System, indem ein Benutzer desSystems Aktionen ausführt, beispielsweise die Malware selbst installiert. Nicht-selbstreplizie-rende Malware kann nur dann ohne Benutzerinteraktion auf ein System gelangen, wenn ein ma-nueller Angriff auf das System über das Netzwerk oder durch einen Innentäter erfolgreich war.
Tabelle 6.1: Klassifikation von Malware hinsichtlich ihrer Verbreitungsmechanismen.
Wenn der Täter sich Zugriff auf das System verschafft, kann er beliebige Malware installieren,beispielsweise um später wieder einfach Zugriff auf das System haben zu können.
Für Malware, die ohne Benutzerinteraktion auf ein System gelangt, ist es charakteristisch, dasssie entweder automatisch über das Netzwerk auf das System kommt oder durch einen Angreifer(Innentäter oder über das Netzwerk) manuell auf dem Rechner platziert wird.
6.3.2 Funktionsweise
6.3.2.1 Viren
Nun wollen wir einige wichtige Klassen von Viren etwas genauer betrachten, insbesondere Viren,die sich in ausführbare Programme einnisten, und Makroviren.
Programmviren Viren, die Programme befallen, bestehen wie ausführbare Programme ausAssemblercode. Assemblercode ist stark von der jeweiligen Hardwareplattform und auch demverwendeten Betriebssystem abhängig, da Programme einige Funktionen des Rechners nicht di-rekt ansprechen dürfen, sondern nur durch Verwendung von System Calls des Betriebssystems(siehe Abschnitt 4.3). Da sich der Virencode in den Programmcode einbetten muss, ist ein Pro-grammvirus meistens auf eine bestimmte Plattform und Betriebssystem als Wirt festgelegt undkann Systeme mit anderer Plattform oder anderem Betriebssystem nicht infizieren. Der ausführ-bare Code des Virus wird geeignet im Code des ursprünglichen Programms platziert und dasProgramm so modifiziert, dass beim Programmstart zunächst der Virus aufgerufen wird. Umlänger unbemerkt zu bleiben, transferieren viele Viren danach die Kontrolle zurück an das ur-sprüngliche Programm, so dass dessen Funktion durch den Virus scheinbar nicht beeinträchtigtwird. Gelangt das Virus zur Ausführung, kann es weitere Programmdateien auf dem Rechnerinfizieren und gegebenenfalls weiteren Schadcode ausführen.
Viren müssen nicht unbedingt nur ausführbare Programme infizieren. Einige Viren nisten sichim Hauptspeicher des Rechners ein und bleiben dort durchgehend aktiv. Solche Viren werdenals speicherresidente Viren bezeichnet. In bestimmten Fällen können sich Viren auch über Do-kumente, also eigentlich nicht ausführbare Daten, verbreiten. Dies ist unter anderem möglich,wenn die Anwendungsprogramme, welche die Dokumente aufrufen, Schwachstellen aufweisen,welche die Ausführung des injizierten Code ermöglicht (siehe Abschnitt 5.2).
6.3 Verbreitung und Funktionsweise 99
Makroviren Unter Makrosprachen versteht man Programmiersprachen, mit denen Program-me, sogenannte Makros, geschrieben werden, die nicht eigenständig, sondern innerhalb einesanderen Programms, beispielweise einer Textverarbeitung oder einer Tabellenkalkulation, aus-geführt werden. Mit Makros lassen sich häufige, komplexe Arbeitsabläufe innerhalb der Anwen-dung automatisieren. Makros sind oft ein Bestandteil der in Dateien abgespeicherten Anwen-dungsdaten und können sich so leicht verbreiten. Ein bekanntes Beispiel einer Makrospracheist Visual Basic for Applications (VBA). Auch wenn Makrosprachen innerhalb eines anderenProgramms ablaufen, so sind sie von ihrem Funktionsumfang her meistens vollwertige Pro-grammiersprachen. Insbesondere besitzen sie Befehle, um Dateien der Anwendung zu öffnen,zu ändern und wieder abzuspeichern. Konsequenterweise können in diesen Sprachen auch Vi-ren geschrieben werden. Wie Programmviren sind Makroviren bei ihrer Verbreitung auf eineUmgebung angewiesen, in der die Makrosprache ausgeführt werden kann. Dies ist meistens einebestimmte Anwendung (es sei denn, mehrere Anwendungen verwenden dieselbe Makrosprache).Wird diese Anwendung auf mehrere Systeme portiert, so ist es möglich, dass Makroviren auchauf unterschiedlichen Betriebssystemen und Hardwareplattformen ablaufen können.
Netzwerklaufwerke Oftmals müssen in Institutionen Informationen gespeichert werden, diefür mehrere Benutzer gleichzeitig verfügbar sein müssen. In solchen Szenarien bietet sich dieVerwendung von Netzwerklaufwerken an, die es erlauben, ein Dateisystem oder Teil eines Datei-systems von einem Rechner aus über das Netzwerk auf mehrere andere Rechner zu exportieren.Jeder Rechner kann das Dateisystem genauso verwenden, als wäre es auf einer lokalen Festplattevorhanden (Details wie Zugriffsrechte wollen wir an dieser Stelle nicht betrachten).
Dummerweise ist ein Netzwerklaufwerk nicht nur für die Benutzer praktisch, sondern auch fürselbstreplizierende Malware. Wenn Schreibzugriff auf ein Netzwerklaufwerk besteht, kann sichdie Malware in eine Datei dort replizieren. Wird dann diese Datei von einem anderen Rechneraus aufgerufen, so kann die Malware vom Netzwerklaufwerk auf das Dateisystem des anderenRechners springen. Schwerer wiegt vielleicht noch, dass es für einen Benutzer kaum eine Mög-lichkeit gibt, sich gegen solche Angriffe zu schützen.
6.3.2.2 Würmer
Im Gegensatz zu Viren, die bei ihrer Verbreitung auf Wirtsprogramme oder -dokumente angewie-sen sind, verbreiten sich Würmer selbständig über ein Netzwerk. Würmer nutzen Schwachstellenin über das Netzwerk angebotenen Diensten aus. Diese Schwachstellen sind meistens entwe-der einem spezifischen Betriebssystem oder einem Anwendungsprogramm zuzuordnen, das denDienst anbietet. Hat sich ein Wurm erfolgreich auf einem Rechner eingenistet, so versucht erüber das Netzwerk, andere Rechner zu finden, die ebenfalls die Schwachstelle besitzen und die-se auszunutzen. Der Wurm kann dabei zufällig Netzwerkadressen durchprobieren oder gezieltervorgehen.
Da sich Würmer im Gegensatz zu Viren selbsttätig verbreiten und nicht auf Benutzeraktionenangewiesen sind, ist ihre Ausbreitungsgeschwindigkeit häufig sehr hoch. Innerhalb kurzer Zeitkann sich ein Wurm über das Internet auf Tausenden von Rechnern verbreitet haben.
100 6 Malware
6.3.2.3 Backdoors und Root Kits
Während Viren und Würmer sich, einmal programmiert und losgelassen, selbst weiterverbreiten,gibt es auch Malware, die quasi „von Hand“ durch einen Angreifer auf dem System untergebrachtwird. Ist ein Angreifer mit viel Mühe erfolgreich in ein System eingedrungen und hat endlich Ad-ministratorrechte erlangt, liegt es nur in der menschlichen Natur, sich das Leben für das nächstemal leichter zu machen. Außerdem möchte der Angreifer nur ungern das Risiko eingehen, dassdie mühsam gefundenen Sicherheitslücken geschlossen werden und so der Zugriff auf das Sys-tem unterbunden wird. Also bietet es sich an, ein Hintertürchen in das System einzubauen, mitdem der Angreifer das nächste mal sehr viel einfacher Zugriff erhält, und dabei möglichst nochnicht einmal bemerkt werden kann. Wenn ein Angreifer Administratorrechte erlangt hat, sindderartige Wünsche tatsächlich zu erfüllen.
Beginnen wir mit dem Zugriff auf das System. Eine sehr einfache Möglichkeit für den Angrei-fer wäre es, sich ein eigenes Benutzerkonto auf dem System einzurichten und diesem BenutzerAdministratorrechte zu geben. Diese Variante ist zwar sehr einfach, aber auch nicht schwierigzu entdecken. Geschickter ist es, das Programm zur Anmeldung von Benutzern auf dem Systemdurch ein eigens vom Angreifer geschriebenes Programm zu ersetzen. Während das ursprüng-liche Programm nach Benutzername und Passwort fragt und die Eingaben dann etwa in einerDatenbank überprüft, übernimmt das vom Angreifer modifizierte Programm exakt die gleicheFunktion – mit einem kleinen, aber entscheidenden Unterschied. Der Angreifer wählt eine Be-nutzername/Passwortkombination, bei der die sonst übliche Überprüfung von Benutzernamenund Passwort umgangen und nicht durchgeführt wird, sondern direkter Zugriff als Administratorerfolgen kann. Durch diese Backdoor kann der Angreifer sich später wieder einfach Administra-torzugriff auf das System verschaffen.
Dabei möchte er natürlich vom richtigen Administrator nur ungern entdeckt werden, etwa auf-grund von Einträgen in Logdateien oder da vom Angreifer gestartete Prozesse auffallen. Daherbietet es sich an, die Programme auf dem Rechner, welche die Benutzeraktivitäten anzeigen undprotokollieren, ebenfalls durch Programme zu ersetzen, die den Angreifer verbergen. Solche Pro-gramme werden auch Root Kit genannt. Ist ein System durch Angreifer kompromittiert worden,hinterlassen die Angreifer derartige Programme mit großer Wahrscheinlichkeit.
6.3.2.4 Zombies
Ist ein Angreifer auf einer Maschine erfolgreich gewesen oder ist anderweitig Malware auf dieMaschine gelangt, so kann der betroffene Rechner sich in einen Zombie verwandeln. Dies be-deutet, dass der Rechner von Dritten über das Netzwerk ferngesteuert werden kann und so alsAusgangspunkt für weitere Angriffe auf andere Rechner oder für kriminelle Aktivitäten verwen-det werden kann, ohne dass die legitimen Benutzer und Administratoren dies bemerken. DieMalware kontaktiert das Internet mit scheinbar harmlosen Anfragen und erhält als Antwort ent-sprechende Befehle, was zu tun ist. Hierzu machen sich Angreifer häufig Peer-to-Peer-Strukturenund andere Anwendungen wie IRC zu nutze, bei denen sich die Urheber von bereitgestellten Da-ten nur schwer zurückverfolgen lassen. In der Regel ist natürlich nicht nur ein einziger Rechner,sondern eine ganze Gruppe von Rechnern kompromittiert. Diese Rechner gemeinsam bilden einBot-Net.
6.4 Schutzmaßnahmen und Entfernung von Malware 101
6.4 Schutzmaßnahmen und Entfernung von Malware
6.4.1 Schutzmaßnahmen
Eine Infizierung mit Malware ist unangenehm, der mögliche Schaden schwer abschätzbar unddie Beseitigung teuer. Daher kommt der Prävention gegen Malware entscheidende Bedeutungzu. Im Folgenden wollen wir einige der möglichen Schutzmaßnahmen näher darstellen.
6.4.1.1 Virenscanner
Virenscanner sind Programme, die ein System auf mögliche Infektionen mit Malware, in ersterLinie Viren, überprüfen. Viele verschiedene Firmen bieten Virenscanner an, die sich in ihremFunktionsumfang und in der Zuverlässigkeit der Erkennung von Malware unterscheiden. DerFunktionsumfang einiger Produkte geht über die hier beschriebenen Merkmale deutlich hinaus.
Die wichtigsten Funktionen eines Virenscanners beinhalten
• die Überprüfung einzelner oder aller Laufwerke und des Speichers auf vorhandene Viren,
• die Überprüfung von Dateien auf Virenbefall vor dem Öffnen oder Ausführen und dieVerhinderung der Aktion bei Verdacht auf Virenbefall des Objekts und
• die Entfernung von Viren aus infizierten Objekten.
Das Erkennen von Viren in einer Datei ist komplex. Virenscanner durchleuchten die zu unter-suchenden Dateien Byte für Byte und vergleichen vereinfacht ausgedrückt die dort gefundenenBytemuster mit bekannten Mustern von Viren. Solche Muster werden Signaturen genannt. Wirdeine Übereinstimmung mit einer Virensignatur entdeckt, so ist das untersuchte Objekt höchst-wahrscheinlich infiziert und Gegenmaßnahmen werden eingeleitet. Leider lassen sich mit dieserMethode nur Viren finden, deren Signatur bereits bekannt ist. Daher ist es notwendig, die Si-gnaturen des Virenscanners regelmäßig auf den neuesten Stand zu bringen. Es gibt Viren, diesich vor Signaturscans zu verbergen versuchen, indem sie bei der Replikation keine identischenKopien von sich erzeugen, sondern sich beim Replizieren verändern, so dass signaturbasierteAnsätze schwieriger, aber nicht unmöglich werden. Ein Virus kann beispielsweise Teile von sichverschlüsseln und dabei bei jedem Replikationsvorgang den Schlüssel verändern.
Zusätzlich zu signaturbasierten Ansätzen verwenden moderne Virenscanner Heuristiken, ummögliche Viren auch ohne bekannte Signatur aufspüren zu können. Darüber hinaus werden oft-mals Programme zur Laufzeit auf ungewöhnliche Aktivitäten hin überprüft, so dass ein Virusbeispielsweise dann erkannt wird, wenn er eine andere Datei infizieren will.
6.4.1.2 Systemkonfiguration, Dienste und Einstellungen
Generell gilt ein einfacher Merksatz: Sicherheitslücken in Software, die auf einem System nichtaktiv ist, können nicht ausgenutzt werden. Speziell gilt dies für Netzwerkdienste (siehe Kapitel7), die über das Netzwerk von Angreifern oder Würmern ausfindig gemacht und angegriffenwerden können. Daher sollten nicht benötigte Softwarekomponenten und Dienste abgeschaltetoder erst gar nicht installiert werden.
102 6 Malware
Ein weiterer wichtiger Punkt ist die Vergabe von Benutzerrechten. Diese sollten zur Verhin-derung der Verbreitung von Malware möglichst restriktiv gehandhabt werden. Ein nicht notwen-diges, aber erteiltes Schreibzugriffsrecht auf einem Netzwerklaufwerk ermöglicht es Malwarevielleicht, dieses Laufwerk zu infizieren.
6.4.1.3 Patches und Updates
Wenn Schwachstellen in Betriebssystemen oder Anwendungen entdeckt werden, stellen die Her-steller der Software so schnell wie möglich Patches oder Updates zur Verfügung, welche die Si-cherheitslücken beseitigen. Es empfiehlt sich dringend, solche Patches umgehend zu installieren.Wird eine neue Lücke bekannt, so dauert es in der Regel nicht lange, bis Malware auftaucht, diediese ausnutzt. Daher empfiehlt es sich, die auf einem System vorhandene Software regelmäßigdahingehend zu überprüfen, ob sie auf dem neuesten Stand ist. Die meisten Betriebsysteme undAnwendungen überprüfen mittlerweile automatisch über das Netzwerk, ob sicherheitsrelevantePatches und Updates vorliegen.
Bei veralteter Software, die von den Herstellern nicht mehr gepflegt wird, können ebenfallsSchwachstellen entdeckt werden. Hier werden aber keine Patches mehr angeboten, so dass dieSicherheitslücken nur schwer geschlossen werden können. Daher empfiehlt sich der Einsatz ver-alteter Software aus Sicherheitsgründen nicht.
6.4.1.4 Heterogenität
Malware ist oft auf bestimmte Betriebssysteme und Softwarepakete festgelegt. Angreifer kon-zentrieren sich logischerweise auf solche Betriebssysteme und Pakete, die weit verbreitet sind,um eine möglichst große Zahl möglicher Opfer zu haben. Wird daher ein selteneres Betriebssys-tem und ein weniger häufiges Softwarepaket verwendet, sinkt die Gefahr eines Angriffs. Ebensowerden Netzwerke robuster gegen Angriffe, wenn sie aus Rechnern mit verschiedenen Betriebs-systemen bestehen. Dies gilt aus dem gleichen Grund, aus dem in der Natur Mischwälder ge-genüber Schädlingen resistenter sind als reine Monokulturen. So interessant und richtig dieseAussage auch ist, so wenig ist dieses Prinzip in der Praxis durchgängig umsetzbar.
6.4.1.5 Firewalls und Filtermechanismen
Eine Firewall (siehe Kapitel 9) grenzt das interne Netzwerk einer Institution gegen das Internet abund kontrolliert den Verkehr zwischen den Netzen. Spezielle Filtermechanismen in Firewalls undAnwendungsprogrammen können auf verschiedenen Ebenen verdächtige Objekte ausfiltern undso eventuell einen Beitrag dazu leisten, dass Malware nicht in das Netz der Institution gelangt.Beispielsweise kann eine Firewall bei richtiger Konfiguration den Einfall von Würmern in dasUnternehmensnetz verhindern. Ein Filter auf Applikationsebene kann beispielsweise verdächtigeAnhänge aus Emails herausfiltern und so Malware daran hindern, über Email in das Netz derInstitution zu gelangen.
Doch diese Mechanismen bieten keinesfalls einen vollständigen Schutz. Malware kann ander Firewall vorbei in das Institutionsnetzwerk gelangen und die Filtermechanismen lassen sich
6.4 Schutzmaßnahmen und Entfernung von Malware 103
austricksen (siehe Abschnitt 9.4). Ein unvorsichtiger Benutzer, der aus dem Internet eine Dateiherunterlädt und ausführt, wird von der Firewall nicht unbedingt gestoppt werden.
6.4.1.6 Vorsichtige Benutzer
Bei vielen Arten von Malware, allem voran den Trojanern und (den meisten) Viren, ist zur Ver-breitung die Aktion eines Benutzers erforderlich, wie das Öffnen eines per Email erhaltenenDokuments oder das Herunterladen und Starten eines Programms. Sie basieren also auf SocialEngineering. Im richtigen Moment den Anhang einer Email zu öffnen oder nicht kann den Un-terschied zwischen einem virenverseuchten System und viel erspartem Ärger bedeuten. Insofernist es also gerade für Institutionen wichtig, die Benutzer über mögliche Bedrohungen aufzuklä-ren und zu kritischem Handeln zu veranlassen. Gerade per Email wird häufig versucht, dieseskritische Handeln auszuschalten, beispielsweise indem dem Benutzer eine (scheinbare) horrendhohe Telefonrechnung, Anzeige wegen angeblicher illegaler Downloads und so weiter präsentiertwird. Der erste Impuls ist natürlich das Öffnen des Anhangs, das angeblich nähere Informatio-nen zu Widerspruchsmöglichkeiten oder Ähnlichem enthält, aber in Wirklichkeit aus Malwarebesteht, die sich beim Öffnen auf dem System einnistet.
Auch beim Herunterladen von Dateien aus dem Netz kann Malware auf ein System gelangen.
6.4.2 Entfernung
Ist Malware auf einen Rechner gelangt und konnte dort aktiv werden, waren die Schutzmaß-nahmen auf dem System – zumindest hinsichtlich der speziellen Malware – nicht ausreichend.Dies kann unterschiedlichste Gründe haben. Selbst wenn auf einem System alle erdenklichenSchutzmaßnahmen ergriffen werden, bleibt doch ein gewisses Restrisiko. Wenn Malware einebisher unbekannte Schwachstellen ausnutzt, können die obigen Schutzmechanismen versagen.In einigen Fällen werden veröffentlichte Schwachstellen von Hackern schneller ausgenutzt als esgelingt, einen Patch zum Schließen der Lücke bereitzustellen.
Ist es zu einer Infizierung mit Malware gekommen, besteht der erste Schritt darin, das Problemüberhaupt zu erkennen. Da die getroffenen Schutzmaßnahmen versagt haben, ist es möglich,dass die Malware zunächst unbemerkt auf dem System agieren und sich gegebenenfalls über dasNetzwerk oder anderweitig weiterverbreiten kann. Sich häufende Fehlermeldungen und unge-wöhnliches Systemverhalten wie geringere Leistung können ein Warnzeichen sein, aber genausogut durch Hardwaredefekte oder andere Probleme verursacht sein.
Ist das Problem erkannt worden, soll die Malware vom System natürlich sofort entfernt unddas System wieder in einen arbeitsbereiten Zustand versetzt werden, falls möglich ohne Da-tenverluste. Leider gibt es für die Entfernung von Malware kein Patentrezept. Der entstandeneSchaden kann irreversibel sein, beispielsweise wenn vertrauliche Daten bereits über das Netzweitergeleitet wurden.
Der erste und entscheidende Schritt nach der Entdeckung von Malware ist es, das betroffeneSystem sofort von allen anderen Systemen zu trennen und unter Quarantäne zu nehmen. Diesbetrifft bei Viren auch möglicherweise infizierte Netzwerklaufwerke auf anderen Maschinen.
Danach ist eine Analyse erforderlich, wie die Malware auf das System gelangen konnte. Dieausgenutzte Sicherheitslücke muss gefunden und geschlossen werden. Dabei ist ebenfalls zu
104 6 Malware
prüfen, ob diese Lücke auch auf anderen Rechnern vorhanden ist und dort ebenfalls geschlossenwerden muss.
Anschließend sollte die Malware vom System entfernt werden. Die Säuberungsmaßnahmensollten nach einem Neustart des Systems von einem malwarefreien Medium erfolgen (beispiels-weise einer CD-Rom). Bei einem Virus sollten alle Laufwerke mit einem Virenscanner (neuesteSignaturdaten) überprüft werden. Nach einem ersten Durchgang zum Entfernen der Viren emp-fiehlt sich ein zweiter Durchgang, um zu überprüfen, ob tatsächlich keine weiteren infiziertenDateien gefunden werden. Die Überprüfung anderer Systeme im Netzwerk, die möglicherweisebetroffen sein könnten, ist ebenfalls dringend zu empfehlen.
In einigen Fällen ist es ratsam, statt einer Säuberung des betroffenen Systems eine Neuinstal-lation durchzuführen und die Daten von einem (malwarefreien) Backup aufzuspielen.
6.5 Zusammenfassung
Unter dem Begriff „Malware“ fasst man Programme und Programmcode zusammen,die unerwünscht auf einem System laufen und dem System oder seinen Benutzernmöglicherweise Schaden zufügen. Es gibt viele verschiedene Typen von Malware, dar-unter Viren, Würmer und Trojaner. Die Übergänge zwischen diesen Typen sind flie-ßend. Malware kann die Zerstörung von Software oder Hardware des kompromittier-ten Systems verursachen, dessen Benutzbarkeit beeinträchtigen, Datendiebstahl oderDatenmissbrauch ermöglichen oder ein System anderweitig missbrauchen. Malwarekann in verschiedene Klassen eingeteilt werden.Schutzmaßnahmen können helfen, Systeme weniger anfällig für Malware zu machen.Hierzu zählen der Betrieb eines Virenscanners, eine restriktive Konfiguration des Sys-tems, das regelmäßige Patchen und Updaten, die Verwendung von Firewalls und Sen-sibilisierung der Benutzer für das Problem.
6.6 Übungsaufgaben
6.6.1 Wiederholungsaufgaben
Aufgabe 6.1:
Erläutern Sie die folgenden Begriffe: „Malware“, „Virus“, „Trojaner“, „Würmer“, „Spyware“,„Adware“, „Dialer“, „Zombie“, „Backdoor“, „Root Kit“.
Aufgabe 6.2:
Geben Sie einige Möglichkeiten dafür an, welchen Schaden Malware verursachen kann.
Aufgabe 6.3:
Beschreiben Sie das präsentierte Klassifikationsschema für Malware und geben Sie für jede Klas-se ein Beispiel.
6.6 Übungsaufgaben 105
Aufgabe 6.4:
Listen Sie verschiedene Typen von Viren auf und beschreiben Sie Unterschiede und Gemeinsam-keiten.
Aufgabe 6.5:
Erläutern Sie, welche Schutzmaßnahmen gegen Malware getroffen werden können.
Aufgabe 6.6:
Wann kann aus Sicht eines Angreifers ein manueller Angriff auf eine Maschine sinnvoller seinals ein automatisierter Angriff beispielsweise durch einen Virus?
6.6.2 Weiterführende Aufgaben
Aufgabe 6.7:
Geben Sie technische Möglichkeiten an, wie Benutzer daran gehindert werden können, potentiellgefährliche Aktionen, wie beispielsweise der Download und die Ausführung von Programmenaus dem Internet oder das Öffnen des Anhangs einer Email, durchzuführen.
Aufgabe 6.8:
Recherchieren Sie die genaue Funktionsweise von Viren und Virenscannern.
Aufgabe 6.9:
Befassen Sie sich genauer mit dem Problem, wie Malware von einem infizierten System wiederentfernt werden kann.
