Interview mit einem Trojanerjäger

In letzter Zeit verbreiten sich etliche Schädlinge innerhalb von passwortgeschützten Archiven. Was steckt dahinter?

Die erste Absicht ist, dass man die Mails überhaupt in das Postfach der User bringt. Viele Mailprovider filtern ja schon auf Serverebene und sorgen dafür, dass erkannte Viren überhaupt nicht mehr in das Postfach des unbedarften Users kommen. Mit dem Passwort-Trick erreichen die Virenversender, dass der User überhaupt erst mit der Virenmail in Berührung kommt. Dann hoffen die Kriminellen, dass der Rechner nicht oder nur schlecht geschützt ist. Beim Entpacken sollte dann der – hoffentlich installierte – Virenscanner zuschlagen und den Schädling abfangen.

Das funktioniert aber doch auch nicht immer.

Völlig richtig. Wir werden niemals 100 % Erkennungsrate erreichen. Das erklärte Ziel muss aber sein, so nahe wie möglich an die 100 % heranzukommen. Man sieht ja auch in den unabhängigen Tests, dass wir teilweise über 99 % Erkennungsrate schaffen. Unser Anspruch ist, immer so nah wie möglich an die 100 % heranzukommen.

Wenn Sie jetzt in die Glaskugel schauen, was vermuten Sie wie sich die Situation entwickeln wird?

Die Qualität wird immer weiter steigen. Wir haben zum Beispiel im ersten Quartal 2012 einen dateilosen Bot entdeckt. In dem Fall wurde der Rechner über einen Drive-by-Download und eine Java-Sicherheitslücke infiziert, aber keine einzige Datei auf dem Rechner abgelegt. Alles hat sich ausschließlich im RAM abgespielt. Das macht es für uns natürlich auch schwerer. Der Schädling überlebt zwar einen Reboot nicht, trotzdem waren ständig mehrere tausend Rechner weltweit infiziert. Viele Rechner werden ja kaum noch richtig heruntergefahren, sondern nur in den Ruhezustand versetzt. Da wird dann auch der Schädling mit eingefroren. Bürorechner werden zum Beispiel fast überhaupt nicht mehr heruntergefahren, die werden oft über Nacht laufen gelassen. Insofern reicht es den Tätern, dass der Schädling nur im RAM läuft.

Das bringt mich zu einer anderen Frage: warum tun sich so viele Virenscanner im Kampf gegen Drive-by-Downloads so schwer?

Wir haben für Drive-by-Downloads mehrere Webmodule laufen. Zum Beispiel untersuchen wir bei einem Download den Datenstrom schon beim Herunterladen und stoppen den Download, sobald ein Virenpattern erkannt wird. Wir sammeln auch URL, die bekanntermaßen gefährliche Inhalte haben. So haben wir zum Beispiel im ersten Quartal 2012 über 95 Millionen solcher URL entdeckt. Das hat zur Folge, dass wir den Link im Browser sofort rot einfärben und blocken, damit der User garnicht erst auf die Seiten zugreifen kann. Ansonsten ist Drive-by mittlerweile als Angriffsvektor vorherrschend. Mehr als 50 % der Infizierungsversuche laufen über Drive-by ab.

Warum sind diese Angriffe denn so erfolgreich?

Eines der größten Probleme dabei ist die mangelnde Akzeptanz von Updates, bzw. das Vernachlässigen von Updates. Ein weiteres Problem ist, dass Software für dynamische Inhalte (Flash z.B.) einerseits immer mehr können soll, gleichzeitig soll sie aber abwärtskompatibel sein. Es werden also eine Menge Altlasten mitgeschleppt. Das trägt zur Problematik bei.

Wie stehen Sie zum Thema „Staatstrojaner“?

Wir bekommen derzeit täglich ca. 125.000 neue schädliche Dateien herein, ohne Dubletten. Das ist eine gewaltige Menge. Wenn wir da Malware erkennen, dann schauen wir nicht nach, woher die kommt. Es steht ja auch in den seltensten Fällen drin „proudly presented by“. Wenn wir also einen Schädling erkennen, dann werden wir den auch als solchen behandeln und klassifizieren.

Wie sehen Sie denn die Abwehrmöglichkeiten gegen gezielte Angriffe? Kann man sich z.B. als Firma technisch gegen gezielte Angriffe überhaupt effektiv zur Wehr sezten?

Das ist eine sehr, sehr schwierige Frage, die man kaum pauschal beantworten kann. Klar ist, es steht und fällt alles mit der Qualität des Angriffs. Wenn der Angreifer weiß, welche Software bei seinem Ziel eingesetzt wird, auch welche Antivirensoftware eingesetzt wird, dann wird alles natürlich so getestet und entwickelt, dass der Angriff erfolgreich sein wird. Allerdings muss man auch hier das technische Ganze sehen: man kann als Behörde z.B. die Hürden sehr hoch setzen. Man kann durch geschickte  Gestaltung der Infrastruktur, durch Policies und Schutzregeln den Angriff schwierig machen. Zusätzlich dazu muss man das komplette Bild sehen. Es ist unumgänglich, die Mitarbeiter zu schulen. Den Mitarbeitern zu sagen „keine Dateianhänge von Unbekannten öffnen“ ist viel zu abstrakt. Man muss den Leuten das Große Ganze zeigen. Nur wenn die User ein Beispiel eines Angriffs sehen und die Problematik verstehen, dann können sie in einer realen Situation richtig reagieren. Man sollte zeigen, wie so etwas funktioniert und wie die Konsequenzen dann aussehen. Dazu muss man nicht zwingend technisches Verständnis vermitteln.

Mir erscheint die Situation fast wie ein Hase-und-Igel-Spiel.

Ist es ganz klar. Ein klassisches Wettrennen, Wettrüsten wenn man so möchte.

Dann wünschen wir Ihnen für die Zukunft noch viel Erfolg beim Rennen und bedanken uns für das Interview.