zurück zur Übersicht

Antivirenhersteller Kaspersky Lab gehackt

experiment-220023Was haben Antiviren Hersteller wie Kaspersky und die Polizei gemeinsam?

Sie beide verwenden „Fahndungsfotos“ um Verbrecher auf der Straße zu schnappen und so Schaden abzuwenden. Natürlich haben die Antiviren Hersteller keine eigentlichen Fotos – stattdessen verwenden sie Dateisignaturen, um Malware schon vor der Ausführung zu erkennen und unschädlich zu machen.

Aber diese Vorgehensweise hat einen Nachteil, der auch der Polizei wohl bekannt ist: Nur passende Signaturen erkennen den echten Verbrecher, kleinste Änderungen am „Aussehen“ führen schon dazu, dass es nicht mehr möglich ist, eine genaue Identifizierung vorzunehmen. Ein Antivirus Programm ist nur so gut wie seine Signaturen. Diese müssen aber vor dem Scan bekannt sein. Es liegt also in der Natur der Sache, dass die Hersteller von Antivirus Signaturen immer hinterher laufen. Bei APT-Angriffen (Advanced Persistent Threat) wird genau diese Schwäche gezielt ausgenutzt.

In diesem Fall war ein Antivirus Hersteller selbst das Opfer. Die Firma Kasperski-Lab, Hersteller des Virenscanners  „Kaspersky“, wurden diese Woche Ziel eines Angriffes mit dem Nachfolger des Wurmes „Duqu“ – wiederum eine Weiterentwicklung des auf Industriesabotage ausgelegten „Stuxnet“ (mehr zu Stuxnet hier).

Die Signatur dieser ausgeklügelten Malware war bis Dato nicht bekannt und so wurde die Malware eher durch Zufall entdeckt:

„Kaspersky Lab geht davon aus, dass sich die Angreifer ziemlich sicher waren, dass es unmöglich sei, diese Cyberattacke aufzudecken. Der Angriff umfasste einige einzigartige und bisher unbekannte Merkmale und hinterließ so gut wie keine Spuren. Der Angriff nutzte Zero-Day-Sicherheitslücken. Nachdem die Attacke Domain-Administrator-Privilegien erhalten hat, verteilte sich die Malware im Netzwerk durch MSI (Microsoft Software Installer)-Dateien, die in der Regel von Systemadministratoren genutzt werden, um Software auf Windows Rechnern per Fernzugriff einzurichten. Der Cyberangriff hinterließ weder Dateien auf Festplatten noch änderte er Systemeinstellungen, was eine Entdeckung extrem schwierig machte. Der Ansatz und die Art und Weise des Vorgehens der Duqu 2.0-Guppe ist eine Generation weiter als alles andere, was in der Welt der APTs bisher entdeckt wurde.“

Virenscanner = überflüssig?

Ein Virenscanner ist immer noch essenzieller Teil jedes Sicherheitssystems. Doch vor derartigen fortschrittlichen Angriffen bietet eine signaturbasierte Lösung keinen Schutz. Dafür benötigt man eine Lösung, die von Angriffen und Malware verursachte Anomalien im Netzwerk frühzeitig erkennt und anzeigt. Solche Systeme (SIEM) korrelieren die Logs der Sicherheitssysteme im Netzwerk, um bei einem verdächtigen Verhalten sofort zu alarmieren und gegebenenfalls automatisierte Sofortmaßnahmen einzuleiten.

Das Cyber-Security-Defense-Team der iT-CUBE SYSTEMS AG entwickelt ständig neue Verhaltensmuster für SIEM Systeme verschiedener Hersteller, um Unregelmäßigkeiten im Netzwerk zu erkennen und so auch unbekannten Bedrohungen immer einen Schritt voraus zu sein.


Quelle: http://newsroom.kaspersky.eu/de/texte/detail/article/duqu-ist-zurueck/

Schreibe einen Kommentar