Schlüsselwort-Archiv: zielgerichtete Attacken\

K-LOVE UND KISSES 2014 – TEIL 2: ALPHA, BETA, ZETA.

Willkommen zurück!

Was es sonst noch Neues unter der Motorhaube von Kaspersky Internet Security 2014 (KIS) gibt? Der heutige Stargast ist dieZETA-Shield-Technologie.

Ich denke, ZETA Shieldkann man am besten als High-Tech-Antiviren-Mikroskop bezeichnen, mit dem die listigsten Schadprogramme entdeckt und eliminiert werden können, die sich tief im Inneren komplizierter Dateien verstecken. Kurz gesagt ist es unsere einzigartige Verteidigungstechnologie gegen bisher unbekannte Bedrohungen, die Cyber-Seuchen selbst an den unerwartetsten Orten findet.

Um das Konzept besser erklären zu können, stellen wir uns einmal traditionelle russische Puppen, die so genannten Matrioschkas, vor.

Ein Antivirus sollte dieverschachtelte Essenz eines Schadprogramms auspacken können, wie bei einer russischen Puppe. Doch das ist nicht so einfach.

Man macht eine auf und findet darin eine andere, und darin eine weitere, und so weiter. Und wenn man darüber spricht, wo und wie sich Schadprogramme verbergen, passt dieser Vergleich sehr gut. Schadprogramme versuchen mit aller Macht, sich in ihrer Umgebung zu verstecken und nutzen dafür sogar digitale „plastische Chirurgie“, um ihr Aussehen zu verändern und sich vor Antivirus-Programmen zu verstecken. Der Schädling schreibt sich selbst in Archive, Multimedia-Dateien, Office-Dokumente, Skripte, usw., usw. – die Möglichkeiten sind dabei endlos. Die Aufgabe des Antiviren-Programms ist es, in all diese verschiedenen Objekte hinein zu sehen, ihr Inneres zu durchleuchten und das Schadprogramm zu finden.

Und das ist alles? Nun… so einfach ist das Ganze leider nicht.

Antivirus-Programme können schon lange auch komplizierte Dateien auseinandernehmen. So haben andere Firmen zum Beispiel seit den frühen 1990er Jahren unsere Antivirus-Engine lizenziert, vor allem wegen ihrer Fähigkeit, Archive und gepackte Dateien auspacken zu können. Doch das Auspacken ist nur ein Teil der Arbeit. Man braucht auch ein Instrument, das schlau genug ist, solche komplizierten Dateien nicht nur auseinander zu nehmen, sondern diese „Matrioschkas“ auch analysierenkann und versteht, welche ihrer Inhalte was tun, welche Verbindungen zwischen unterschiedlichen Ereignissen bestehen, und das natürlich eine finale Diagnose stellen kann. Dies am besten proaktiv – also ohne klassische Signaturen und Updates. Das ist ein bisschen wie die Detektivarbeit beim Aufspüren potenzieller binärer Kampfstoffe. Solche Waffen bestehen aus individuellen Komponenten, die alle für sich genommen harmlos sind, aber zu einer tödlichen Waffe werden können, wenn man sie zusammenbringt.

Und genau da kommt ZETA Shield ins Spiel.

Und auch gerade rechtzeitig, da die Zahl und Verdorbenheit sowohl von zielgerichteten als auch von Zero-Day-Attacken immer mehr ansteigen. Und genau für den Umgang mit diesen Bedrohungen wurde ZETA Shieldentwickelt (ZETA = Zero-Day Exploits & Targeted Attacks).

ZETA Shield

ZETA Shield ist eine weitere Neuerung in KIS 2014, die von unseren Business-Lösungen übernommen wurde – die andere ist der Modus für vertrauenswürdige Programme. ZETA tauchte ebenfalls zunächst in unseren Firmenlösungen auf, wo sich die Technologie beweisen konnte und nun für unsere Heimanwender-Produkte adaptiert wurde. Und soweit ich weiß, ist dies die erste Anwendung so einer Technologie in einem Produkt für Heimanwender.

Die Arbeit von ZETA kann in zwei Ebenen eingeteilt werden:

Zuerst der mechanische Teil – das Ziel muss auseinandergenommen werden. Ein Word-Dokument kann zum Beispiel eingebettete Objekte enthalten – andere Dateien, Flash-Dateien, andere Dokumente und sogar Installationsdateien für Betriebssysteme oder eine Virensammlung – wirklich alles ist möglich! Unsere Aufgabe ist es, die Absichten all dieser Objekte herauszufindenund sie zu klassifizieren (und diese Dinger lieben es, sich zu verkleiden!).

Dann wird es richtig interessant… Die heuristische Analyse kommt hinzu – wägt die Inhalte ab, prüft die Verschachtelung und die Beziehung der Objekte untereinander, bewertet ihre Ähnlichkeit zu Bedrohungsbeispielen, die früher entdeckt wurden, findet Anomalien, und fällt eine Entscheidung darüber, wie gefährlich eine bestimmte Datei ist (also ob es sich um eine binäre Waffe handelt oder nicht).

ZETA Shield arbeitet eng mit anderen Schutztechnologien zusammen. Dadurch trifft es fundiertere (bessere) Entscheidungen.

Diese Entscheidung wird gemeinsam mit unserem Cloud-basierten Kaspersky Security Network (KSN) gefällt, das dem Antiviren-Programm Statistiken zu ähnlichen verdächtigen Symptomen auf den Computern anderer Nutzer gibt.Über das KSN erkennen wir das Ausmaß und die geographische Verteilung von Bedrohungen, können die typischen Anomalien einer zielgerichteten Attacke identifizieren und erhalten viele weitere nützliche Daten, die auch unseren Anwendern in Zukunft helfen können.

Noch ein Vergleich: Was ZETA Shieldzunächst macht, ähnelt dem Identifizieren eines Autos über seine Einzelteile. Plastik-Chassis? Motorrad-Motor? Deutsch? Muss ein Trabant sein. Ganz einfach!

Doch was als nächstes kommt – also das Zerlegen des Trabant in seine Einzelteile und deren Analyse, um zu sehen, wie jedes einzelne Teil funktioniert – benötigt schon mehr Hirnschmalz.

Nehmen wir als Beispiel die zielgerichtete Attacke vom März dieses Jahres: Den Opfern wurden RTF-Dokumente mit vielversprechenden Titeln wie „Finanzergebnis der ersten neun Monate 2012“ geschickt, angeblich von der Rubin Submarine Manufacturing Company (ja, diese Art des Social Engineering funktioniert immer noch). Tief in dem Dokument waren ein Exploit sowie ein Malware Dropper versteckt. Doch – und da liegt der Hund begraben – die Antivirus-Software, die von den Opfern benutzt wurde, erkannte diese Schädlinge nicht, da die Cyberkriminellen sie in einem ganzen Haufen Müll sehr gut versteckt hatten! ZETA Shield erkannte das fragliche RTF-Dokument andererseits sofort als schädlich!

ZETA Shield

Eine wichtige Funktion dieser Technologie in einer Firmen-Umgebung ist die Fähigkeit, nicht nur einzelne Dateien auseinander zu nehmen, sondern auch Datenströme. Am Ende des Tages ist jede Datei ein Teil des Gesamtbilds, und durch den Blick auf das Gesamtbild (aller Komponenten einer binären Waffe) ist es möglich, kompliziertere Beziehungen zu erkennen und fundiertere (bessere) Entscheidungen zu treffen.

Leider musste ZETA Shield bei KIS 2014 etwas eingeschränkt werden – aus Gründen der Leistungsfähigkeit: Die Heimanwenderversion arbeitet nur mit Dateien und nur im On-Demand-Modus. Doch für die richtige Computer-Hygiene (d.h. die regelmäßige vollständige Überprüfung des Computers) ist sie immer noch ein wichtiges Element zur Verteidigung der Heimanwender vor zielgerichteten Angriffen. (Zum Beispiel werden hochrangige Manager nicht nur im Büro, sondern auch auf ihren privaten Computern angegriffen. Zu Hause haben sie aber leider nicht den Schutz wie im Unternehmensnetzwerk. Und genau da ist ZETA Shieldperfekt, da es zusammen mit demModus für vertrauenswürdige Programmeund dem automatischen Schutz vor Exploits zuverlässig alle Angriffe blockiert, die Sicherheitslücken ausnutzen.)

Die logischen Fragen dabei sind (i) warum packen wir diese clevere Server-Technologie in ein Heimanwender-Produkt, und (ii) wer zielt mit einer zielgerichteten Attacke auf einen privaten Computer (oder auch auf Computer in einer kleinen Firma)?

Zunächst ein wichtiger Punkt:

Zielgerichtete Attacken werden nicht nur gegen Regierungen, Politiker und große Unternehmen durchgeführt. Jederkann zum Opfer werden. Und deshalb denken wir, dass Schutzmaßnahmen gegen zielgerichtete Attacken auch in Produkten für Heimanwender enthalten sein sollten.

Viele glauben, dass sich zielgerichtete Attacken immer gegen Regierungen, militärische Einrichtungen, kritische Infrastrukturen oder Politiker richten. Und wenn sie auf Firmen abzielen, dann zumindest auf große Konzerne wie Microsoft. Und oft herrscht auch der Glaube, dass die unglaubliche Komplexität solcher Attacken es wert ist… von Hollywood unsterblich gemacht zu werden.

Nein. Und nein.

Der Grund für die erste falsche Annahme kann dadurch erklärt werden, dass die Medien nur über Angriffe auf höchster Ebene berichten. Und der Grund für die zweite Fehlannahme kommt von der Menge unverständlicher technischer Ausdrücke, oder – im Gegensatz dazu – der fehlenden Information über solche Vorfälle. Damit ist es nur logisch, dass viele denken „Aha, sie haben ein Ministerium angegriffen, und für Ministerien arbeiten Top-Sicherheitsspezialisten mit guten Schutztechnologien, also müssen zielgerichtete Attacken von echten Computer-Genies entwickelt werden“.

Doch in Wirklichkeit kann jeder Anwender und jede Organisation zum Opfer einer zielgerichteten Attacke werden, wie die Possen der Winnti-Hacker-Gruppe oder die Existenz kommerzieller Spyware wie FinSpy beweisen. Vergessen Sie nicht, dass Computer-Bedrohungen manchmal so unkontrollierbar wie eine Grippe sind – eine zielgerichtete Attacke kann leicht außer Kontrolle geraten und viele Unschuldige treffen (manchmal sogar jemanden aus dem eigenen Lager!).

Und wenn es um die anscheinende Komplexität zielgerichteter Attacken geht, trifft das Wort ‚anscheinend‘ den Nagel auf den Kopf. Es ist schon richtig, dass es komplizierte Cyber-Operationen gibt (etwa Stuxnet und Flame). Doch die große Mehrheit der Angriffe besteht aus Kombinationen bekannter Methoden, gewürzt mit ein bisschen Social Engineering. Und es wird sogar leichter und billiger. Sie können sich heute für etwa 1.000 Dollar Exploit-Kits kaufen und wie bei einem Baukasten zusammenstellen.

Mit ZETA Shield sind wir für die Zukunft gerüstet. Und Sie sind es mit uns.

Kommen wir zum Schluss noch zum Hauptgrund, warum wir eine „clevere Server-Technologie“ und den Schutz auf mehreren Ebenen in unsere Heimanwender-Produkte eingebaut haben: Jede Erfindung, auch eine böse, hat eine bestimmte Lebensdauer. Früher oder später werden viele Cyber-Bösewichte eine Möglichkeit finden, auch die kompliziertesten Attacken anzuwenden, die vorher nur den absoluten Spezialisten vorbehalten waren (ja, das ist die Kommerzialisierung zielgerichteter Attacken). Doch darauf sind wir vorbereitet: KIS kann schon heute den stärksten Angriffen von Morgen widerstehen!

Zusammengefasst kann man sagen: Wir sind für die Zukunft gerüstet. Und Sie sind es mit uns.