„An der Quelle sollst du sie erkennen!“

Ransomware - Immunität gegen Zero-Day-Mutationen

| Autor / Redakteur: Christian Hirsch* / Ulrike Ostler

So leicht ist Ransomware nicht zu erkennen, im Gegenteil: die Malware stellt sich schlafend. Die sonst üblichen Methoden der Bekämpfung sind wirkungslos.
So leicht ist Ransomware nicht zu erkennen, im Gegenteil: die Malware stellt sich schlafend. Die sonst üblichen Methoden der Bekämpfung sind wirkungslos. (Bild: @stockninja/Fotolia.com)

Jede Art, ob Tier oder Pflanze, muss sich kontinuierlich wandeln und an veränderte Bedingungen anpassen, um zu überleben. Gleiches gilt für von Cyberkriminellen entwickelte Malware. Dabei haben die Angreifer immer wieder kurzzeitig Vorteile, nämlich so lange, bis neue Abwehrmaßnahmen auf breiter Front eingesetzt werden.

Und immer, wenn neue Angriffstechniken entwickelt werden, um in Netzwerke einzubrechen, Daten zu stehlen, kritische Daten der Opfer zu verschlüsseln und dann Lösegeld zu verlangen, verstärken die Sicherheitsspezialisten ihre Verteidigungssysteme und führen neue Features ein, um den weiterentwickelten Angriffen entgegen zu treten. Danach müssen auch die Kriminellen ihre Malware erneut modifizieren, und der Zyklus beginnt von vorne.

Ein auffälliges Beispiel für diesen Zyklus von Adaption und Veränderung ist das Aufkommen so genannter Zero-Day-Mutationen. Darunter versteht man Malware, die sich selbst verändern kann, um der Entdeckung durch traditionelle, signaturbasierte Antivirus- und IPS-Systeme zu entgehen. Da solche Lösungen nur ihnen bekannte Malware blockieren können, die bereits analysiert und indiziert wurde, hat eine selbstmutierende Variante wesentlich bessere Chancen, unentdeckt zu bleiben und das Netzwerk zu infizieren.

Typischerweise hat eine solche Malware jedoch nur ein sehr kurzes Zeitfenster, um sich erfolgreich einzunisten. Die Hersteller von Sicherheitslösungen benötigen meist nur wenige Tage oder gar Stunden, um neue Varianten zu identifizieren und ihre Lösungen entsprechend zu aktualisieren. Doch solange dieses Fenster offen ist, sind die installierten Systeme gegenüber der Mutation wirkungslos.

Zero-Day-Mutationen werden derzeit vor allem bei Ransomware immer beliebter, gegen die Unternehmen sich aufgrund ihrer heimtückischen Verbreitungsweise ohnehin nur schwer verteidigen können. Wenn Ransomware nun auch noch automatisiert mutieren kann, wird die Verteidigung nochmals deutlich schwerer.

Die Analyse von Locky

Das Application and Threat Intelligence Team von Ixia hat kürzlich eine Zero-Day-Variante der Ransomware-Familie „Locky“ analysiert, die fortschrittliche Verschleierungs- und Umgehungstechniken verwendet, um sich an signaturbasierten Sicherheitslösungen vorbei zu schleichen. Als das Team diese Variante entdeckte, waren weniger als 10 Prozent der Antivirenlösungen in der Lage, diese zu entdecken – was eine Erklärung dafür ist, das Locky im zweiten Quartal 2016 als größte Gefahr für die Netze identifiziert wurde. Um zu verstehen, warum diese Malware so effektiv ist, ist eine genauere Betrachtung ihres Infektionsprozesses erforderlich.

Die jüngste Version dieser Malware nutzt einen mehrstufigen Prozess, um Netzwerke zu infizieren. Dieser beginnt mit einer klassischen, aber gezielten Phishing-Mail mit einem scheinbar harmlosen Anhang. Dieser enthält ein Makro, das so programmiert wurde, dass es selbsttätig mutiert, um den klassischen Sicherheitslösungen zu entgehen.

"Locky" ist seit dem ersten Auftreten noch immer der bekannteste Fall beziehungsweise die bekannteste Familie von Ransomware.
"Locky" ist seit dem ersten Auftreten noch immer der bekannteste Fall beziehungsweise die bekannteste Familie von Ransomware. (Bild: @WSF/Fotolia.com)

Öffnet der Empfänger der Phishing Mail das Dokument, wird das Makro aktiviert und verbindet sich mit dem Server des Angreifers, um die eigentliche Ransomware auf die Maschine des Opfers herunterzuladen. Dabei schreibt das Makro die Ransomware während des Download-Vorgangs um.

Die Datei, die über das Netzwerk gesendet wird, ist daher harmlos, bis sie den PC des Benutzers erreicht. Erst dort angekommen offenbart sie ihre wahre Natur, verschlüsselt alle Daten auf den lokalen Laufwerken und auch den zugänglichen Netzwerklaufwerken und fordert zur Lösegeldzahlung auf.

Diese mehrstufigen Attacken sind vor allem deswegen so gefährlich, weil sie auch der Entdeckung durch virtualisierte Sandboxes entgehen, die von Unternehmen zur Erkennung neuester Malware eingesetzt werden, für die es noch keine Signaturen gibt. Die meisten Sandboxes melden Makros nicht als gefährlich und überprüfen zudem nur E-Mail-Verkehr. Sobald das Makro jedoch auf dem PC des Nutzers aktiviert wurde, nutzt es andere Wege, um die eigentliche Malware herunterzuladen, und umgeht so die Sandbox vollständig.

Maßnahmen gegen Zero-Day-Mutationen

Doch noch ist nicht alles verloren. Es gibt tatsächlich andere Herangehensweisen, um Zero-Day-Mutationen zu blockieren. Dabei betrachtet man sowohl, was an das Netzwerk gesandt wird, als auch den Ursprung dieser Sendung.

Solche Abwehrmaßnahmen basieren auf der Tatsache, dass bösartige IP-Adressen – also solche, von denen bekanntermaßen Malware oder Spam versendet wird beziehungsweise Botnets kontrolliert werden – relativ gut bekannt und daher einfach zu identifizieren sind. Und es ist der absolute Ausnahmefall, dass solche `bösen´ IP-Adressen plötzlich zu guten und vertrauenswürdigen mutieren.

Der Grund dafür ist, dass IP-Adressen für Server der Cyber-Kriminellen knapp sind. Hacker müssen entweder einen einzelnen Server finden und kompromittieren (und ihn sich gegebenenfalls mit anderen ´Kollegen` teilen), oder über Manipulationen im Internet-Routing einen ganzen IP-Adressbereich übernehmen.

Beides ist nicht einfach, und so werden einmal kompromittierte IP-Adressen in der Regel immer wieder für kriminelle Aktionen verwendet. Selbst brandneue Mutationen sind daher fast zwangsläufig eng von einer relativ kleinen Anzahl gut bekannter IP-Adressen abhängig. Klein ist dabei aber wirklich relativ: Es geht um eine zig Millionen aus dem Gesamtbestand von 4,3 Milliarden IPv4-Adressen.

Aus gut wird böse und bleibt

Da, wie gesagt, aus bösen nur im extremen Ausnahmefall gute Adressen werden, kann sämtlicher Verkehr von diesen bekannten Adressen ohne weiteres komplett geblockt werden. Dies erfolgt über ein „Threat Intelligence Gateway“, das kontinuierlich und in Echtzeit sowohl Quell- als auch Ziel-IP-Adresse des gesamten eingehenden und ausgehenden Verkehrs überwacht.

Der Effekt: Verkehr von als bösartig bekannten IP-Adressen wird dann automatisch blockiert. Aktuellste Informationen über bösartige Adressen erhält das Gateway ebenfalls in Echtzeit von einem Intelligence Service, der die Liste bösartiger IPs fortlaufend aktualisiert.

Auf diese Weise entsteht ein sehr wirksamer Schutz auch gegen Zero-Day-Mutationen von Ransomware. Selbst wenn der Anwender entgegen aller Richtlinien und Vorsichtsmaßnahmen das Attachment mit dem Makro öffnet, wird kein Schaden entstehen.

Einbau von Gateways

Sobald das Makro versucht, sich mit dem Server des Angreifers zu verbinden, um die eigentliche Locky-Software herunterzuladen, wird dieser Zugriffsversuch aufgrund der bekannten IP-Adresse des Servers zuverlässig blockiert. Ein Threat Intelligence Gateway kann auf die gleiche Weise auch Zugriffsversuche `schlafender´ Infektionen auf externe C&C Server (Command & Control) von Botnets verhindern.

Konventionelle Abwehrmaßnahmen konzentrieren sich vor allem auf die Art der Malware und auf ihren Übertragungsweg. Kriminelle wissen das natürlich genau und versuchen, diese mit Zero-Day-Varianten zu umgehen. Die Ergänzung um einen zusätzlichen Erkennungsvektor, nämlich die IP-Adresse der Malware-Quelle, macht Netzwerke erheblich resistenter auch gegen neueste Sicherheitsrisiken.

* Christian Hirsch ist Systems Engineer und Security-Spezialist bei Ixia.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44281825 / Software)