Risiken der Nichterkennung von Malware in komprimierter Form

Maliziöse Software (Malware) gefährdet die Vertraulichkeit, Integrität und die Verfügbarkeit von Informatiksystemen auf verschiedene Art und Weise. In diesem Beitrag wird der Frage nachgegangen, inwiefern durch Malware in komprimierter Form Risiken entstehen. Ausgewählte Risiken werden anhand eines Szenarios veranschaulicht und analysiert. Ein Standard-Schutzmechanismus vor Malware ist Anti-Malware-Software. Es wird eine Testmethodik vorgestellt, mit der systematisch die Güte der Erkennung von Malware in komprimierter Form durch Anti-Malware Software getestet werden kann. Abschließend werden mit dieser Methodik erlangte Testergebnisse vorgestellt. 1 Risiken durch Malware in komprimierter Form 1.1 Einleitung Maliziöse Software (Malware) gefährdet die Vertraulichkeit, Integrität und die Verfügbarkeit von Informatiksystemen auf verschiedene Art und Weise. Ein etablierter Schutzmechanismus gegen Malware ist der Einsatz von Anti-Malware Software. Diese kann gegenüber einer Testmenge mit maliziöser Software getestet werden, um eine Aussage über den gewährten Schutz zu ermöglichen. In diesem Beitrag wird der Frage nachgegangen, inwiefern Risiken der Umgehung des durch Anti-Malware Software gebotenen Schutzes durch Malware in komprimierter Form bestehen. Um die Risiken zu verdeutlichen, wird in einem Beispielszenario aufgezeigt, wie der Schutz durch komprimierte Malware umgangen werden kann. Im zweiten Abschnitt wird eine Testmethodik vorgestellt, mit der die Güte der Erkennung 202 H. Fangmeier, M. Messerschmidt, F. Müller und J. Seedorf komprimierter Malware von Anti-Malware Software gemessen werden kann. Abschließend werden Ergebnisse eines mit der vorgestellten Methodik durchgeführten Tests präsentiert. Prinzipiell besteht ein Risiko der Umgehung einer Anti-Malware Software immer dann, wenn ein Anti-Malware Programm ein bestimmtes Kompressionsformat nicht unterstützt. Dann kann mit diesem Format komprimierte Software unerkannt auf einen eigentlich geschützten Rechner gelangen. Dieses Risiko kann allerdings dadurch gemindert werden, dass die Anti-Malware Software den Rechner im on-access Modus schützt. Hierbei wird jeder ausführbare Code beim Zugriff durch eine im Hintergrund aktive Anti-Malware Software überprüft. So kann zwar komprimierte Malware unerkannt auf einen Rechner gelangen, aber bei der Ausführung (nach einer Dekompression) wird sie erkannt und eine Infektion verhindert. Ein zusätzliches Risiko besteht bei laufzeit-komprimierter Malware, da diese erst während der Ausführung dekomprimiert wird. Wird das entsprechende Kompressionsformat von der Anti-Malware Software nicht unterstützt, kann die Aktivierung der Malware auch im on-access Modus in der Regel nicht verhindert werden. Im durchgeführten Test konnte die Erkennung von laufzeit-komprimierter Malware aus Komplexitätsgründen jedoch nicht getestet werden. Es sind jedoch auch Szenarien denkbar, zum Beispiel in zentral administrierten Netzwerken, in denen nicht jedes Rechensystem durch eine lokal installierte AntiMalware Software im on-access Modus geschützt wird. Hier besteht nicht nur das Risiko der Verbreitung von unerkannter maliziöser Software, sondern auch das Risiko der Ausführung und damit der Infektion des betroffenen Systems. Ein weiteres Risiko besteht durch bestimmte, stark komprimierte Archive, die beim Entkomprimieren potentiell die Anti-Malware Software zum Absturz bringen und somit deren Verfügbarkeit gefährden [Bi03]. 1.2 Ein Beispielszenario Abbildung 1 zeigt ein beispielhaftes Szenario zur Veranschaulichung von potentiellen Risiken. In diesem Szenario als einzelne Rechner oder Server bezeichnete Symbole können entweder für einen einzelnen Computer dieses Typs oder aber für eine gesamte Gruppe dieser Rechner stehen (Cluster). Dieses ist für die Betrachtung in Bezug auf Malware nicht relevant, da ein Rechnercluster als infiziert betrachtet werden kann, sobald ein Rechner dieses Clusters infiziert ist. 1 Anti-Malware Programme können bösartige Software (Malware) grundsätzlich in zwei verschiedenen Betriebsarten erkennen: Im on-demand Modus wird die Software bei Bedarf (engl. "demand") aktiviert und zur Überprüfung (Scannen) von Dateien oder Verzeichnissen eingesetzt. Im on-access Modus ist die Software im Hintergrund aktiv und überwacht die Aktivitäten auf dem Rechner. Sie überprüft bei jedem Dateizugriff (engl. "access") automatisch im Hintergrund die entsprechende Datei auf bösartige Software. 2 Eine laufzeit-komprimierte (engl. „runtime compression“) Software besteht in der Regel aus einer kurzen Dekompressionsroutine gefolgt von dem komprimierten Code, der erst direkt vor der Aktivierung im Speicher dekomprimiert wird. Für die Erkennung von Malware sind dabei auch Verfahren zu berücksichtigen, bei denen der ausgeführte Code niemals komplett dekomprimiert vorliegt. Risiken der Nichterkennung von Malware in komprimierter Form 203 Rechner B, Rechner C und der Gateway-Server A befinden sich in einem lokalen Netzwerk (LAN). Rechner B ist ein Laptop, der sowohl gelegentlich im Firmennetz angeschlossen ist, als auch eine direkte Verbindung ins Internet haben kann (bei Einsatz außerhalb des betrachteten LANs). Rechner C entspricht einem typischen Büroarbeitsplatz. Er ist über das Gateway A an das Internet angeschlossen. Server/Gateway A ist der zentrale Punkt der Netzanbindung. Abbildung 1: Beispielszenario Generell besteht in einem lokalen Netzwerk das Risiko, dass auf einem mit AntiMalware Software geschützten Rechner Malware in komprimierter Form abgelegt aber nicht ausgeführt wird (vgl. 1.1), und diese dann von einem nicht geschützten Rechner des Netzwerkes aufgerufen bzw. kopiert und ausgeführt wird. Genauso kritisch ist ein Ausfall eines Anti-Malware Produktes auf einem der Rechner. Im Einzelnen sind zum Beispiel folgende Möglichkeiten der Ausbreitung von maliziöser Software und der Infektion von Rechnern in einem lokalen Netzwerk denkbar: Wird auf dem Gateway-Rechner A, der das Netzwerk schützen soll, ein Anti-Malware Produkt im on-access Modus eingesetzt, das ein bestimmtes Kompressionsformat nicht unterstützt, so kann mit diesem Format komprimierte Malware unentdeckt zu Rechner B und C gelangen. In diesem Fall würden alle Rechner ohne Anti-Malware Schutz infiziert. Selbst beim Einsatz eines Anti-Malware Produktes auf Rechner C im on-access Modus ist eine Infektion denkbar, falls dieses Produkt die (durchgelassene) Malware auch unkomprimiert nicht erkennt. Dies kann der Fall sein, wenn auf Rechner C ein anderes Produkt als auf dem Gateway eingesetzt wird, oder wenn die Software auf Rechner C aus anderen Gründen nicht schützt (veraltete Signaturen, Absturz, Fehlkonfiguration). Ein weiteres Risiko ist denkbar, wenn Rechner B außerhalb des Netzwerkes eingesetzt wird (zum Beispiel auf Reisen), und komprimierte Malware auf den Rechner gelangt, deren Kompressionsformat von der auf Rechner B laufenden Anti-Malware Software nicht unterstützt wird. In diesem Fall kann die Malware auf Rechner C gelangen und Rechner B Rechner C Server/Gateway A LAN Internet 204 H. Fangmeier, M. Messerschmidt, F. Müller und J. Seedorf dort zur Infektion führen (weil gar kein Anti-Malware Schutz besteht oder aus in obigem Beispiel genannten Gründen). Dies kann sogar dann passieren, wenn die auf dem Gateway-Rechner eingesetzte Anti-Malware Software Malware und Kompressionsformat erkennen würde, da eine direkte Verbindung im Netzwerk von Rechner B zu Rechner C besteht. Aus den obigen Ausführungen ist zu ersehen, dass sich kein Risiko durch komprimierte Malware manifestieren kann, solange jede Komponente des Netzwerkes durch AntiMalware Software im on-access Modus geschützt ist. Wenn allerdings, intentional oder unabsichtlich, mindestens eine Komponente im Netzwerk nicht geschützt ist (z.B. aus Performance-Gründen), kann eine Nichterkennung von komprimierter Malware zu einer Infektion des Netzwerkes führen. 2 Testen der Erkennung von komprimierter Malware durch AntiMalware Software Ein Standard-Schutzmechanismus auch gegen komprimierte Malware ist AntiMalware Software. Es stellt sich die Frage, inwiefern aktuelle Anti-Malware Programme ausreichend guten Schutz gegen die aufgezeigten Risiken bieten, indem sie Malware auch in komprimierter Form erkennen. Im anti Virus Test Center (aVTC) der Universität Hamburg wird seit Jahren regelmäßig Anti-Malware Software getestet. Um die Frage der Güte von Anti-Malware Programmen hinsichtlich der Erkennung von Malware in komprimierter Form zu untersuchen, wurde die im aVTC eingesetzte Methodik so angepasst, dass im Rahmen eines Tests von Anti-Malware Software folgende Fragen beantwortet werden können: • Welches Produkt unterstützt welches Komprimierungsformat ? Um eine Aussage zu machen, welches Anti-Malware Programm welchen Schutz hinsichtlich komprimierter Malware bietet, gilt es zu prüfen, welches Produkt welche Formate bei der Erkennung von maliziösem Code unterstützt. • Mit welcher Güte werden die Formate unterstützt ? Es wird nicht nur getestet, welches Produkt welche Formate unterstützt, sondern auch die Qualität der von den Produkten jeweils eingesetzten Dekomprimierungsroutine, um nachzuprüfen, ob die getestete Anti-Malware Software auch zuverlässig alle Malware in einem von ihr unterstützen Format erkennen kann, so sie diese Malware denn auch unkomprimiert erkennt. 3 sofern diese die Malware unkomprimiert erkennt und es sich nicht um eine Laufzeit-Komprimierung handelt 4 Es wird davon ausgegangen, dass die getesteten Produkte im Regelfall die komprimierte Malware dekomprimieren und dann mit ihren Signaturen vergleichen. Dies muss nicht der Fall sein: die Produkte können auch für jede Kombination aus Malware und Kompressionsformat eine eigene Signatur erstellen. Risiken der Nichterkennung von Malware in komprimierter Form 205 • Werden alle Versionen eines Archivformates erkannt ? Erfahrungen zeigen [Br03], dass sich einige Komprimierungsformate substantiell in unterschiedlichen Versionen des jeweiligen Formats unterscheiden. Es gilt zu verifizieren, dass ein Produkt auch Malware in allen Versionen eines Formates erkennt. Ist dies nicht der Fall, entsteht die Gefahr, dass sich der Benutzer der Software zu Unrecht auf die Unterstützung eines bestimmten Komprimierungsformates durch die eingesetzte Anti-Malware Software verlässt. • Unterstützen die getesteten Anti-Malware Programme auch unterschiedliche Modi eines Komprimierungsformates ? Neben unterschiedlichen Versionen bieten viele Komprimierungsprogramme auch die Kompression in unterschiedlichen Modi an (z.B. selbstextrahierende Archive, solide Archive, u.ä.). Damit sich der Benutzer auf die eingesetzte Anti-Malware Software verlassen kann, gilt es zu verifizieren, dass auch alle Modi eines Komprimierungsformates unterstützt werden. • Wie reagieren die getesteten Anti-Malware Programme bei Problemen mit komprimierten Dateien ? Sollte ein Anti-Malware Programm nicht in der Lage sein, eine komprimierte Datei zu überprüfen, muss dies dem Benutzer gemeldet werden, damit dieser nicht fälschlicherweise die betreffende Datei als nicht-maliziös erachtet. • Erkennen die getesteten Anti-Malware Programme auch Malware in mehrfach rekursiv gepackten Archiven ? Ein ausreichender Schutz durch Anti-Malware Software besteht nur dann, wenn diese auch mehrfach rekursiv gepackte Archive zuverlässig erkennt, da sonst der Schutz durch Anti-Malware Software leicht umgangen werden kann. Im Rahmen der vorgestellten Testmethodik wird nicht systematisch geprüft, inwiefern die Verfügbarkeit der getesteten Produkte durch denial-of-service Attacken mit bestimmten Archiven gefährdet werden kann (vgl. 1.1, [Bi03]). 2.1 Angewandte Testmethodik Im anti Virus Test Center (aVTC) der Universität Hamburg werden auf der Grundlage von ethischen Grundsätzen [Br01] in einer abgeschotteten Testumgebung Tests von Anti-Malware Software durchgeführt. Dazu wird eine Testmenge mit Malware auf einem Server bereitgestellt, an der die Testprodukte gemessen werden, indem per Netzwerkzugriff im on-demand Modus die Testmenge überprüft wird. Durch Auswertung der dabei erzeugten Meldungen (Logdateien) werden die Erkennungsrate (Anteil der erkannten Malware), die Erkennungsgenauigkeit (gleiche Identifikation gleicher Varianten) sowie die Erkennungszuverlässigkeit (zuverlässige Erkennung aller infizierten Samples einer Malwarevariante) berechnet. 5 Um die Güte der Kompressionsunterstützung zu testen, werden im Rahmen der vorgestellten Testmethodik Tests im on-demand Modus durchgeführt. [Si02] hat nachgewiesen, dass die so erzielten Ergebnisse auch für den Einsatz der Produkte im on-access Modus angenommen werden können. 206 H. Fangmeier, M. Messerschmidt, F. Müller und J. Seedorf Die Vergleichbarkeit der Produkte wird durch einen festgelegten Stichtag für die Produktversionen und Signaturen erreicht. Damit die erzielten Testergebnisse möglichst objektiv, nachvollziehbar und reproduzierbar sind, werden bei sämtlichen aVTC-Tests alle verwendeten Einstellungen, die verwendete Hardware, die Testumgebung und die Testmethodik ausführlich dokumentiert und veröffentlicht [AV04]. So können die erzielten Ergebnisse jederzeit reproduziert werden. Die Verzeichnisstruktur im aVTC ordnet die Musterdateien hierarchisch: \ \ \ \ . Zur automatischen Auswertung der von den Testprodukten erzeugten Protokolldateien wird im aVTC die Skriptsprache Perl verwendet. Die Verarbeitung einer Protokolldatei erfolgt in mehreren Schritten: • Protokolldatei in einheitliches Format umwandeln (Trennung des Protokolls in Pfad des getesteten Objektes, Meldung des Testproduktes, gemeldete Malwarebezeichnung für getestetes Objekt) • Protokolldatei aufteilen (infiziert gemeldete Dateien, nicht infiziert gemeldete Dateien, übrige Zeilen) • Erkennungsrate und andere Kriterien ermitteln • Überprüfung des Protokolls Ergeben sich bei der Auswertung der Protokolldateien Unstimmigkeiten oder hat ein Produkt nicht alle Objekte der getesteten Testmenge im Protokoll gemeldet, werden diese Objekte bis zu zwei Mal erneut getestet und ausgewertet. Durch dieses wiederholte Testen haben die Testprodukte eine weitere Chance, auch auf diese Objekte zuzugreifen, und andere potentielle Fehlerquellen können minimiert werden. Aufgrund der speziellen Fragestellungen (s.o.) zum Test von komprimierter Malware wurde die aVTC-Methodik angepasst. Statt der Erkennungsrate ist ausschließlich der Einfluss der Kompressionsformate auf die Erkennungsrate von Interesse, um Aufschluss über die Güte der Unterstützung von Kompressionsformaten zu gewinnen. Deshalb werden die als Testdaten verwendeten Malwaredateien sowohl unkomprimiert (Referenztestmenge) als auch in verschiedenen Kompressionsformaten überprüft. Aus der Differenz zwischen der Erkennungsrate unter Anwendung der jeweiligen Kompression und der unkomprimierten Referenzergebnisse ergibt sich die Qualität der Unterstützung des jeweiligen Kompressionsformats. Die Minderung der Erkennungsrate (in Prozentpunkten) pro Produkt und Kompressionsformat berechnet sich wie folgt: Minderung der Erkennungsrate Produkt, Format = Erkennungsrate Referenztestmenge Produkt – Erkennungsrate Produkt, Format Risiken der Nichterkennung von Malware in komprimierter Form 207 Die Kompressionsformate werden (soweit möglich) auf folgende Arten verwendet, um auch weniger offensichtliche Schwächen der Anti-Malware Produkte zu identifizieren: • Standard-Kompression • Die gesamte Referenztestmenge (inkl. Verzeichnisstrukturen) in einem Archiv • Archivdateien werden umbenannt (generischer Name ohne Dateiendung) • Erzeugung selbst-extrahierender Archive • Erzeugung von passwort-geschützten Archiven • Rekursive Archive: Jeder Komprimierungsvorgang wird 2x bzw. 9x durchgeführt Unterschiedliche Formatversionen und Spezialmodi einzelner Kompressionsformate werden im Rahmen des hier vorgestellten Tests als einzelne Kompressionsformate betrachtet. 2.2 Testdurchführung Der Test wurde auf einem isolierten Rechner mit einer lokal verfügbaren Testmenge auf Windows 2000 durchgeführt. Auf die Hypothese, dass die erzielten Testergebnisse auf andere Win32-Betriebssysteme übertragen werden können (z.B. Windows XP), wird im Rahmen dieses Beitrags nicht eingegangen. Entsprechend der Testmethodik des aVTC wurde vor jedem Produkttest ein System-Image des frisch installierten Betriebssystems neu aufgespielt, um Wechselwirkungen der verschiedenen Anti-Malware Produkte auszuschließen. Insgesamt wurden 25 Anti-Malware Produkte auf die Erkennung in 32 Kompressionsund Archiv-Formaten (inklusive verschiedener Format-Versionen) getestet. In dem hier beschriebenen Test wurden als Referenztestmenge „in-the-wild“ Fileviren verwendet, die in der Wildlist für Oktober 2001 [We01] aufgeführt sind. Durch die Verwendung dieser sich seit 2001 „in-the-wild“ befindlichen Viren ist die Annahme gerechtfertigt, dass nahezu alle Anti-Malware Produkte diese Samples in unkomprimierter Form einwandfrei erkennen können (vgl. [Br02]).