Wie Virusjäger den Schurken das Handwerk legen

Die Arbeit von Aviras Virenjägern

Um die Verbreitung von Schadsoftware zu verhindern, verwenden wir im APL Methoden, die auch bei der normalen Polizeiarbeit zum Einsatz kommen. In der Cyber-Welt werden aus menschlichen Lockvögeln “Honeypots” – Webseiten und ganze Netzwerke, die denen in realen Unternehmen täuschend ähnlich sehen und so Angreifer gezielt anlocken sollen. In Wirklichkeit sind die Honeypot-Umgebungen aber rein virtuell aufgebaut und werden akribisch von uns überwacht.

Verhöre von Verdächtigen werden durch Big Data Analysen ersetzt, in denen wir Millionen von Datensätzen analysieren und die resultierenden Muster grafisch darstellen. Bei der forensischen Analyse setzen unsere Pathologen Disassembler und Sandboxes ein, anstelle von Skalpell und Knochensäge. Die Intention ist aber die gleiche: Herauszufinden, wie sich der Virus verbreitet, wie er wirkt und welche Voraussetzungen er zum Propagieren benötigt.

Die Preisfrage: Wie lassen sich Viren in dem Moment erkennen, in dem sie entstehen?

Pro Tag entdecken und verfolgen unsere Experten etwa 130.000 bösartige Dateien und mehr als 20.000 infizierte Webseiten. Ständig erhalten die Computer und mobilen Endgeräte unserer Kunden über die Avira-Server Gegenmaßnahmen, um mit den neuen Bedrohungen fertig zu werden.

Virtuelle Eckkneipe für Hacker

Das Avira Protection Lab sammelt Informationen über Schadsoftware – und die Hacker, die die Software schreiben – indem die APL-Mitarbeiter Chat-Rooms, digitale Plauderecken im Internet, unterwandern, infizierte Webseiten überwachen und Schadsoftware analysieren. Auf welche Weise Aviras Teams in Chat-Rooms eindringen ist ein gut gehütetes Geheimnis, aber die wichtigste Methode um Schadsoftware einzusammeln ist branchenweit identisch: Über Honeypots.

Ein Honeypot oder Honeynet, wenn es um größere Umgebungen geht, ist eine geschickt gestellte und gut getarnte Falle, die Hacker anlocken soll. Die Idee dahinter ist immer, möglichst interessante und umfangreiche Dienste anzubieten, um dem Angreifer das Gefühl zu geben, dass er ein lohnendes Ziel gefunden hat. Meist werden dazu virtuelle Maschinen verwendet, digitale Konstrukte, die einen oder mehrere “echte” Computer simulieren, aber nur als Software auf einem Rechner laufen. Sehr große Umgebungen mit zahlreichen Honeypots und Honeynets werden Honeyfarm genannt.

Damit der Hacker anbeißt, werden Honeypots entweder mit plakativen Sicherheitslücken “gesalzen” oder gleich bekannte Trojaner auf den Systemen installiert. Die Virenjäger von Avira blicken dem Angreifer während seiner Attacken auf den Honeypot so genau wie möglich über die Schulter und lernen dessen Methoden und Werkzeuge kennen.

Automatische Angriffe

Hacker durchsuchen das Internet regelmäßig mit automatisierten Tools nach ungeschützten Computern und stoßen dabei mit hoher Wahrscheinlichkeit auf die getarnten Honeypots oder Honeynets. Findet das Tool des Hackers einen solchen Zugang, versucht es ebenfalls automatisch Sicherheitslücken in Betriebssystem und Anwendungen auszunutzen und sich einzunisten. Ist der digitale Brückenkopf installiert, suchen die Hacker nach geldwerten Informationen wie Kreditkartendaten, Kontonummern, Passwörtern oder Ähnlichem. Dazu werden unter anderem Key-Logger installiert, die Tastatureingaben aufzeichnen und Back-Doors, damit der Hacker jederzeit wieder auf das System zugreifen und es in einen Bestandteil eines Bot-Netzes zum Verteilen von Spam oder Schadsoftware verwandeln kann.

Damit der Honeypot nicht tatsächlich dazu missbraucht wird, Spam zu verteilen, was man als Downstream-Haftung bezeichnet, verhindern in der Regel versteckte Firewalls oder Drosselungsmechanismen Verbindungen nach außen im großen Stil. Natürlich sind auch Hacker misstrauisch und achten auf die angeblichen Tastatureingaben, Einträge in Logdateien und andere Aktivitäten im Honeynet. Oft sorgen Content-Generatoren für Mails, Dokumente und andere Spuren eines normal bevölkerten Netzwerks. Wichtig ist auch, eindeutige Hinweise auf mitlaufende Aufzeichnungen tunlichst zu vermeiden.

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.