Sicherheitsspezialisten erwarten mehr Spam, Hackerangriffe auf Videoübertragungen und Webseiten, die Passwörter entwenden

Security 2007 – McAfees Avert Labs benennen die Top 10 zukünftiger IT-Bedrohungen

06.12.2006

Parasitäre Malware schafft das Comeback

Obwohl parasitäre Malware weniger als zehn Prozent der gesamten Malware ausmacht (90 Prozent der Malware sind statisch), scheint diese Technik ein Comeback zu erleben. Parasitäre Schädlinge sind Viren, die existierende Dateien auf einem Datenträger modifizieren und ihren Code dort in eine Datei einfügen. Wenn der Anwender dann eine infizierte Datei aufruft, startet parallel der Virus. W32/Bacalid, W32/Polip und W32Detnat waren in 2006 drei häufig auftretende polymorphe parasitäre Malware-Programme. Sie verfügen über "Tarnkappenfähigkeiten" und versuchen, Trojaner von kompromittierten Webseiten herunterzuladen.
Die McAfee Avert Labs haben unlängst auch den Payload von W32/Kibik.a identifiziert und überwacht. Diese Malware ist ein parasitärer Zero-Day-Exploit mit Rootkit-Heuristiken, Verhaltenserkennung und IP-Blacklists – allesamt wichtige Themen der letzten Jahre. W32/Kibik.a ist rein von der Funktionsweise her betrachtet ein bemerkenswertes Beispiel für das „Überleben“ von IT-Schädlingen in der von starkem Wettbewerb geprägten Umgebung von heute. Mit der unauffälligen Installation über ein Zero-Day-Exploit, dem unbemerkten Vorhandensein auf dem befallenen Rechner sowie der unauffälligen und harmlos aussehenden selbstständigen Google-Suche, könnte diese Malware möglicherweise im nächsten Jahr einen neuen Trend bei den skalierbaren und remote gesteuerten Schädlingen (Botnets) starten. Es ist aufgrund der Stealth-Elemente der Lösung daher kein Wunder, dass viele Sicherheitsspezialisten bis jetzt nicht dazu in der Lage waren, W32/Kibik.a zu erkennen und zu beseitigen.

Zahl der Rootkits auf 32-Bit-Plattformen steigt

Glücklicherweise steigt nicht nur die Zahl der Rootkits, sondern auch die Leistungsfähigkeit der Schutz- und Wiederherstellungsprogramme. Auf 64-Bit-Plattformen, und hier vor allem bei Vista, sind die Malware-Trends schwierig vorauszusagen, da sie von der Gesamtakzeptanz der 64-Bit-Systeme abhängen. Generell erwarten die McAfee Avert Labs aber
• einen zumindest kurzfristigen Rückgang bei den Kernel-Mode-Rootkits - Malware-Autoren werden aber neue Techniken entwickeln, um PatchGuard auszuhebeln.
• eine Zunahme der Verbreitung von User-Mode-Rootkits und von User-Mode-Malware im Allgemeinen, zumindest aber eine größere Bedeutung von 64-Bit-Malware, da PatchGuard die weit entwickelten heuristischen und Verhaltenstechnologieansätze unterbindet, mit denen die meisten Sicherheitssoftwarelösungen arbeiten. Diese Situation wird bis zum Erscheinen des Vista Service Packs 1 anhalten, mit dem MicrosoftMicrosoft neue APIs einführen will. Dieser Prozess kann aber auch durchaus länger dauern, je nachdem wie groß der Aufwand ist, den die Sicherheitsanbieter beim Re-Engineering betreiben müssen. Auch die Akzeptanz das Service Pack 1 durch den Kunden wird dann bei der Verbreitung neuer Schutzfunktionen eine große Rolle spielen.

Vulnerabilities weiterhin das Damoklesschwert

Die Zahl der erkannten Vulnerabilities wird aller Wahrscheinlichkeit nach im nächsten Jahr erneut zunehmen. Bislang hat Microsoft im Jahr 2006 140 Verwundbarkeiten im Rahmen seines monatlichen Patchprogramms bekannt gegeben. Die McAfee Avert Labs gehen davon aus, dass diese Zahl weiter aufgrund von Prämienprogrammen steigt, das Forscher dafür belohnt, Vulnerabilities zu finden. Ein weiteres Argument, das für diese Annahme spricht, ist der verstärkte Einsatz von Fuzzern. Fuzzer ermöglichen das Testen von Anwendungen im großen Stil. Dieses Jahr hat Microsoft bereits mehr kritische Vulnerabilities beseitigt als in den Jahren 2004 und 2005 zusammen. Die Gesamtsumme der Jahre 2004 und 2005 von 62 kritischen Verwundbarkeiten wurde bereits im September 2006 überschritten.
Die McAfee Avert Labs stellen außerdem einen Trend zu Zero-Day-Angriffen kurz nach den monatlichen Patch-Tagen von Microsoft fest. Seitdem die Patches nur noch einmal monatlich veröffentlicht werden, haben Hacker die Möglichkeit, Zero-Day-Microsoft Exploits kurz nach dem monatlichen Patch-Dienstag herauszugeben, um so das "Window of Exposure" der Vulnerability zu maximieren.
Alles zu Microsoft auf CIO.de

Zur Startseite