Wie sich gezielte Angriffe abwehren lassen

Bereits wieder unsicher

Doch auch der Wert der Erkennung sinkt bereits, da die die Autoren von Malware und die Kriminellen, die diese verbreiten, inzwischen verstanden haben, wie eine Sandbox-Analyse funktioniert. Entsprechend ändern sie das Verhalten ihrer Angriffsprogramme, damit sie nicht mehr so einfach erkannt werden können. Dazu können sie beispielsweise eine Eingabe des Benutzers fordern, die von der automatisierten Sandbox-Analyse-Komponente nicht geliefert werden kann. Im einfachsten Fall kann das ein vorgetäuschter Lizenzschlüssel oder ein Passwort sein, das in einer separaten Mail an den Empfänger gesendet wird.

Ein Anwender in der Personalabteilung wird sich vermutlich nicht einmal wundern, wenn ein Bewerber seine Unterlagen als verschlüsseltes Archiv sendet und das zugehörige Passwort in einer separaten Mail liefert. Sofern die Bewerbungsunterlagen Schadcode enthalten, kann der PC des Mitarbeiters nun kompromittiert werden. Für eine Sandbox-Analyse-Komponente wird es allerdings schwierig, das richtige Passwort automatisch einzugeben und den Schadcode zu erkennen.

Sandbox-Analyse-Funktionen werden heute von zahlreichen Herstellern angeboten. Firewall-Hersteller wie Check Point oder Palo Alto Networks haben eigene Module für ihre Firewalls. WatchGuard integriert die Lösung von Lastline in seine Firewall. Der Proxy-Hersteller Blue Coat hat dafür die Norman-Sandbox aufgekauft. Cisco bietet sein FireAMP-Produkt, und Hersteller wie FireEye, Cyphort, AhnLab, Lastline und andere haben eigenständige Appliances beziehungsweise Software-Lizenzen.

Ausgehenden Traffic analysieren

Eine andere Technik fokussiert nicht so sehr das eingehende Objekt, sondern die ausgehende Kommunikation. Die Ursprungsidee ist hier, dass Malware regelmäßig Kontakt zu einem Command-and-Control-Server (C&C-Server oder auch C2-Server) aufbaut, um dort entweder ausgespähte Daten abzuliefern, sich selbst zu aktualisieren oder Befehle abzuholen. Malware verwendet dafür oft DNS Tunneling. Das DNS-Protokoll ist für die Auflösung von Namen, beispielsweise aus URLs zu IP-Adressen, zuständig. Bei einem DNS Tunnel wird die ausgehende Kommunikation in DNS-Abfragen versteckt und die IP-Adresse der Antwort enthält die eingehenden Daten. Da die meisten Unternehmen die Auflösung von externen Namen im internen Netz erlauben, kann somit ein ungehinderter Datenaustausch erfolgen, der von klassischer Sicherheitstechnik in der Regel weder bemerkt noch behindert wird.

Ebenso kann die Kommunikation zwischen dem Schadcode im internen Netz und dem externen C&C-Server über HTTPS, sprich mittels verschlüsselter HTTP-Kommunikation, erfolgen.

Spezialisierte Sicherheitsprodukte versuchen, genau diese versteckte Kommunikation anhand ihrer speziellen Eigenschaften zu erkennen. Die häufige Änderung des Host-Anteils einer Namensauflösung, die Herkunft und das Alter der angefragten Domäne, die Menge der übermittelten Daten und viele weitere Details fließen dabei in eine Bewertung ein.

Bekannte Hersteller, die diese Technik implementiert haben, sind FireEye und Damballa, wobei letzterer hier seinen Schwerpunkt setzt.