Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Viren, Spyware, Datenschutz

Forscher warnen vor Gefahr durch Viren-Signaturen

mawe2 / 3 Antworten / Baumansicht Nickles

Mit Hilfe der von Antiviren-Software eingesetzten Signaturen könnten Angreifer gezielt Fehlalarme auslösen. Im schlimmsten Fall kann das dem Opfer das komplette Mail-Archiv kosten.

Quelle: www.heise.de

mawe2 meint:

Ich habe mir das jetzt ein paar Mal durchgelesen, den Sinn des Ganzen konnte ich aber nicht so recht erfassen...

Da wird also keine echte Malware (mit eigenen Schadroutinen) verbreitet sondern der Virenscanner wird stattdessen dazu animiert, als "Mittäter" bei der Datenvernichtung tätig zu werden. So weit ist das klar.

Ich frage mich nur, warum ein Angreifer erst mühsam Virensignaturen analysieren sollte um sie anschließend zu extrahieren und dann einen solchen Angriff durchzuziehen, wenn er viel schneller mit echter Malware zum Ziel kommt?

Ich frage mich außerdem, ob es tatsächlich Virenscanner gibt, die ohne Nachfrage und vollkommen irreversibel Dateien löschen, von denen sie glauben, dass sie malwareverseucht sind? Das wäre doch vollkommener Unfug, wer benutzt denn solche Programme?

Auf alle Fälle ist auch dies ein weiterer Beleg für die Gefahren, die von Antivirenprogrammen ausgehen können.

Auch wenn ich das Szenario eher für unwahrscheinlich halte: AV-Software, die selbständig Daten vernichtet, kann kein vernünftiger Mensch ernsthaft als Schutzmaßnahme haben wollen!

Gruß, mawe2

Hinweis: Vielen Dank an mawe2 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Forscher warnen vor Gefahr durch Viren-Signaturen“
Optionen

Latürnich ist das ein erstmal theoretischer Ansatz.

den Sinn des Ganzen konnte ich aber nicht so recht erfassen...


Man nehme so eine gefakte Signatur, klappere die PC ab und anhand der Reaktion des Rechners kann man abschätzen, ob und welche AV dort läuft - beating around the bush. Je nachdem, was so hintendran hängt, könnte ja so eine AV selber eine schnuckelige Lücke wie so ein klitzekleines 0-Day-Problemchen haben und über dieses hebt man die AV aus und hinterher klatscht man einen Verschlüsselungs-Trojaner auf den PC, zieht Daten ab usw.

Der umgekehrte Weg ist dann der, um durch den veränderte Code festzustellen, auf welche Folgen die AV anspricht und ab wann sie dann per Erkennen der Signatur nicht mehr reagiert.

Der Möglichkeiten gibt es da sicher viele und je nach Potential wäre das bei Massenangriffen eine Gelddruckmaschine wie bisher - Bezahlen gegen Daten und möglichst in Bitcoins.

Ich frage mich außerdem, ob es tatsächlich Virenscanner gibt, die ohne Nachfrage und vollkommen irreversibel Dateien löschen, von denen sie glauben, dass sie malwareverseucht sind? Das wäre doch vollkommener Unfug, wer benutzt denn solche Programme?


Wenn es so eingestellt ist, dass sofort gelöscht wird statt in Quarantäne zu schieben und wie gesagt, es geht bei solchen Sachen immer erst einmal um den Weg, so unwahrscheinlich dieser auch sein mag, daher die Aussage im Artikel "im schlimmsten Fall"...

So btw. macht Heise da eine nette Werbung für seine Security-Konferenzen. Leider bezahlt mir das niemand, privat ist mir das zu teuer und dann verstehe ich wieder nur Bahnhof;-)

bei Antwort benachrichtigen
Borlander mawe2 „Forscher warnen vor Gefahr durch Viren-Signaturen“
Optionen
Ich frage mich nur, warum ein Angreifer erst mühsam Virensignaturen analysieren sollte um sie anschließend zu extrahieren und dann einen solchen Angriff durchzuziehen, wenn er viel schneller mit echter Malware zum Ziel kommt?

Wenn Du Dir das zugrunde liegende Paper anschaust dann kannst Du erkennen, dass dort mehrerere Forschungsbeiträge enthalten sind.

Ich sehe bei signaturbasierten folgende Vorteile:

  1. Bessere Skalierung (da Payload für den Angriff wesentlich geringer)
  2. Kann in den Mail-Header eingebunden werden und somit auch "leicht" auf dem Transportweg realisiert werden
  3. Man kann damit ggf. Serverseitige Sicherheitsmechanismen umgehen (durch Nutzung von Siganaturen die von der Lösung auf dem Mailserver nicht erkannt werden, auf dem Client aber schon)
bei Antwort benachrichtigen
mawe2 Borlander „Wenn Du Dir das zugrunde liegende Paper anschaust dann kannst Du erkennen, dass dort mehrerere Forschungsbeiträge ...“
Optionen

OK, das Angriffszenario ist also nicht ganz aus der Luft gegriffen.

Mal schauen, welche Gegenmaßnahmen die Hersteller der rennomierten AV-Programme uns in der nächsten Zeit präsentieren werden?

bei Antwort benachrichtigen