04.04.2007, 08:31 Uhr

Auf der Jagd nach dem Wurm

Computerwürmer sind eine Plage. Im besten Fall stören sie einzelne Applikationen, im schlimmsten Fall reiten sie Denial-of-Service-Attacken und legen ganze Firmen-netzwerke lahm. Mit einer Kombination aus reaktiven und proaktiven Techniken lässt sich das Gewürm aber in die Schranken weisen.
Tony Hosseiny ist Technical Manager Central Europe & UK von Radware.
Sie stören nicht nur den IT-Betrieb einer Firma. Sie können geschäftskritische Anwendungen regelrecht in die Knie zwingen. Die Rede ist von den gefährlichsten Schädlingen im Internet: den Computerwürmern. Dabei handelt es sich um Programme, welche sich ohne menschliches Zutun selbst vervielfältigen und wichtige Dateien infizieren. Diese Programme, beispielsweise Trojaner, werden oft mit der Absicht programmiert, eine einzelne Anwendung zu stören oder aber, um koordinierte DDos-Angriffe (Destributed Denial of Service) durchzuführen.
Typisch für Würmer ist, dass sie sich an verschiedenen Punkten von Netzwerkanwendungen einschleusen können. Klassischerweise verbreiten sie sich über das Internet-Gateway eines Unternehmens oder werden über infizierte Laptops der Mitarbeiter ins Firmennetzwerk eingeschleppt.

Exponentielle Selbstvermehrung

Die wohl aggressivste Spielart unter allen Computerwürmern ist jene, die sich selbst vermehrt. Der Wurm benutzt dabei normalerweise folgende Methode: Ein IP-Adressraum wird nach dem Zufallsprinzip gescannt, um einen anfälligen Rechner im Internet zu finden. Hat der Wurm einen entsprechenden Host erspäht, infiltriert das Wurmprogramm die anfälligen Anwendungen mit der Schadensroutine. Der zuerst infizierte Host und der neu infizierte Server scannen anschliessend den IP-Adressraum erneut - und infizieren weitere Rechner. So vermehrt sich der Wurm exponentiell.
Gegen dieses Schneeballprinzip mutet die Vermehrungsgeschwindigkeit über die anderen Verbreitungsarten direkt lahm an. Beispielsweise werden viele Würmer über E-Mail, Instant Messaging und Peer-to-Peer verbreitet. Auf diese Art und Weise geschieht eine Infektion in der Regel aber wesentlich langsamer, da es eines Menschen bedarf, der beispielsweise E-Mail-Anhänge öffnet oder Hyperlinks anklickt.
Eine andere, relativ neue Fortpflanzungsvariante für Schadprogramme ist der so genannte «Google Wurm». Dieser benutzt die Suchmaschine Google, um Webseiten nach einer bestimmten Version einer Serveranwendung zu durchsuchen, welche bekanntermassen anfällig für den Wurmcode ist. Diese Suchergebnisse nutzt der Wurm dazu, um sich automatisch selbst an diese Server zu versenden. So muss der Wurm nicht erst herausfinden, ob ein Server an-fällig ist oder nicht. Er überlässt Google die Arbeit.

Kampf dem Wurm: Reaktiv und proaktiv

Doch wie ist der Wurmplage beizukommen? Vorzugsweise, indem man das Getier bereits an seiner Verbreitung hindert. Die heutigen Lösungen enthalten diesbezüglich sowohl reaktive als auch proaktive Techniken. Reaktive Gegenmassnahmen beinhalten manuelle und aktive Patches von Systemen und Anwendungen, die bereits mit einem Wurm infiziert waren. Aktive Patches scannen die Anfälligkeit des Systems und laden sich aufgrund der Scanergebnisse automatisch die benötigten Softwareflicken aus dem Internet. Eine andere Technik zur Wurm-Erkennung ist die Signatur-Engine, die von Intrusion-Prevention-Systemen im Netzwerk verwendet wird. Eine Signatur-Engine vergleicht den Inhalt einzelner oder weniger aufeinanderfolgender Datenpakete mit den «Fingerabdrücken» vorheriger Attacken, arbeitet also ganz ähnlich wie Antiviren-Produkte. In diesem Fall müssen jedoch die aktuellsten Wurm-Fingerabdrücke unter den Signaturen enthalten sein. Damit die Signatur-Engine und das Patching zuverlässig funktionieren (ohne übermässig viele Fehlerkennungen oder falschen Alarm zu produzieren), müssen sie fortlaufend mit den neuesten Angriffssignaturen, anfälligen Betriebssystemen und Anwendungen aktualisiert werden.
Genau hier liegt aber der Knackpunkt: Würmer verbreiten sich normalerweise schneller, als die Signatur des Wurms erkannt und die entsprechende Datenbank aktualisiert werden kann. Um sich vollständig vor Würmern zu schützen, sollte daher zusätzlich eine sogenannte proaktive Technik eingesetzt werden. Diese erstellt Verhaltensanalysen, mit denen abnorme Aktivitäten aufgespürt werden können. Im Fall der sich selbst verbreitenden Würmer unterscheidet das System beispielsweise durch statistische Auswertung das normale Verhalten der Benutzer und Anwendungen im Netzwerk von Wurm-Aktivitäten. Typische Verhaltensparameter sind etwa die Anzahl der E-Mail-Empfänger, die der -Benutzer normalerweise in einer E-Mail anschreibt, die Anzahl der Verbindungen, welche jeder User innerhalb einer gewissen Zeit herstellt, die Art der Anwendungen, die ein Anwender üblicherweise öffnet, sowie die Hosts, zu denen im Regelfall eine Verbindung hergestellt wird.
Mit den Verhaltensanalysen werden Abweichungen von den statistischen Basisdaten entdeckt. Wird der abnorme Traffic mit der Verbreitung eines Wurmes in Verbindung gebracht, wird dies sodann genau gekennzeichnet und als Verbreitungsmuster des Wurms abgelegt. Wenn die Kennzeichnung exakt ist, können die entsprechenden Massnahmen zur Vorbeugung auch akkurat auf das Verbreitungsverhalten des Wurms getroffen werden, ohne den legitimen Traffic im Netzwerk zu stören.
Mit einer einzigen Technik können die heutigen Würmer nicht abgewehrt werden. Um die Würmer effektiv eindämmen zu können, sollten mehrere Techniken zum Einsatz kommen. Diese beinhalten proaktive oder verhaltensorientierte sowie reaktive und Signatur-Techniken. Das proaktive Verfahren soll den Schaden durch den Wurm aufs Netzwerk und auf die Anwendungen sozusagen vorbeugend mildern. So steht dem Systemadministrator mehr Zeit zur Verfügung, um die Signatur-Datenbank zu aktualisieren. Diese zusätzliche Zeit ermöglicht es ebenso, durch Aktualisierungen und Patches reaktive Verfahren für alle infizierten Host einzuleiten.
Weitere Informationen

Die Wurmaktivität und deren Auswirkungen lassen sich in drei Phasen einteilen:

- Geringe Verbreitung: In dieser Phase ist die Anzahl der infizierten Hosts noch klein, was zu einer geringen, vorläufigen Ver-breitungsaktivität des Wurms führt. Während dieser Phase spüren nur die einzelnen Clients die Auswirkungen auf den Computern und bemerken - abhängig von den -Eigenschaften des Wurms - die verschiedenen Betriebsstörungen. Der Wurm macht sich die CPU- und Speicherkapazität des Hosts zu Eigen, um sich zu verbreiten, oder benutzt den Host später als Zombie für einen koordinierten DDoS-Angriff.
- Mittlere Verbreitung: In dieser Phase ist die Anzahl der infizierten Hosts bereits enorm und betrifft hauptsächlich Server. -Öffentliche Server wie Web-, Mail- und FTP-Server werden durch die sich rasant ausbreitenden Infektionsversuche des Wurms betroffen - selbst wenn sie nicht anfällig sind, da die Infektionsversuche die Anwendungsressourcen belegen.
- Nach der Massenverbreitung: Diese Phase beginnt mit dem Ausbruch. Die Anzahl der infizierten Hosts ist riesig. Von nun an wirkt sich der Wurm hauptsächlich auf die Infrastruktur des Netzwerks aus. Einzelne Komponenten des Unternehmensnetzwerks wie Firewall, Switch und Router sind nicht mehr verfügbar, der Betrieb kommt zum Stillstand.
Tony Hosseiny



Das könnte Sie auch interessieren