Antiviren-Software versagt bei neuen VML-Exploits
Mit einem soeben veröffentlichten Modul für den Exploit-Baukasten Metasploit lassen sich VML-Exploits bauen, die von Antiviren-Software und Intrusion-Detection/Protection-Systemen im Netz nicht mehr erkannt werden.
Der Sicherheitsexperte Aviv Raff hat für Tests einen der verbreiteten VML-Exploits auf verschiedene Arten modifiziert. Bei Kombination mehrerer Änderungen erkannte ihn nur noch eines der auf Virustotal eingesetzten Antiviren-Programme. Zu ähnlichen Ergebnissen kommt auch HD Moore, der für das Framework Metasploit ein VML-Modul veröffentlicht hat. Bei Tests von heise Security funktionierten die damit erstellten Exploits zwar erst nach geringfügigen Anpassungen, sie wurden dann aber tatsächlich von keinem der rund zwei dutzend getesteten Scanner erkannt. Das bedeutet, dass jeder, der mit einem Kommandozeilen-Interface umgehen kann, sehr flexible Exploits erstellen und dann auf Web-Seiten einbetten kann. Umso dringender ist es, den gestern abend veröffentlichten Patch von Microsoft möglichst schnell einzuspielen.
Die Ergebnisse der Tests von Raff und Moore entsprechen den Erfahrungen von heise Security, nach denen es oft erschreckend einfach ist, Exploits durch geringfügige Eingriffe so zu modifizieren, dass zumindest die signaturbasierten Komponenten von Antiviren-Software nicht mehr anschlagen. Auch Moores Verschleierungstechniken sind kein Hexenwerk. So streut er beispielsweise zufällig Zeilenumbrüche, Leerzeichen und ähnliches in seinen Code ein. Das Versagen der Scanner ist unter Anderem darauf zurückzuführen, dass die Signaturen zumeist für die entdeckten Exploits und nicht allgemein für das Ausnutzen einer Schwachstelle erstellt werden. Und alternative Schutzmechanismen wie Behavioural Blocking stecken, wie auch ein Test in c't zeigte, noch in den Kinderschuhen (c't 14/2006, S. 222).
In der Antiviren-Community werden derartige Untersuchungen allerdings gar nicht gern gesehen; dort gilt das Erstellen modifizierter Schädlinge als Sakrileg (siehe auch Du sollst keine Viren bauen!). Bei einer Verabschiedung des Gesetzentwurfs gegen "Hacker-Tools" werden derartige Tests sogar illegal. Kriminelle Banden werden sich hingegen durch Gesetze vom Erstellen und Herunterladen von Malware-Baukästen kaum abhalten lassen.
Siehe dazu auch: (ju)
- VML Exploit vs. AV/IPS/IDS signatures von Aviv Raff
- Internet Explorer VML Fill Method Code Execution, Metasploit-Modulvon HD Moore
- Exploits für alle, Hintergrundartikel zu Metasploit auf heise Security
