Defcon-Wettbewerb: Manipulation von Viren zur Umgehung von Scannern

Auf der Defcon-Sicherheitskonferenz im August dieses Jahres soll ein Wettbewerb starten, bei dem die Hacker existierende Schädlinge modifizieren sollen, sodass Virenscanner sie nicht mehr erkennen.

In Pocket speichern vorlesen Druckansicht 129 Kommentare lesen
Lesezeit: 3 Min.
Von

Für Unruhe bei den Antivirenherstellern sorgt ein Wettbewerb, der auf der diesjährigen Defcon-Sicherheitskonferenz vom 8. bis 10. August in Las Vegas stattfinden soll. Bei Race to Zero sollen die Hacker Samples existierender Schädlinge so modifizieren, dass sie von keinem Virenscanner mehr erkannt werden.

Dabei dürfen die Hacker den Wettbewerbsregeln zufolge jedoch nicht die Funktionsfähigkeit der Viren einschränken, sie müssen danach noch laufen wie zuvor. Der Wettbewerb soll die Grenzen signaturbasierter Erkennung aufzeigen und zudem "Spaß bringen". Die beim Wettbewerb eingesetzten Techniken zur Modifikation der Samples sollen US-amerikanischen Medien zufolge in mehreren Kategorien Preise abräumen können: "Die eleganteste Verschleierung", "Unsauberster Hack einer Verschleierung", "Komödiantischster Wert" und "Verdient Bier am meisten".

Die Umgehung der Signaturen von Virenscannern ist meist trivial. Es genügt, in Schädlingen an den richtigen Stellen einige Bytes zu verändern oder etwa den Befehl noop (No Operation) einzuschleusen und den Code damit zu verlängern, sodass eine statische, auf Zeichenketten basierende Signatur nicht mehr greift. Schwieriger dürfte es sein, die richtigen Stellen zu finden, sodass gleich alle Virenscanner nicht mehr anschlagen. Eine weitere Schwierigkeit ist, dass eigentlich alle Hersteller inzwischen auf generische Signaturen setzen, die gleich mehrere Schädlingsvarianten anhand charakteristischer Merkmale erkennen. Dennoch lassen sich rein signaturbasierte Scanner leicht hinters Licht führen.

Die Antivirenhersteller sind daher beunruhigt. Gegenüber US-amerikanischen Medien meinte etwa Dave Marcus von McAfee: "Forschung anzuregen, die in besseren Umgehungstechniken für Schädlingsschreiber mündet, ist keine gute Idee. Wie viele Identitäten werden verloren gehen und wieviele Daten von Anwendern gestohlen als Ergebnis der neuen Techniken und Umgehehungsvarianten, die dabei entstehen? Sicherheitsforschung sollte sich um bessere Erkennung drehen, nicht um Umgehung."

"Es wird mehr schaden denn nutzen", meint Paul Ferguson von Trend Micro gegenüber US-amerikanischen Medien. "'Responsible Disclosure' ist ein Ding, aber jetzt auch noch Leute zu ermutigen, dies als Wettbewerb zu veranstalten, geht doch etwas zu weit." Roger Thompson von AVG Technologies meint demnach "Es ist schwer, etwas Gutes darin zu sehen, Leute zu ermutigen, mehr Viren zu schreiben. Das ist eine dumme Idee." Man brauche nicht mehr Viren-Samples, die Antivirenhersteller verarbeiteten bereits rund 30.000 Stück am Tag.

Der Sinn des Wettbewerbs erscheint in der Tat etwas zweifelhaft. Nahezu alle Antivirenhersteller setzen neben der signaturbasierten Erkennung auch auf heuristische Erkennung und zunehmend auf dynamische Erkennung etwa durch Emulation in der Sandbox oder mittels Verhaltensanalyse im laufenden System. Die Signaturen sind dennoch unverzichtbar, um etwa mit einer sauberen Boot-CD wie der Knoppicillin, die zuletzt der c't 26/07 beilag, Systeme auf Schädlingsbefall zu untersuchen.

Siehe dazu auch:

(dmk)