Forscher warnen vor Gefahr durch Viren-Signaturen
Mit Hilfe der von Antiviren-Software eingesetzten Signaturen könnten Angreifer gezielt Fehlalarme auslösen. Im schlimmsten Fall kann das ein Opfer das komplette Mail-Archiv kosten.
Der wichtigste Mechanismus zum Erkennen von Schad-Software ist die Suche nach sogenannten Viren-Signaturen in Dateien. Forscher der TU Braunschweig und der Uni Göttingen weisen auf eine bislang wenig diskutierte Missbrauchsmöglichkeit dieser für einen Schädling typischen Byte-Sequenzen hin: Diese Signaturen lassen sich nutzen, um ganz gezielt Fehlalarme zu produzieren.
Um das zu konkretisieren, haben die Forscher zunächst ein Verfahren entwickelt, mit dem sie Antiviren-Scannern ihre Signaturen entlockten. Es besteht darin, in erkannter Malware systematisch einzelne Bytes zu ändern, um herauszufinden, ob diese für die Erkennung relevant sind. So konnten sie die für eine Erkennung relevanten Byte-Sequenzen von vier kommerziellen Antiviren-Programmen ermitteln.
Gezielte Fehlalarme
Indem sie diese Byte-Sequenz gezielt in Dateien einschleusten, konnten die Forscher dann auch tatsächlich Viren-Alarm auslösen und die Virenschutz-Software auf den Plan rufen. Im schlimmsten Fall entsorgt diese die scheinbar infizierte Datei ohne viel Federlesens. So gelang es den Forschern unter anderem, einen Virenwächter dazu zu provozieren, die komplette Mailbox eines Thunderbird-Nutzers zu löschen, erklärte Konrad Rieck gegenüber heise Security. Sie schickten ihm dazu lediglich eine Mail, in deren Header sie die typische Byte-Sequenz einer Malware platzierten. Ein anderes Szenario sei das gezielte Löschen von verräterischen Log-Dateien, erklären Christian Wressnegger et al in Automatically Inferring Malware Signatures for Anti-Virus Assisted Attacks.
Ob Antiviren-Software noch ein zeitgemäßer Schutz für unsere IT-Infrastruktur darstellt, diskutieren übrigens im Rahmen der diesjährigen heise-Security-Konferenz Komplexe Angriffe intelligent verteidigen der Sicherheitsexperte Felix von Leitner und versierte Experten aus der AV-Branche. (ju)