Forscher nutzen Antivirensoftware für Cyberangriffe

Forscher der TU Braunschweig und der Georg-August-Universität Göttingen haben sich mit der Möglichkeit beschäftigt, Antivirensoftware für Cyberangriffe zu benutzen (PDF). Ihnen zufolge können Dateien auf Zielcomputern so verändert werden, dass sie von signaturbasierten Malware-Scannern als gefährlich eingestuft und dann gelöscht oder zumindest unbrauchbar gemacht werden, wie Bleeping Computer berichtet.

Sicherheitssoftware bewertet mögliche Schadprogramme unter anderem mithilfe von Virendefinitionen. Dabei werden Dateien auf bestimmte Muster gescannt, die dann mit den vorhandenen Malware-Signaturen verglichen werden. Bei einer Übereinstimmung wird die Datei als Malware eingestuft und gelöscht oder in Quarantäne verschoben.

Dem Forscherteam wiederum ist es gelungen, Kopien dieser Malware-Signaturen in legitime Dateien einzuschleusen, damit sie als schädlich erkannt werden. Ein Angreifer könnte auf diese Art die Antivirensoftware auf einem Zielsystem dazu bringen, legitime Daten zu zerstören oder zumindest vorübergehend unbrauchbar machen, um beispielsweise dem Geschäftsbetrieb eines Unternehmens zu schaden.

Aus diesem Ansatz heraus entwickelten die Forscher drei Angriffsmethoden, die sie mit fünf Malware-Scannern getestet haben, darunter das Open-Source-Produkt ClamAV sowie vier nicht näher genannte kommerzielle Produkte. Zum einen kann ein sogenannter „Antivirus Assisted Attack“ benutzt werden, um Log-Dateien von Anwendungen zu entfernen, mit dem Ziel, das Erraten eines Passworts durch Eingabeversuche zu verschleiern. Zum anderen lassen sich auf diese Art Daten wie E-Mails von Nutzern löschen. Den Forschern zufolge werden durch die gezielte Löschung von Cookies aber auch webbasierte Angriffe erleichtert.

Vesselin Bontchev, einer der Entwickler der Malware-Scanning-Engine F-Prot, stuft das von Antivirus Assisted Attacks ausgehende Risiko indes als gering ein. Schon seit Anfang der Neunziger Jahre seien Antivirenprogramme nicht mehr ausschließlich auf Malware-Signaturen angewiesen und nutzten zusätzliche Techniken, um Schadsoftware zu erkennen.

„Heutzutage werden deutlich fortschrittlichere Methoden benutzt. In einigen Fällen werden ‚Scan Strings‘ überhaupt nicht mehr benutzt. Meistens dienen Scan Strings nur als Hinweis für den Scanner, seine fortschrittlicheren aber langsameren Erkennungs-Algorithmen einzusetzen“, ergänzte Bontchev.

Zudem bezweifelt der Experte, dass sich die von den deutschen Forschern beschriebenen Angriffe tatsächlich in der Praxis umsetzen lassen. „Wie praktikabel ist das? Gut, gegen ClamAV und ähnlich schlechte Produkte ist es bestimmt möglich. Aber gegen besser gemachte Produkte?“

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.