Antiviren-Programme werden oft als wichtiger Schutzschild gegen Cyber-Bedrohungen angesehen, sind aber dennoch anfällig. Neuste Ereignisse zeigen, dass die Schutzlösungen selbst zu besonders interessanten Zielen für Cyber-Kriminelle geworden sind. Hier einige Erklärungen.
Man weiß nie genau, woher ein Cyberangriff kommen wird. Allerdings ist der Angriff auf Mitsubishi Electric im Jahr 2019 verblüffend: Cyber-Kriminelle nutzten eine Schwachstelle in ihrem... Antiviren-Programm. Genauer gesagt haben sie das Antivirenprogramm gekapert, um sich selbst hohe Privilegien zu gewähren und so ihre Kontrolle über infizierte Rechner auszuweiten. Und das ist keine Kleinigkeit: Denn ein gekapertes Antivirenprogramm wird den Cyberangriff nicht verhindern. Schlimmer noch, in einigen Fällen ist es sein Vorhandensein auf dem Posten, das einen Angriff erst ermöglicht. Diese neue Vorgehensweise sagt viel über die Entwicklung von Cyberattacken und die notwendigen Antworten darauf aus.
Warum ein Angriff auf ein Antiviren-Programm?
Dies mag zunächst unlogisch erscheinen: Gehen Cyber-Kriminelle nicht das Risiko ein, alle Alarme auszulösen, wenn sie ein Antivirenprogramm angreifen? „Angreifer haben lange Zeit versucht, sich vor Sicherheits-Lösungen zu verstecken, um ihre Operationen durchführen zu können“, berichtet Adrien Brochot, Product Manager bei Stormshield. „Aber da die Antiviren-Software immer ausgefeilter geworden ist, wird es für sie immer schwieriger. Daher besteht eine der aktuellen Techniken darin, das Antiviren-Programm zu deaktivieren, bevor eine bösartige Operation durchgeführt wird. Oder sogar mit Hilfe des Antiviren-Programms ihre eigenen Berechtigungen auf dem Rechner erhöhen.“
Daher besteht eine der aktuellen Techniken darin, das Antivirenprogramm zu deaktivieren, bevor eine bösartige Operation durchgeführt wird. Oder sogar mit Hilfe des Antiviren-Programms ihre eigenen Berechtigungen auf dem Rechner erhöhen
Adrien Brochot, Product Manager Stormshield
Denn die Erhöhung von Privilegien bleibt der Heilige Gral der Cyber-Kriminellen. „Bei einem klassischen Angriff beginnt man damit, die Kontrolle über einen ungeschützten Dienst mit einer niedrigen Berechtigungsstufe zu übernehmen“, sagt Sébastien Viou, Cyber-Evangelist Consultant bei Stormshield. Aber durch eine andere Schwachstelle kann man die Kontrolle über einen übergeordneten Prozess übernehmen, der es erlaubt, Codes oder Befehle auszuführen. Und dort kann man den Aktionsradius erweitern. Laut Sébastien ist dieser Ansatz „recht einfach einzurichten“. „Schwieriger ist es, die Schwachstellen zu finden.“ Es ist eine Suche, die Zeit brauchen kann, aber am Ende immer zu Ergebnissen führt, auch bei Schutzlösungen. Wenn es gelingt, den Virenschutz zu manipulieren, können Cyber-Kriminelle sogar hoffen, Zugang zu Administratorrechten auf einem Computer und dann zum Domain-Administrator zu erhalten. Oder wie das Antivirus zum bevorzugten Ziel von Cyber-Kriminellen wurde...
Vergrößerung der Angriffsfläche
Ein Antiviren-Schutz ist eine Software. Und Software bedeutet Codezeilen und mögliche Bugs, die sich zu Schwachstellen entwickeln können. „Beim Coden kommt statistisch gesehen auf 1000 Zeilen Code etwa ein Bug. Und in einer Software sind mehrere Tausend Zeilen Code enthalten. Fügt man also Software zu einem Gerät hinzu, vergrößert sich zwangsläufig die Angriffsfläche.“, unterstreicht Sébastien Viou. Das ist das, was wir als Risiko der Maßnahme bezeichnen: Zum Restrisiko wird das Risiko der von uns durchgeführten Maßnahme addiert. Auch wenn es sich dabei um eine Schutzmaßnahme handelt.
So hat eine aktuelle Studie von CyberArk erhebliche Schwachstellen in den meisten Schutzprogrammen aufgedeckt. Ein Dutzend Schwachstellen wurden von CyberArks Cybersicherheitsforschern identifiziert, darunter auch in den führenden Antivirenprodukten auf dem Markt. Ein gefundenes Fressen für Cyber-Kriminelle.
Angriff in drei Etappen
Ein Beispiel für eine weit verbreitete Schwachstelle zur Kaperung eines Antiviren-Programms betrifft symbolische Verknüpfungen von Dateien. Der Zweck dieser Methode ist es, die Aufmerksamkeit des Antiviren-Programms auf eine andere Datei als diejenige, die die Malware enthält, umzuleiten - oft eine der eigenen Dateien des Programms, um es so zu deaktivieren. Da die Aufgabe des Antiviren-Programms darin besteht, alle Dateien zu scannen, die auf dem Computer ankommen, wird es zwangsläufig die schädliche Datei scannen und versuchen, sie zu löschen. Aber wegen der symbolischen Verknüpfung, wird es stattdessen die „legitime“ Datei löschen. „Mit dieser Technik kann die Ausführung des Dienstes gekapert werden. Es ist die einfachste Ausnutzung, die mit ein paar Befehlszeilen zu erledigen ist“, bemerkt Sébastien Viou. Dies ist der erste Schritt bei einem Cyber-Angriff, der es dem Cyber-Kriminellen ermöglicht, im System Fuß zu fassen.
Sobald man die Admin-Kontrolle über eine Maschine hat, ist es relativ einfach, andere Maschinen im Park oder sogar das ganze System zu übernehmen
Sébastien Viou, Cyber-Evangelist Consultant bei Stormshield
Der zweite Schritt besteht darin, die Berechtigungsstufe zu erhöhen. Beispielsweise kann eine Anwendung, die ihre Ressourcen nicht ordnungsgemäß kontrolliert, eine vom Angreifer kontrollierte Dynamic Link Library (DLL) anstelle der eigenen laden, wodurch der Angreifer Code im Kontext der Anwendung mit hoher Privilegierung ausführen kann. Dieser Fehler reicht dann aus, um die berühmte Kettenreaktion auszulösen. „Die Sicherheitslösung hat die ganze Macht auf der Workstation. Sie hat die höchsten Rechte, um alle notwendigen Anwendungen blockieren zu können. Wenn man in die Verwaltungsebene eindringt, gibt man sich alle Rechte an der Maschine“, erklärt Adrien Brochot. „Und da Antiviren-Software in der Regel auf allen Computern des Unternehmens installiert ist, bedeutet das Auffinden einer ausnutzbaren Schwachstelle auf einem Computer, dass sie auch auf dem Rest des Systems ausgenutzt werden kann.“
„Hat der Administrator erst einmal eine Maschine in der Hand, ist es relativ einfach, andere Maschinen der Anlage, wenn nicht sogar das gesamte System, zu übernehmen. Deshalb wird AD in den Bouncebacks anvisiert.“, warnt Sébastien Viou. Dies ist die dritte Stufe des Angriffs: der Start des bösartigen Teils. „Die Angreifer versuchen, in den ersten Phasen diskret vorzugehen, um möglichst viele Rechner zu infizieren, bevor sie die eigentliche bösartige Dimension auslösen: Datendiebstahl, Blockierung von Arbeitsplätzen, Produktionsunterbrechung...“, analysiert Adrien Brochot. „Das ist in der Regel der Zeitpunkt, an dem man merkt, dass man angegriffen wird: Man fängt an, aus dem System herausgeworfen zu werden, man hat keinen Zugang mehr zu dem, was man will... Und dann können die Admins in Panik geraten, weil es schon zu spät ist.“ Mit oft sehr schwerwiegenden Folgen, wie z.B. der Stilllegung der Produktion.
Wie baut man robuste Cybersicherheit auf?
Und es ist nicht nur die Antiviren-Software, die hier auf dem Spiel steht, denn Cyber-Security-Lösungen als Ganzes sind nicht immun gegen diese Bedrohung. Ein kurzer Blick auf die Liste der CVEs, die Anbieter betreffen, reicht aus, damit einem ganz schwindlig wird... Diese Schwachstellen sind zahlreich und dokumentiert - ganz zu schweigen von den Hintertüren, die absichtlich in einigen Systemen und Lösungen implementiert wurden.
Aber wie gehen wir dann mit diesen Bedrohungen um, wenn die Werkzeuge, die uns eigentlich schützen sollen, auf die dunkle Seite der Macht wechseln? Eine komplexe Frage, die nach einer einfachen ersten Antwort verlangt: Sie müssen robuster gemacht werden. Und damit sicherer. Und es liegt an den Sicherheitsanbietern - wie Stormshield - sicherzustellen, dass sie alle Best Practices und Tools einführen, um dieses Ziel in ihren Entwicklungszyklen zu erreichen, indem sie das Konzept Security By Design anwenden.
Bei der Konzeption dieser Werkzeuge ist es zwingend erforderlich, alle geltenden Sicherheitsanforderungen zu bedenken und eine Risikoanalyse durchzuführen. So bietet z.B. die Wahl einer Software-Architektur vom Typ Micro-Services eine größere Ausfallsicherheit als eine monolithische Lösung. Diese Mikro-Segmentierung besteht in der Segmentierung von Rechten und der Isolierung des Workflows jedes Dienstes, wie Adrien Brochot erklärt: „Wir brechen alle Funktionalitäten einer Lösung in mehrere verschiedene Dienste auf. Jeder hat die Mindestrechte, die für die Durchführung seiner Tätigkeiten erforderlich sind, und hat nur das Recht, mit bestimmten anderen Diensten zu kommunizieren.“ Dies ist die Anwendung des von der französischen Nationalen Agentur für Sicherheit der Informationssysteme ANSSI empfohlenen Prinzips des geringsten Privilegs. Ziel: die Angriffsfläche auf ein Minimum zu reduzieren und die Ausbreitung von Malware zu begrenzen. In der Entwicklungsphase ist es dann notwendig, Code-Kontroll-Tools einzusetzen und spezialisierte externe Firmen hinzuzuziehen - zum Beispiel mit Hilfe von Bug Bounty. Schließlich können die Lösungen und ihr Quellcode vor der Markteinführung von souveränen Dritten geprüft werden, um die Abwesenheit von Hintertüren und strukturellen Fehlern zu garantieren. Einfache Vertrauensfrage.
Trotz all dieser Vorkehrungen kann keine Sicherheitslösung jemals die Abwesenheit von Bugs garantieren. Es ist jedoch möglich, eine Garantie für die Robustheit der Lösung sowie die Fähigkeit zu verlangen, sich selbst zu schützen oder sogar zu reparieren, um die Auswirkungen einer möglichen Beeinträchtigung zu minimieren. Aus diesem Grund ist es am besten, vertrauenswürdige Technologien zu bevorzugen, um ein umfassendes und optimales Maß an Sicherheit für das zu schützende System zu gewährleisten.
