Computerviren auf der Spur

Sergio Paganoni (31) ist der Head of Security bei SecureSafe. Neben seinen Entwickler-Kenntnissen verfügt er über weitreichende Erfahrung als Malware-Analyst. Im Interview erklärt er, wie man Computerviren untersucht und wo man sie testet.


Vor deiner Tätigeit bei SecureSafe warst du beim Computer Emergency Response Team «GovCERT» tätig. Worin bestand eure Hauptaufgabe?

Das Team ist Teil der Melde- und Analysestelle Informationssicherung (MELANI). In erster Linie untersuchten wir Schadsoftware, die für Cyber-Angriffe verwendet wurden. Dazu führten wir statische und dynamische Analysen durch. Bei statischen Analysen sucht man im Software-Code der Malware nach wichtigen Informationen – z.B. nach Angaben zu den Servern, mit denen die Schadsoftware Informationen austauscht. Bei dynamischen Analysen wird die Schadsoftware in einem geschlossenen System «freigelassen» und beobachtet. Hier geht es also darum, zu prüfen, wie sich die Malware konkret verhält.

Bedeutet dies, dass man sich als Malware-Analyst selbst mit Malware infiziert?

Das kann man so sagen, allerdings wird die Malware in einem geschlossenen System verwendet. Man nutzt dazu einen entsprechenden PC, virtuelle Maschinen oder ein Sandbox-System. Die Schadsoftware wird also in einer Testumgebung geöffnet und beobachtet. Wie bei der Analyse des Codes geht es hier darum, unterschiedliche Fragen zum Verhalten der Software zu beantworten: Welche Art von Netzwerk-Traffic wird generiert? Welche Daten werden durch die Malware gesammelt oder herausgefiltert? Wonach sucht die Malware? Wie breitet sie sich aus?

Was passiert nach der Analyse?

Wenn man die Merkmale der Schadsoftware kennt, können infizierte PC's im eigenen Netzwerk gefunden werden. Man schaut also, auf welchen Rechnern Malware installiert ist, erarbeitet Abwehrmassnahmen und schützt die Daten – indem z.B. die Kommunikation zu den schädlichen Servern unterbrochen wird. Hersteller von Anti-Viren-Programmen erstellen durch die Malware-Analysen eine Signatur für die neu bestimmte Schadsoftware (oder Schadsoftware-Familie), damit die Virenscanner die Malware erkennen und entfernen können.

Welche Herausforderungen erschweren die Arbeit eines Malware-Analysten?

Grundsätzlich ist die Verteidigung deutlich aufwändiger als der Angriff, weil viel mehr Software-Code erforderlich ist. Man geht davon aus, dass für 1 Zeile Schadsoftware-Code durchschnittlich 500 Zeilen Software-Code zur Abwehr nötig sind. Zudem sind viele Schadsoftware-Programme intelligent programmiert, d.h. sie bemerken, wenn sie analysiert werden. Sie reagieren in diesen Situationen unterschiedlich und zeigen manchmal gar kein bösartiges Verhalten. Der Analyst muss dann diese Schutzmechanismen umgehen, um zu verstehen, was die Schadsoftware wirklich kann.

Wer schreibt diese schädlichen Software-Programme?

Die häufigsten Angriffe finden durch gut organisierte Cyber-Kriminelle statt, die auf Geld abzielen. Daneben gibt es zahlreiche weitere Akteure wie Industrie-Spione, Regierungen oder politische Aktivisten, die Malware einsetzen und sensitive Daten stehlen möchten.

Wie hat sich die Situation in den letzten Jahren verändert?

Die Cyber-Kriminellen organisieren sich immer besser, wodurch der Schutz vor diesen Malware-Angriffen sehr aufwändig und komplex geworden ist. Auf der anderen Seite funktionieren viele Sicherheitsmassnahmen sehr gut. Oftmals konzentrieren sich die Angreifer deshalb direkt auf den Menschen, weil der Endbenutzer häufig das schwächste Glied in der Kette ist (Social Engineering). Aus diesem Grund ist es heute zentral, dass man sich bewusst ist, dass die Sicherheit v.a. auch in der Hand jedes einzelnen liegt.