Forscher warnen vor Gefahr durch Viren-Signaturen

Forscher warnen vor Gefahr durch Viren-Signaturen

Mithilfe der von Antiviren-Software eingesetzten Signaturen könnten Angreifer gezielt Fehlalarme auslösen. Im Worstcase kann das ein Opfer das komplette Mail-Archiv kosten.

Der relevanteste Mechanismus zum Erkennen von Schad-Software ist die Suche nach Viren-Signaturen in Dateien. Forscher der Uni Göttingen und der TU Braunschweig weisen auf eine bislang wenig diskutierte Möglichkeit des Missbrauchs dieser für einen Schädling typischen Byte-Sequenzen hin: Diese Signaturen lassen sich verwenden, um gezielte Fehlalarme zu produzieren.

Zur Konkretisierung wurde von Forschern ein Verfahren entwickelt, das Antiviren-Scannern ihre Signaturen entlocken soll. Es besteht darin, in erkannter Malware systematisch einzelne Bytes zu verändern, um in Erfahrung zu bringen, ob diese für die Erkennung von Relevanz sind. So war es möglich, dass sie die für eine Erkennung relevanter Byte-Sequenzen von vier kommerziellen Antviren-Programmen ermitteln konnten.

Durch die gezielte Einschleusung dieser Byte-Sequenz in Dateien, konnten die Forscher dann auch tatsächlich Viren-Alarm auslösen und die Virenschutz-Software auf den Plan rufen. Im schlimmsten Fall entsorgt diese die augenscheinlich infizierte Datei ohne viel Federlesens. So gelang es den Forschern unter anderem, einen Virenwächter dazu zu bringen, die komplette Mailbox eines Thunderbird-Nutzers zu löschen, wie Konrad Rieck erklärte. Sie schickten ihm dazu nur eine Mail, in deren Header sie die typische Byte-Sequenz einer Malware platzierten. Ein weiteres Szenario sei das gezielte Löschen von verräterischen Log-Dateien, erklären Christian Wressnegger et al in Automatically Inferring Malware Signatures for Anti-Virus Assisted Attacks.

Ob Antiviren-Software noch einen zeitgemäßen Schutz für IT-Infrastrukturen darstellen, wird demnächst von Sicherheitsexperten Felix von Leitner und versierten Experten aus der AV-Branche im Rahmen einer heise-Security-Konferenz diskutiert.

Originalartikel: https://www.heise.de/newsticker/meldung/Forscher-warnen-vor-Gefahr-durch-Viren-Signaturen-3675819.html