Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von...

Risiken derNichterkennung von

Malware inkomprimierter Form

DIMVA 20046./7. Juli 2004

Dortmund

Michel Messerschmidt, Fabian Müller & Jan SeedorfantiVirusTestCenter, Universität Hamburg

Michel Messerschmidt, Fabian Müller & Jan Seedorf, antiVirusTestCenter, Universität HamburgRisiken der Nichterkennung von Malware in komprimierter Form 7. Juli 2004

Risiken der Nichterkennung von Malware in komprimierter Form

(1) Vorstellung aVTC(2) Risiken durch Malware in

komprimierter Form(3) Testen der Erkennung von komprimierter

Malware durch Anti-Malware-Software(4) Testergebnisse

(1)Vorstellung aVTC

Vorstellung aVTC

● Ein Projekt des Arbeitsbereichs AGN im Fach-bereich Informatik der Universität Hamburg unter Leitung von Prof. Brunnstein

● Unabhängiges Testen von Anti-Malware-Produkten seit über 10 Jahren

● Offengelegte Methodik sichert Nachvollziehbarkeit der Ergebnisse

● Beteiligung von Studenten im Rahmen ihres Studiums

(2)Risiken durch Malware in

komprimierter Form

Risiken durch Malware

Risiken durch Malware bestehen bei:● Aktivierung

● Wesentliche Maßnahme: On-Access Scanner● Weiterverbreitung / Distribution

● Wesentliche Maßnahme: Schutz auf Gateway- und Server-Rechnern

● Für mobile Geräte sind zusätzliche Schutzmaßnahmen notwendig

Aktivierung von komprimierter Malware

● Nicht laufzeit-komprimierte Malware● On-Access Modus schützt auch ohne gesonderte

Maßnahmen für komprimierte Objekte● Laufzeit-komprimierter Malware

● Auch im On-Access Modus sind zusätzliche Maß-nahmen erforderlich:

● Scannen in laufzeit-komprimierten Objekten erfordert effiziente Unterstützung vieler Kompressionsformate

● Code-Emulation

Weiterverbreitung von komprimierter Malware

● Typischer Schutz der Client-Systeme ist nicht ausreichend– On-Access Modus kann unzureichend sein:

● Objekte müssen bei allen Dateizugriffen gescannt werden (nicht nur bei Ausführung)

● Die Unterstützung verbreiteter Kompressionsformate ist erforderlich

● Evtl. Code-Emulation– Oft ist nicht jedes System im lokalen Netz

ausreichend geschützt– Komprimierte Malware kann auf eigentlich

geschützte Systeme (z.B. Fileserver) gelangen und von ungeschützten Systemen aufgerufen werden

Beispiel-Szenario

Internet

Rechner C Gateway A

Notebook B

Beispiel-Szenario

Internet

Rechner C Gateway A

Notebook B

Beispiel-Szenario

Internet

Notebook B

Rechner C Gateway A

Beispiel-Szenario

Internet

Notebook B

Rechner C Gateway A

(3)Testen der Erkennung von

komprimierter Malwaredurch Anti-Malware-Software

Testen der Erkennung vonkomprimierter Malware durch

Anti-Malware-Software● Standard-Schutz gegen komprimierte Malware

-> Anti-Malware-Software● Frage:

Wie gut schützt Anti-Malware-Software vor kom-primierter Malware ?

● Ansatz: Anpassung der aVTC-Testmethodik, um speziell die Erkennung von komprimierter Malware zu testen

Fragestellungen, die der Test beantworten soll

● Welches Produkt unterstützt welche Komprimierungsformate ?

● Mit welcher Güte werden die Formate unterstützt ?● Werden alle Versionen eines Archivformates

unterstützt ?● Unterstützen die getesteten Programme auch alle

Modi eines Komprimierungsverfahrens ?

Fragestellungen, die der Test beantworten soll (2)

● wird auch Malware in (mehrfach) rekursiv gepackten Archiven erkannt ?

● wie reagieren die getesteten Programme bei Problemen mit komprimierten Dateien ?

aVTC Testmethodik

● Tests in einem von der Außenwelt abgeschottetem Netzwerk

● Testmenge wird auf Server bereitgestellt, getestete Produkte greifen per Netzwerkfreigabe im on-demand Modus auf die Testmenge zu

● Durch Auswertung der dabei erzeugten Logdateien werden folgende Werte gemessen:

● Erkennungsrate

● Erkennungsgenauigkeit

● Erkennungszuverlässigkeit

aVTC Testmethodik

● Vergleichbarkeit:● festgelegter Stichtag zum Einreichen der Produkte

● Nachvollziehbarkeit durch Dokumentation und Veröffentlichung von:

● verwendeter Hardware● Einstellungen● Testumgebung● Testmethodik

aVTC Testmethodik

● Auswertung von Protokolldateien (Perl-Skripte):1) Protokolldatei in einheitliches Format umwandeln

2) Protokolldatei aufteilen- infiziert gemeldete Dateien- nicht infiziert gemeldete Dateien- übrige Zeilen

3) Erkennungsrate und andere Kriterien ermitteln

4) Überprüfung des Protokolls

● Bis zu 2 „Nachscans“ pro Produkt und Testmenge

aVTC Testmethodik - fürKomprimierungstest angepasst

● Nicht die Erkennungsrate, sondern der Einfluss der getesteten Kompressionsformate ist von Interesse

● Test von File-itw Viren sowohl unkomprimiert (als Referenzmenge) als auch unter verschiedenen Formaten komprimiert

● Qualität der Unterstützung eines Kompressionsformates durch ein Testprodukt:– Differenz zwischen der Erkennungsrate unter

Anwendung der jeweiligen Kompression und der Erkennungsrate der unkomprimierten Referenzmenge

Minderung der Erkennungsrate Produkt, Format

= Erkennungsrate Referenztestmenge Produkt

- Erkennunngsrate Produkt, Format

● Durchgeführter Test:– 25 AntiMalware Produkte– Erkennung von 32 Kompressions-/Archivformaten– Referenztestmenge: file-itw (Wildlist Okt 2001)– Betriebssystem: Windows 2000

aVTC Testmethodik - verschiedene Testarten

● Testen der Kompressionsformate*:– Einfache Kompression (ein Archiv pro Verzeichnis)

– Gesamte Referenztestmenge in einem Archiv– Archive ohne Dateiendung– Selbstextrahierende Archive– Passwort-geschützte Archive– Rekursive Archive (2-fach und 9-fach)

(*soweit vom Format unterstützt)

(4)Testergebnisse

Getestete Produkte

ANT Antivir INO eTrust AntivirusAVA Avast! NAV Symantec AntivirusAVG AVG Antivirus System NVC Norman Virus ControlAVK Antiviren Kit PAV Power AntivirusAVP Kaspersky Antivirus PER Per AntivirusBDF BitDefender PRO ProtectorCMD Command Antivirus QHL QuickHealDRW Dr. Web RAV RAV AntivirusFIR Fire Anti-virus Kit SCN McAfee ViruScanFPR F-Prot for Windows SWP Sophos Anti VirusFSE F-Secure VBR VirusBusterGLA Gladiator Antivirus VSP VirScanPlusIKA Ikarus Virus Utilities

Getestete Komprimierungsformate7Z_ 7-Zip RA1 Rar v1AC2 Ace v2 RA2 Rar v2ACE Ace v1 RA3 Rar v3ARC Arc RAR Rar v3 (solid compression)ARJ Arj SHA Shell ArchiveB64 MIME Base64 SQZ Squeeze ItBH_ Black Hole TAR Tape ArchiveBZ2 Bzip2 UC2 Ultra Compressor 2CAB MS Cabinet File UUE UUEncodeCMS MS Compress ZI2 PkZip 6.0 (zip2.04 compatible)GZ_ Gzip ZI6 PkZip 6.0 HA_ Ha ZIB PkZip 6.0 (bzip2 comp.)JAR Jar ZID PkZip 6.0 (DCLimplode comp.)JAV Java Archive ZIE PkZip 6.0 (Deflate64 comp.)LHA Lha ZIP InfoZip 2.3PAK Pak ZOO Zoo

Testergebnisse

● Alle Testergebnisse im Internet unter

www.avtc.info● Für jede getestete Kompressionsart eine Matrix

(Produkte x Kompressionsformate), Inhalt der Zellen ist jeweils die Minderung der Erkennungsrate

Testergebnisse - Auffälligkeiten

● Archive ohne Dateiendung:– Probleme bei der Erkennung (AVG, CMD, FPR)

● Passwort-geschützte Archive:– Meldung des Testproduktes interessiert– Viele Produkte melden passwortgeschützte Archive

als „ok“ (das Archiv ist ok), sehr irreführend für den Benutzer

– Meldung „passwort-protected“ und „unable to scan“ eher selten

● Rekursiv komprimierte Archive:– Stabilitätsprobleme der Testprodukte (FSE, NVC, PRO,

Risiken der Nichterkennung von Malware in komprimierter Form€¦ · Risiken der Nichterkennung von...

Documents

Aspekte der IT- Sicherheit im E-Business Schadsoftware (Malware)

Identification and Recognition of Remote-Controlled Malware

A9 Mobile Security - · PDF file– Malware-Analyse – Forensics ... “Examining the recent Android malware”, ... “A Look at a Modern Mobile Security Model:

G DATA SECURITYLABS Malware Report H2/2014

G DATA Malware Report H2 2014 · PC MALWARE REPORT H2 . 2014. Einen Anstieg gab es auch bei Rootkits. 2. fallen ebenfalls durch hohe Zahlen auf: die Experten zählten 18 Mal mehr

Malware in Unternehmen: Verbreitung und Massnahmen · − Malware, die sich selbst ohne Zutun des Benutzers verbreitet. Trojaner − Malware, die sich verdeckt hält und spioniert,

Arten von Hacker und Virenangriffen:. Trojaner: Malware Heißt eigentlich: „Trojanisches Pferd“

Arbeitshilfe zum Leitfaden zur Nutzung von Erdwärme … · 4 Der Leitfaden zur Nutzung von Erdwärme mit Grundwasserwärmepumpen (ürttemberg.de) beschreibt in komprimierter Form

Malware - Creando Crypter Vb6

Malware Threats und Trend - EICAR · Malware Threats und Trend November 16, 2012 ... And then Devil said: Let there be money ... Virus and Bots PUP Trojan Cyber Crime – der treibende

IT-Forensik-Projekt II Malware-Spurensuche im ... file4.2 Softwarebasierte Techniken 26 4.3 Cold Booting Techniken 28 5. Malware Analyse in der Memory-Forensik 30 5.1 Aufbau der Windows-Prozess-Struktur

Malware-Analyse und Reverse Engineeringmulticores.org/teaching/files/MARE_03-Laufzeit.pdf · Malware-Analyse und Reverse Engineering 3: Laufzeit! 30.3.2017 Prof. Dr. Michael Engel

Malware - Gernoth · „sammeln“ Malware zur Erkennung & Analyse von Angriffsmethoden und –mustern ! Firewalls/Virenscanner ! Faktor Mensch ! Bewusstsein für Sicherheit muss

Clusteranalyse von Malware basierend auf Installationsgraphen

Malware- Abwehr2014.kes.info/archiv/material/malware2012/malware2012.pdf · Malware ist der Oberbegriff für „Schadsoftware“ wie Viren, Würmer, Trojanische Pferde. Kriminelle

IO4 komprimierter Bericht · in Form von Schlüsselwörtern so verkürzt dargestellt, dass sie die entscheidenden Botschaften der wichtigsten Aussagen transportieren. In einem zweiten

Malware-Analyse und Reverse Engineering · Malware-Analyse und Reverse Engineering 13: Rückblick über das Semester 29.6.2017 Prof. Dr. Michael Engel. Überblick MARE 2017: • Einführungund

Advanced Malware: Bedrohungslage und konkrete Schutzstrategien€¦ · Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Neue Threats pro Minute Threat-Industrie und

Kaspersky Endpoint Security for Business Introduction · anti-malware Die Basis der Plattform bildet die preisgekrönte Anti-Malware-Technologie von Kaspersky Lab. Diese Technologie

0ZAPFTIS–TEIL2 ANALYSEEINERREGIERUNGS-MALWARE€¦ · 0ZAPFTIS–TEIL2 ANALYSEEINERREGIERUNGS-MALWARE DREIJAHRESINDINDERITEINEWIRKLICHLANGEZEIT Dem Chaos Computer Club (CCC) wurden