Antivirus ersetzt keine forensische Analyse Marc Ruef | 06.11.2006 Es gibt Leute, die jammern immer, wie streng sie es haben, wie beschäftigt sie seien und wie sehr ihnen doch die Zeit fehlen würde. Und ja, auch ich zähle gut und gerne zu dieser Sorte Mensch, die unter Umständen wirklich unter akuter Zeitnot leidet. Gar nicht lange ist es her, da wurde ich als Forensiker zu einem elektronischen Einbruch berufen. Eine erste Analyse der Umgebung hatte gezeigt, dass diese sowohl konzeptionell als auch technisch zu grossen Teilen ungeschützt war und eine Kompromittierung mit wenigen Mausklicks zu bewerkstelligen gewesen wäre. Eine erste forensische Analyse hat gezeigt, dass der Fall einer erfolgreichen Übernahme des einen oder anderen Systems wirklich gegeben war. Durch uralte SSH-Dienste liess sich beispielsweise beliebiger Programmcode ausführen und damit neue Benutzer mit erweiterten Zugangsrechten durch einen Angreifer erstellen. Ein Horror-Szenario, das die meisten Firmen - sowohl den Techniker als auch den Manager - nervös machen würde. Dieserlei Nervosität verhindert es oftmals, dass die involvierten Personen klar und strukturiert denken können. Hektische Schnellschussreaktionen werden überstürzt umgesetzt und damit Fehler und ineffizientes Vorgehen provoziert. Erstaunlicherweise sind es dann oftmals die Herren in der Management-Ebene, die die Nerven verlieren und sich mit unsinnigen Aktionen an die letzten Stohhalme klammern. Manchmal wäre es halt doch besser gewesen, hätte man den überlasteten Administratoren die Zeit eingeräumt, die aktuellsten Patches einzuspielen... In solchen Situationen wollen Kunden oftmals innert weniger Minuten ein Lagebericht. Ich habe in der Regel keine Mühe damit, diesen vorzutragen. Doch meistens will der gereizte Manager, dass man innerhalb von 15 Minuten genau sagen kann, welche Systeme übernommen wurden, wer der Angreifer ist und wie er es gemacht hat. Forensische Analysen, die mit verlässlichen Aussagen glänzen wollen, brauchen jedoch Zeit. Da müssen Systeme auf tiefster Ebene begutachtet werden. Das Einsehen von Log-Dateien ist noch die leichteste Übung. Aktives Live-Reversing (Auslesen von Prozessen, Überwachen von Datei-/Registryzugriffen sowie Netzwerkkommunikationen) kann eine langwierige Aufgabe sein - Vor allem, wenn jemand am Werk war, der viel Zeit und Energie aufbringen konnte. Bei dieser Geschichte war es tatsächlich so, dass sich die eingebrachten Hintertüren nur in gewissen Situationen aktiv verhielten. Das Aufspüren dieser war also eher ein "auf der Lauer liegen", um eine verdächtige Regung zu lokalisieren und dieser Nachzugehen. Solange sich der Angreifer bzw. seine Hintertüren nicht bewegten, konnte ich nicht viel machen. Dies versuchte ich auch so dem CEO darzulegen, der sich aufgrund der Hektik schon gar nicht mehr richtig die Zeit nehmen wollte, sich meine Expertise anzuhören. Er fragte die gleiche Frage innert 15 Minuten etwa 3 Mal, ohne jeweils die Antwort zu Ende hören zu können. Als ich ihm erklärte, dass es sich hierbei um Malicous Code und eine Backdoor handle, meinte er, dass ich doch nur mal eben schnell eine Antiviren-Lösung drüberlaufen sollte. Irgendwo müsse ja noch eine Lizenz von McAfee Antivirus rumliegen... Das sollte doch gefälligst reichen, damit er in 15 Minuten seinen detaillierten Bericht hat. Meine Antwort darauf: "Wäre es so einfach, dann müsste ich mich nicht Experte schimpfen." Ein aktiver Antiviren-Scan ist im Grunde sehr primitiv. Durch die Automatisierung werden lediglich grundsätzliche Überprüfungen vorgenommen. So wird nach charakteristischen Merkmalen populären korrupten Programmcodes Ausschau gehalten, um diesen zu identifizieren. Typische Muster (engl. Pattern) im kompilierten Programmcode oder gleich ganze Hash-Signaturen von Dateien lassen so altbekannte Schädlinge schnell und effizient aufspüren. Doch neuartige und für die Antiviren-Lösung unbekannte Hintertüren lassen sich so nicht identifizieren. Die Frage ist nun: Wie gross ist die Chance, dass jemand eine komplett neue Hintertür schreibt, die von den aktuellen Antiviren-Produkten nicht erkannt wird? Die Antwort ist einfach: Sehr gross! Das Schreiben einer Hintertür ist sehr einfach. Egal, ob es sich nun hierbei um einen passiven Keylogger handelt, der die Daten sammelt und später per Mail rausschickt, oder ob es sich um ein interaktives Remote-Control-Utility handelt, das im Stil von NetBus eine Interaktion auf der Basis des Client/Server-Prinzips erlaubt. Im Rahmen unserer Penetration Tests entwickeln wir oftmals eigene Hintertüren, die dann halt eben bei Kunden eingeschmuggelt werden sollen. Diese schicken uns entweder sensitive Daten heraus oder sie lassen eine Interaktion zu. Funktioniert hat das bisher immer. Überall dort, wo bei Kunden das Ausführen von (Binär-)Dateien erlaubt ist. Die verwunderte Reaktion, dass die Antiviren-Lösung dies doch frühzeitig entdecken hätten sollen, ist da dann nichts Besonderes. Viele Nutzer glauben halt noch immer, dass ein Antiviren-Produkt vollumfänglich und ohne Macken seine Arbeit verrichtet. Dies war aber noch nie so und wird auch nie so sein. Im Falle der forensischen Analyse - sie dauerte schlussendlich mehrere Manntage - kam es zu einer Anzeige gegen Unbekannt, die ein Rechtshilfebegehren an verschiedene Länder zur Folge hatte. Es wird zwar darüber gemunkelt, wer für den Einbruch verantwortlich sein könnte (ein ehemaliger Mitarbeiter). Wie immer mahlen die Mühlen der Justiz jedoch sehr langsam. Und hinter vorgehaltener Hand wurde mir von den Behörden mitgeteilt, dass die Chancen auf Erfolg - trotz solider technischer Beweisführungen - eher gering sind. Das Thema Cybercrime geniesst halt doch ein sehr niederes Mass an Priorität. Diese Geschichte ist jedoch, sollte ich sie irgendwann vollumfänglich an die Öffentlichkeit tragen dürfen, von bester Unterhaltung. Zum gegenwärtigen Zeitpunkt darf man sich zu den laufenden Ermittlungen jedoch nicht äussern.