Schädliche Dokumente: Nach all den Jahren immer noch gefährlich

E-Mails mit schädlichen Anhängen zu versenden, ist eine der effektivsten und meistgenutzten Methoden, um Schadprogramme zu verbreiten und Computer zu infizieren.

Das ist altbewährt. Egal, ob ein Angreifer versucht, querbeet Computer zu einem Botnetz hinzuzufügen, per Spear-Phishing Zugriff auf ein Firmennetzwerk zu erlangen, oder Ihr Online-Banking-Konto mit einem Trojaner zu übernehmen – schädliche Dokumente sind schon seit Jahren eine der wichtigsten Waffen der Angreifer. Computer- und Internet-Nutzer sind sich heute mehr denn je der Gefahren bewusst, die in verdächtigen – oder sogar harmlos aussehenden – E-Mail-Anhängen lauern, egal ob es sich um Word-Dokumente, PDF-Dateien, Fotos oder andere Dateiarten handelt. Zudem entwickeln und veröffentlichen Antivirus-Hersteller, E-Mail-Provider und Browser-Entwickler laufend neue Technologien, um Infektionen durch Anhänge abzuwehren. All das, während auch Software-Hersteller sich effektiver und schneller um das Schließen von Sicherheitslücken kümmern als jemals zuvor.

Doch trotzdem werden jeden Tag unzählige Computer durch das Öffnen schädlicher Dokumente mit Schadsoftware infiziert. Wie kommt es, dass die größten Anstrengungen der intelligentesten Forscher der IT-Industrie nicht ausreichen, um diese großteils unorganisierten Angreifer abzuwehren? Allgemein gesagt, ist der Grund ein ganz einfacher: Viele dieser Angreifer arbeiten alleine oder in kleinen Gruppen, nutzen speziell entwickelte Werkzeuge, und reagieren sehr schnell. Browser-Entwickler, E-Mail-Provider und Technologie-Giganten reagieren so schnell wie sie können auf neue Bedrohungen, doch sind sie – wie alle größeren Organisationen – durch die Unternehmensbürokratie und andere Probleme eingeschränkt.

Aber wir können die Schuld hier nicht einfach auf die Firmen schieben. Die meisten Anwender weigern sich, Updates zu installieren, und viele Nutzer öffnen Anhänge, die sie besser nicht öffnen sollten. Und die Angreifer sind ja auch nicht dumm. Sie beobachten, wie Sicherheitsfirmen auf ihre Angriffsmethoden reagieren und passen diese entsprechend an. Sie sammeln Informationen über Menschen, auf die sie abzielen, indem sie deren Profile bei Sozialen Netzwerken und andere sichtbare Aktivitäten überwachen, um E-Mails und schädliche Anhänge überzeugender machen zu können, so dass die Opfer darauf hereinfallen.

Ich habe mir angemaßt, zu glauben, dass ein Angreifer schon sehr früh aufstehen muss, um mich mit einem Phishing-Angriff hereinzulegen. Der Kaspersky-Experte Kurt Baumgartner hat mich da berichtigt und mir erklärt, dass wir alle – egal, wie schlau wir auch sind – einen Anhang öffnen würden, wenn dieser anscheinend von einer bekannten Person kommt, der wir vertrauen. Und deshalb benötigen wir automatische Verteidigungsmaßnahmen, die eher auf messbarem Verhalten als auf menschlicher Intuition basieren.

So hat zum Beispiel das letzte große Update von Microsoft eine Sicherheitslücke im Internet Explorer geschlossen, es aber nicht geschafft, eine zweite Zero-Day-Lücke in Microsoft Office (eine neu entdeckte Sicherheitslücke, einen so genannten Zero-Day-Exploit) zu schließen. Deshalb können Angreifer, die diese Sicherheitslücke kennen, sie ausnutzen, um schädliche Dokumente an betroffene Anwender (sprich: fast jeden mit installiertem Microsoft Office) zu senden. Wenn der Angreifer dabei aber ein Schadprogramm verwendet, das von unseren Antivirus-Lösungen erkannt wird, sind Sie gut geschützt. Doch die Angreifer haben recht einfache Wege gefunden, um den Code oder die Domains ihrer Schadprogramme zu verändern, und damit diese Erkennung zu vermeiden.

Ich möchte die Angreifer hier nicht zu stark loben. Zu guter Letzt sind die Guten eigentlich immer schlauer als die Bösen, sie arbeiten nur etwas langsamer. Die Guten werden gut bezahlt, erhalten Bonusse, und müssen sich generell keine Sorgen machen, vielleicht eingesperrt zu werden. Sie beobachten die Bösen und lernen von deren Methoden, genau wie die Bösen die Guten beobachten.

So ist das auch mit den Entwicklern bei Kaspersky Lab. Die Forscher hier beobachten, wie sich die Angreifer über die Jahre entwickeln. Sicherheitslösungen suchten früher einfach nur nach Signaturen von Schadprogrammen, doch mittlerweile ist klar, dass das nicht mehr ausreicht. Deshalb haben wir Technologien wie den Automatischen Schutz vor Exploits (AEP – Automatic Exploit Protection) entwickelt, der den Anwendercomputer nach Sicherheitslücken und bekanntem schädlichen Verhalten von Programmen absucht. Wenn das AEP-Modul bemerkt, dass sich ein Programm seltsam verhält oder anscheinend eine Sicherheitslücke in einem anderen Programm ausnutzt, blockiert es dieses schädliche Programm, bevor etwas passieren kann. Dadurch sind die Anwender vor fast jeder Bedrohung geschützt, inklusive der oben genannten Zero-Day-Angriffe.

Welche negativen Erfahrungen haben Sie bereits mit Malware gemacht? Sagen Sie uns über die Kommentar-Funktion, die Sie unten finden.