kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Profil eines Malware-Analytikers

Einleitung
Vlad Borisenko, Malware-Analytiker bei Agnitum, lässt uns an den Einzelheiten seines Berufs teilhaben.

Erzählen Sie uns etwas über sich selbst, über Ihre Ausbildung, darüber, was Sie in Ihrer Freizeit tun usw.
Nun, abgesehen davon, dass ich mich zufällig ziemlich gut mit Computern und den Bedrohungen, die unser digitales Leben komplizieren, auskenne, bin ich ein ziemlich durchschnittlicher Mensch, glaube ich.

Ich habe an der Polytechnischen Universität von St. Petersburg einen Abschluss in Mathematik gemacht und bin seitdem im Bereich Computersicherheit tätig. Mittlerweise arbeite ich seit drei Jahren bei Agnitum und habe zunächst die Erweiterung der Signatur-Datenbanken für das Anti-Trojaner-Programm Tauscan überwacht. Als wir dann mit dem Bereich Spyware-Erkennung begonnen haben, wurde ich leitender Malware-Analytiker. Jetzt ist es meine Aufgabe dafür zu sorgen, dass unsere Kunden die neuesten Malware-Definitionen so schnell wie möglich bekommen. Außerdem arbeite ich in der ImproveNet-Initiative mit, die den Anwendern dabei hilft, die neu gestesteten automatischen Firewall-Regelsätze zu bekommen.

Wenn ich nicht gerade arbeite, bin ich ein Gadget-Freak und interessiere mich für die neuesten technischen Spielereien (das überrascht vermutlich niemanden). Außerdem bin ich ein großer Motorsport-Fan und lese gern. Wenn ich den Malware-Bedrohungen einmal eine Zeitlang entkommen kann, reise ich gerne, und dadurch habe ich auch ein großes Interesse an Umweltproblemen entwickelt. Ich verstehe nicht, wie einige Leute eigene Privatjets besitzen können, während in Afrika Millionen Menschen an Hunger und Krankheiten leiden - vielleicht arbeite ich später einmal bei einem der UN-Programme mit, um Bedürftigen zu helfen. Die große Frage ist allerdings immer noch, ob Malware so schnell besiegt werden kann, dass mir dafür noch Zeit bleibt.

Wie finden Sie die Zeit für das alles, wenn Sie Tag und Nacht daran arbeiten, Malware zu untersuchen?
Jeder braucht im Leben einen Ausgleich. In dieser Branche muss man ständig aktiv und auf der Hut sein, um immer einen Vorsprung vor den bösen Jungs zu haben. Obwohl unser Team rund um die Uhr im Dienst ist, versuche ich, meine freie Zeit meinen persönlichen Interessen und meiner Familie zu widmen. Das ist immer eine Herausforderung, da Bedrohungen sich am Wochenende, wenn die Wachsamkeit der Computeranwender eher niedrig ist, besonders stark verbreiten. Das Wissen, dass wir dazu beitragen, dass die Anwender online sicher sind, ist der Hauptfaktor, der mich immer wieder motiviert.

Es gibt eine interessante Fernsehserie namens "How It's Made" (So wird's gemacht), in der beschrieben wird, wie Produkte entstehen, von der Idee bis hin zum fertigen Produkt. Können Sie uns einen "How It's Made"-Überblick über die Anti-Malware-Branche geben?
Nun ja, zu diesem Thema könnte ich mehrere Seiten schreiben, wie man sich sicher vorstellen kann. Aber der Einfachheit halber versuche ich einmal, eine Art Momentaufnahme des Gesamtprozesses zu beschreiben, ohne dabei zu sehr in die technischen Einzelheiten zu gehen (und natürlich ohne die Geschäftsgeheimnisse von Agnitum zu enthüllen!).

Der erste Schritt ist das Sammeln von Mustern - vermutlich bösartiger Code zur Analyse und möglichen Aufnahme in unsere Datenbanken. Die Muster bekommen wir aus unterschiedlichen Quellen: durch Benutzer-Einsendungen über unsere Webseite, von Geschäftspartnern und auch von anderen Anti-Malware-Anbietern - immer wenn es einen Ausbruch gibt, arbeiten alle zusammen, damit die Anwender die Erkennungen so schnell wie möglich erhalten. Wir verwenden außerdem ein System von automatischen Webcrawler-Tools, die auf der Suche nach Spuren von bösartigem Code und eingebetteten Exploits das Internet durchkämmen und ihre Funde zur genaueren Untersuchung an unsere Labortechniker übermitteln. Und falls das immer noch nicht ausreicht, überprüfen wir auch unsere Mailserver auf eingehende Bedrohungen in Spam-Nachrichten. Jedes Element von verdächtigem Code wird automatischen Scan- und Beurteilungsvorgängen unterzogen, damit wir unbekannte Bedrohungen in einem möglichst frühen Stadium dieses komplexen Analyseprozesses erkennen.

Wenn diese erste Phase abgeschlossen ist, wird der verdächtige Code mit Virtual Machines auf schädliche Aktivitäten und bösartiges Verhalten überprüft. Virtual Machines sind normale Windows-Installationen auf Einzel-Testrechnern, die spezielle Software ausführen, mit der man Änderungen seit der Ausführung des Codes sofort rückgängig machen kann. Der Forschungsmitarbeiter verfolgt dann die Änderungen nach, die auf einem System gemacht wurden, und wenn schädliche Auswirkungen festgestellt werden, wird das Muster sofort als Malware gekennzeichnet. Die meisten raffinierten Malware-Autoren beherrschen inzwischen die Technik, virtuelle Umgebungen "zu erspüren" und ihre Malware darauf mit der Unterdrückung der schädlichen Vorhaben reagieren zu lassen, so dass sie nicht sofort entdeckt wird. In diesen Fällen verwenden wir im Gegenzug unsere eigenen, noch raffinierteren Tools.

Der Forschungsmitarbeiter muss sich dazu den "einsehbaren" Originalcode ansehen, der die Beladung der Malware darstellt. Dazu wird die Datei mit einer der folgenden Methoden in eine Form umgewandelt, die sich für die menschliche Analyse eignet:

  • Entpacken. Der Code kann in einer gepackten (archivierten) Form ankommen, die den Einsatz spezieller "Entpackungs"-Programme erfordert, um den Inhalt zu enthüllen.
  • Entschlüsseln. Wenn die Datei verschlüsselt ist, muss der entsprechende Enschlüsselungscode gefunden und auf die Datei angewandt werden, damit sie für den Forschungsmitarbeiter zugänglich ist.
  • Dekompilieren/disassemblieren. Dekompilieren bedeutet, zum Quellcode einer ausführbaren Datei zurückzugehen - das kann in einer der höheren Programmiersprachen wie Delphi, C oder C++ geschehen. Disassemblieren bedeutet das Übersetzen einer ausführbaren Datei in eine niedrigere Assemblersprache. Durch diesen Prozess können die Forschungstechniker einen Blick auf den "rohen" Code werfen und ihn manuell analysieren.

Wenn Malware einmal endgültig identifiziert wurde, muss die Signaturdatenbank aktualisiert werden. Wir verwenden einen firmeneigenen Editor, um die Bedrohungssignaturen zu verwalten und erstellen in einigen Fällen ein eigenes Modul zur heuristischen Analyse, das Bedrohungen anhand des Verhaltens und nicht anhand des Codes erkennt.

Wenn die Definitionen zusammengestellt wurden, werden sie auf Rechnern mit verschiedenen Windows-Versionen, verschiedenen Outpost-Builds und einer ganzen Reihe von Drittanbieter-Programmen getestet. So stellen wir sicher, dass die Anwender keine Probleme bekommen, wenn sie die aktualisierten Definitionen installieren. Die neuen Definitionen werden dann auf unsere Server geladen, die die aktuellsten Signatur-Updates an unsere Anwender verteilen.

Faszinierend. Welche Tools benutzen Sie für das alles?
Neben den Virtual-Machine-Anwendungen wurden die meisten unserer Tools firmenintern vom Forschungsteam und den Technikern entwickelt.

Wie wird sich die Computersicherheitsbranche Ihrer Meinung nach weiterentwickeln?
Wir sehen im Moment eine zunehmende Anzahl von gemischten Bedrohungen - beispielsweise Trojaner und Keylogger, die durch sehr leistungsfähige Rootkits versteckt werden und dadurch auf einem System verborgen bleiben können. Wir sehen auch zunehmend Malware, die auf bestimmte Softwareprodukte abzielt, besonders auf Sicherheitssoftware, um sie zu deaktivieren und sich einen freien Zugang auf den Rechner des Anwenders zu verschaffen. All das ist eine ständige Herausforderung, aus Forschungssicht und auch im Hinblick auf die Kundenbetreuung. Die einzige Möglichkeit, wie wir wirkungsvoller arbeiten können, ist es, wenn wir mehr dagegen unternehmen, dass Malware überhaupt erst auf den Computer des Anwenders gelangt. Also konzentrieren wir uns, zusammen mit dem Technikerteam von Agnitum, vorwiegend auf die Entwicklungen von Techniken, mit denen man verdächtiges Programmverhalten überwachen und blockieren kann.

Sie meinen damit eine Art hostbasiertes System zur Eindringlingsbekämpfung, kurz HIPS (Host Intrusion Prevention Systems) genannt?
Ja, die Art von Schutz, die das Programmverhalten überwacht und sicherstellt, dass sich Anwendungen auf einem System nicht danebenbenehmen können. Die Anwender werden in zukünftigen Versionen der Outpost-Software einen größeren Schwerpunkt auf dieser Art des Schutzes sehen.

Das ist ein schönes Schlusswort. Haben Sie zum Abschluss noch einen Rat für unsere Leser?
Vielen Dank, dass ich diese Möglichkeit bekommen habe, direkt zu unseren Anwendern zu sprechen. Ich wünsche ihnen, dass sie sicher im Internet unterwegs sind und dabei immer daran denken, dass eine Kombination aus Wissen, sicherem Surfverhalten und widerstandsfähigen Sicherheitsmaßnahmen die beste Verteidigung ist.

Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.