fennek11
Goto Top

Freitags-Frage: MS Office-Viren

Hallo,

aus einer Datenbank (ähnlich wie Virustotal) kann sich jeder Beispiele von aktuellen Viren herunterladen und analysieren. Dadurch sieht man, von welchen Ansätzen sich die crooks gewisse Erfolgswahrscheinlichkeiten versprechen:

Malware - Ansätze:

- Excel4Macro
- Dateitypen vor 2007, xls, xla, etc
- VBA Aufruf von Powershell
- oleObject
- links
- "malformed zip"
- purged

Im Umkehrschluß kann jeder Verantwortliche prüfen, ob seine Vorkehrungen ausreichend sind.

Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?


mfg

Content-ID: 585828

Url: https://administrator.de/forum/freitags-frage-ms-office-viren-585828.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 08.07.2020 um 09:09:38 Uhr
Goto Top
Zitat von @Fennek11:

Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?

Ja. face-smile

lks
sabines
sabines 08.07.2020 um 09:47:02 Uhr
Goto Top
Moin,

ebenfalls ja.

Gruss

NB:
Da das meiste davon per Mail oder Link den Weg ins Haus sucht, gehört eine ordentliche Firewall, Content Filter Systeme und Sperren sowie eine Mail Appliance vor das Netz.
NetzwerkDude
NetzwerkDude 08.07.2020 um 10:06:41 Uhr
Goto Top
Nein, weil die User einfach das MS Office weiterbenutzen wollen, kann ich nicht für sicherheit sorgen ¯\_(ツ)_/¯
ArnoNymous
ArnoNymous 08.07.2020 um 10:08:46 Uhr
Goto Top
Zitat von @Fennek11:

Hallo,


Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?



Moin,

ja.
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät. Schlimmer ist es nur, wenn sie es nicht tut ;)

Gruß
GNULinux
GNULinux 08.07.2020 aktualisiert um 11:51:11 Uhr
Goto Top
Zitat von @ArnoNymous:
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät.

Fast? Dann IST es zu spät. AV sind ein eigener Angriffsvektor, weil hochkomplexe Black-Box. Wer jetzt aber glaubt, deswegen würden die AV-Hersteller besondere Sorgfalt walten lassen und überdurchschnittliche Qualitätsanforderungen in ihrer Software durchsetzen, der outet sich als äußerst naiv:

Nur mal ein aktuelles Beispiel:
Avast führt verdächtigen Code innerhalb eines hoch privilegierten Prozesses aus, ohne dass dieser in einer Sandbox eingesperrt ist. Das ist in etwa so, als ob der Wächter in einem Lager mit Pulverfässern mit brennenden Fackeln jongliert.

Zitat von @ArnoNymous:
Schlimmer ist es nur, wenn sie es nicht tut ;)

Also wenn der User die Schadsoftware ausgeführt hätte, läuft die in einer vernünftig konfigurierten Umgebung nicht mit root Rechten und kann somit weniger Schaden anrichten. Das sollte ausreichen, um ein großes Fragezeichen hinter diese Aussage zu packen.

Ich finde es sowieso erschreckend, wie viele auch im Jahre 2020 noch den Virenscannern zu vertrauen scheinen. Laut AV-Test Institut gibt es über 350.000 Schadprogramme pro TAG. Selbst wenn ein Virenscanner eine Erkennungsrate von 99% besitzt (was ich schon für optimistisch halte, aber gehen wir mal vom besten Falle aus) heißt das, der erkennt 3.500 Schädlinge nicht - und das jeden Tag, unter optimalen Bedingungen. Morgen sind es schon 7000. Lassen wir ein WE verstreichen, ist die 10.000er Marke geknackt.

Solche Zahlen sind natürlich mit Vorsicht zu genießen, da es schlicht unmöglich ist, sämtliche Schadsoftware zu kennen. Aber sie zeigen einem, in welchen Dimensionen wir da agieren. Ob die Erkennungsrate am Ende bei 99%, 90% oder auch nur 50% liegt, ist mit Weitblick zweitrangig wenn man bedenkt, dass nur EIN Schädling reicht, um den GAU auszulösen. Und die oben beispielhaft angesprochene Gefahr durch AVs selbst ist hier noch gar nicht einkalkuliert.

Deswegen finde ich die Frage vom TE interessant:
Er impliziert ja eben, dass die Sicherheit außerhalb von AVs stattfinden sollte, dem ich nur zustimmen kann. Bei mir im Betrieb ist das großteils auch bereits implementiert. Einzige Ausnahme sind aktuell Powerpoint Dateien. Das hat MS wieder mal hervorragend gemacht, dass man ohne Makros keinen Seitenzähler da rein bekommen hat. Als Workaround wird evaluiert, die wenigstens zu signieren. Zumindest der Rest wird aber gefiltert. Wenn der Benutzer meint die Daten zu brauchen, wendet er sich an die IT. Der Second Level Support prüft das dann ggf. Ist aber die Ausnahme.

Durch Schulung und Sensibilisierung haben viele Benutzer meines Eindrucks nach auch bereits ein grundlegendes Verständnis bekommen. Es gibt viele Phishingversuche und oft bekommen wir das mit bevor Schaden entstehen kann, weil die Leute das erkennen und sich an den Support wenden. Dementsprechend kommt es selten vor, dass jemand tatsächlich den Anhang Bewerbungsunterlagen.zip.exe haben möchte.
ArnoNymous
ArnoNymous 08.07.2020 um 11:52:45 Uhr
Goto Top
Zitat von @GNULinux:

Zitat von @ArnoNymous:
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät.

Fast? Dann IST es zu spät. AV sind ein eigener Angriffsvektor, weil hochkomplexe Black-Box. Wer jetzt aber glaubt, deswegen würden die AV-Hersteller besondere Sorgfalt walten lassen und überdurchschnittliche Qualitätsanforderungen in ihrer Software durchsetzen, der outet sich als äußerst naiv:

Nur mal ein aktuelles Beispiel:
Avast führt verdächtigen Code innerhalb eines hoch privilegierten Prozesses aus, ohne dass dieser in einer Sandbox eingesperrt ist. Das ist in etwa so, als ob der Wächter in einem Lager mit Pulverfässern mit brennenden Fackeln jongliert.

Zitat von @ArnoNymous:
Schlimmer ist es nur, wenn sie es nicht tut ;)

Also wenn der User die Schadsoftware ausgeführt hätte, läuft die in einer vernünftig konfigurierten Umgebung nicht mit root Rechten und kann somit weniger Schaden anrichten. Das sollte ausreichen, um ein großes Fragezeichen hinter diese Aussage zu packen.


Stimmt, weil ich ja davon sprach, das AV-Software die einzige Sicherheitsmaßnahme darstellen sollte. Kannst dein großes Fragezeichen wieder einpacken, bitte.

Ich finde es sowieso erschreckend, wie viele auch im Jahre 2020 noch den Virenscannern zu vertrauen scheinen. Laut AV-Test Institut gibt es über 350.000 Schadprogramme pro TAG. Selbst wenn ein Virenscanner eine Erkennungsrate von 99% besitzt (was ich schon für optimistisch halte, aber gehen wir mal vom besten Falle aus) heißt das, der erkennt 3.500 Schädlinge nicht - und das jeden Tag, unter optimalen Bedingungen. Morgen sind es schon 7000. Lassen wir ein WE verstreichen, ist die 10.000er Marke geknackt.

Solche Zahlen sind natürlich mit Vorsicht zu genießen, da es schlicht unmöglich ist, sämtliche Schadsoftware zu kennen. Aber sie zeigen einem, in welchen Dimensionen wir da agieren. Ob die Erkennungsrate am Ende bei 99%, 90% oder auch nur 50% liegt, ist mit Weitblick zweitrangig wenn man bedenkt, dass nur EIN Schädling reicht, um den GAU auszulösen. Und die oben beispielhaft angesprochene Gefahr durch AVs selbst ist hier noch gar nicht einkalkuliert.

Diesen Gedanken finde ich höchst abwegig. Nur weil ein Produkt keine 100%ige Sicherheit beitet, wird sie dadurch nicht nutzlos.
Ein Sicherheitsgurt oder die Grippeimpfung bieten das auch nicht, trotzdem nutzt man sie. Ein Sicherheitskonzept besteht natürlich immer aus einer Vielzahl von Komponenten und Maßnahmen. Sorry, dass man hier nicht immer das komplette Lehrbuch ausbreitet, wenn jemand eine gezielte Frage stellt. Aber gibt manchen dann natürlich immer die Möglichkeit mal wieder ein wenig den Experten raushängen zu lassen.
GNULinux
GNULinux 08.07.2020 um 13:46:35 Uhr
Goto Top
Zitat von @ArnoNymous:
Stimmt, weil ich ja davon sprach, das AV-Software die einzige Sicherheitsmaßnahme darstellen sollte. Kannst dein großes Fragezeichen wieder einpacken, bitte.

Das habe ich nie behauptet. Deine Antwort hat wenig mit der von mir zitierten Aussage zutun, in der es darum geht, dass der Virenscanner die Schadsoftware mit root Rechten analysiert ohne das ganze wenigstens in einer Sandbox laufen zu lassen. Außer du meinst damit, es bräuchte Virenscanner für den Virenscanner. Dann ist aber die Frage, zu wie vielen Layern und wie viel Komplexitität das noch führen soll, womit wir schnell wieder beim Thema des tatsächlichen Sicherheitsgewinn solcher Software landen.

Zitat von @ArnoNymous:
Diesen Gedanken finde ich höchst abwegig. Nur weil ein Produkt keine 100%ige Sicherheit beitet, wird sie dadurch nicht nutzlos.

Die Aussage, dass es nur dadurch nicht nutzlos wird, ist zwar prinzipiell richtig. Aber man muss sich eben nicht nur einseitig den möglichen den Nutzen anschauen, sondern auch den möglichen Schaden. Also eben nicht "nur" auf die nicht vorhandene 100%tige Sicherheit schauen. Darum ging es in meinem letzten Beitrag.

Zitat von @ArnoNymous:
Ein Sicherheitsgurt oder die Grippeimpfung bieten das auch nicht, trotzdem nutzt man sie.

Auch da hat man beides gegeneinander aufgewogen und beim Sicherheitsgurt festgestellt: Einer sehr geringen Anzahl an Gurtunfällen steht einer weitaus größeren Anzahl an reduzierten Verletzungen gegenüber. Somit macht das Sinn und ist vernünftig.

Bei Virenscannern ist das dagegen nicht so eindeutig:
- Keiner weiß genau wie viele Viren und Infektionen es gibt, zumal sich das ständig ändert
- Die Opfer selbst wissen teils gar nicht, dass sie infiziert sind, weil die Schadsoftware z.B. ein Werbebot ist, ein Botnet dass auf eine gewisse Größe für einen Angriff wartet, informationen über das Umfeld sammelt um ihn später damit zu erpressen, ...
- Wie hoch die gesamte Erkennungsrate eines AV ist, weiß auch keiner (sieht man schön daran, wie weit die Ergebnisse von Herstellern und unabhängigen Sicherheitsforschern teils auseinander gehen)
- AVs sind komplex und können Lücken im Kern, in einem der vielen Parser, in Erweiterungen (z.B. Browser) uvm aufweisen
- Ganz zu schweigen von den ganzen Wundermitteln, die als "Zusatz" mit drin sind: Firewall, Webfilter, Exploitfilter usw.
- Aufgrund der vollen Rechte sind Lücken besonders schwerwiegend und können schwere Schäden verursachen bis hin zur Zerstörung des gesamten Systemes
- Sicherheitslücken im AV können daher eine Kompromittierung auch erst möglich machen - Die Botnetz-Betreiber sind bestimmt große Symantec Fans

Hier können wir also nicht einfach Tests durchführen und in die Statistiken schauen wie beim Beispiel des Sicherheitsgurtes. Dort sieht man ja bereits sehr deutlich, wie die Unfalltoten dadurch massiv sinken statt zu steigen, während parallel immer mehr Menschen Auto fahren. Es gibt also keinerlei Anhaltspunkte, dass die Nachteile den Vorteilen auch nur ansatzweise überwiegen.

Wir haben auf der einen Seite AVs, die oft schlampig programmiert worden zu sein scheinen, wenn man sich die Exploits der letzten Jahre anschaut (da gibts noch weit mehr als nur die paar hier gezeigten Beispiele). Darüber hinaus sind sie komplex mit zig Funktionen, was schon mal im Gegensatz zu gängigen Best-Practices steht.

Dann sollte man sich mal vor Augen halten, wie ein AV funktioniert. Software-Binaries zu analysieren dauert Tage oder sogar Wochen, vor allem wenn der Entwickler sie dagegen schützt. Das kann ein AV nicht einfach herzaubern, auch nicht mit Cloud. Also muss getrickst werden, womit wir uns von seriöser Bedrohungsabwehr doch etwas entfernen. Als Kollateralschaden kommt es regelmäßig zu Problemen mit anderen Programmen, teils sogar mit Windows selbst. Es kann also passieren, dass man z.B. nach einem Update nicht mehr vernünftig arbeiten kann. Ist zwar keine Schadsoftware, aber dennoch ein (zeitlicher) Schaden.

Als Konsequenz daraus kann ein Virenscanner gar nicht alles erkennen. Bei neuer Schadsoftware (die es regelmäßig gibt) wird nur ein Bruchteil erkannt, wenn die Verhaltenserkennung nicht anschlägt. Erst später kennen die AVs die Software und liefern Signaturen nach. Oft liefern auch die Banditen nach (Stichwort FUD) und das Katz-und-Maus-Spiel geht wieder von vorne los. Bei jeder Änderung können zahlreiche Opfer erfolgreich infiziert werden. Verhält sich die Schadsoftware unauffällig, merken es die AVs ggf auch erst noch später.

Nicht zu missachten ist auch, dass die AVs natürlich selbst Daten sammeln um neue Signaturen generieren zu können. Somit ist mindestens mit Metadaten zu rechnen, eventuell sogar mit dem Abfluss von Inhaltsdaten. Gerade wenn es um sensible Daten geht, sollte das auch bedacht werden.

Soweit mal zu den Fakten. Worüber man nun diskutieren kann, ist, welche Seite der Wage schwerer wiegt. Und worüber man auch diskutieren sollte: Ob die richtigen Gewichte auf der Wage liegen. Denn wie bereits gesagt ist es keineswegs so, dass man zwingend und alternativlos ein AV einsetzen muss. Schon gar nicht flächendeckend überall.

Mit dem Sicherheitsgurt ließe sich das nur vergleichen, wenn der Sicherheitsgurt regelmäßig wegen schlechter Qualität reißen und immer wieder auch mit Brennen anfangen würde, sodass er die ansonsten nur leicht verletzten Insassen auch mal tötet. Dann haben wir eine unvollständige und zerstörerische Wirkung, wie sie auch bei AVs der Fall ist. Unter diesen Umständen würde man auch neu hinterfragen, ob ein derartiger Sicherheitsgurt insgesamt mehr Vor- oder Nachteile bietet. Durch den Gurtbrand könnten auch umliegende Menschen oder Dinge beschädigt werden (weitere Autos brennen, Benzintank, Häuser etc), vergleichbar mit einer Infektion von anderen PCs im Netzwerk, wenn aufgrund des AVs der PC kompromittiert wurde.

Das ist natürlich nüchtern betrachtet hypothetisch und unsinnig. Wenn hier nun die Frage aufkommt, warum ein Gurt plötzlich brennen sollte, wurde das Beispiel nicht verstanden. Erst mit diesen Umständen würden Sicherheitsgurt und AV vergleichbar, weil ein Sicherheitsgurt viele Vorteile mit sehr wenig Nachteilen bietet, ein AV dagegen eine deutlich längere und schwerwiegendere Liste an möglichen "Kollateralschäden". Spätestens jetzt sollte deutlich werden, warum Virenscanner in der IT deutlich umstrittener sind als Sicherheitsgurte ;)

Zitat von @ArnoNymous:
Ein Sicherheitskonzept besteht natürlich immer aus einer Vielzahl von Komponenten und Maßnahmen. Sorry, dass man hier nicht immer das komplette Lehrbuch ausbreitet, wenn jemand eine gezielte Frage stellt. Aber gibt manchen dann natürlich immer die Möglichkeit mal wieder ein wenig den Experten raushängen zu lassen.

So natürlich ist das bei allen eben nicht. Gibt (unabhängig von diesem Thema) noch genug Kandidaten, die sich einen Virenscanner installieren und sich dann für unbesiegbar halten, weil der Hersteller vollen Schutz vor allem verspricht mit Cloud und sonst was. Musst doch nicht gleich unsachlich werden und abwertend reagieren, weil wir da scheinbar unterschiedliche Erfahrungen haben.