E-mail senden E-Mail Adresse kopieren

2021-04-01
Annabelle Theobald

Im Baum versteckt: Wie sich Malware geschickt dem wachsamen Auge von
Scanner-Programmen entzieht

CISPA-Forscherin Aurore Fass hat ihre Erkenntnisse auf der IT-Konferenz CCS vorgestellt
Forschung

Täglich werden Hundertausende neue Schadprogramme weltweit registriert. Solche Viren, Spyware und Trojaner können Netzwerke komplett lahmlegen, sie spionieren Nutzer aus, rauben kritische Daten und schädigen Betriebssysteme. Um Schadprogramme zu erkennen und sie vom Computer zu entfernen, kommen verschiedene Arten von Malware-Scannern zum Einsatz. Einige dieser Programme klassifizieren Skripte anhand ihrer syntaktischen Struktur als gut- oder bösartig. Allerdings lassen sich diese Strukturen geschickt manipulieren und die Scanner damit unbrauchbar machen. Das hat CISPA-Forscherin Aurore Fass in Zusammenarbeit mit Faculty Dr. Ben Stock und Gründungsdirektor und CEO Prof. Dr. Dr. h.c. Michael Backes in einem Paper gezeigt, das sie auf der ACM-Konferenz CCS (Computer and Communications Security) präsentierte, einer der wichtigsten Cybersicherheitskonferenzen der Welt.

Syntax Programmieren Die auch beachten zu ist beim. Das ist offensichtlich kein sinnvoller Satz, obwohl mit diesen Wörtern ein solcher gebildet werden könnte. Was fehlt, ist die syntaktische Struktur. Denn Sätze sind keineswegs bloß die Aneinanderreihung von Wörtern. Sie setzen sich aus Satzgliedern zusammen, die wiederum auf bestimmte Art und Weise strukturiert sind. Ähnlich wie die Äste eines Baumes verzweigen sich die Strukturen in immer feinere Verästelungen. Nicht nur die natürlichen Sprachen, derer wir uns Tag für Tag bedienen, sind so aufgebaut. Auch Programmiersprachen wie JavaScript haben eine ganz ähnliche Struktur. Und genau die kann ein Einfallstor für Schadangriffe sein, wie die Forscher herausgefunden haben.

„JavaScript wurde ursprünglich entwickelt, um Webseiten dynamischer und benutzerfreundlicher zu machen.  Heute kommt es bei über 90 Prozent der Webseiten zum Einsatz“, erklärt Fass. Da es die Arbeit auf den Browser des Benutzers verlagere, werde JavaScript jedoch auch gerne für bösartige Aktivitäten genutzt. So versuchten Angreifer darüber zum Beispiel ungewollt Schadprogramme auf Rechner zu laden oder Nutzer auf Webseiten umzuleiten, die schadhaften Code enthalten, sagt Fass.

Um das zu verhindern, kommen in Firmen und Privathaushalten verschiedene Arten von Malware-Scannern zum Einsatz. Man unterscheide dabei vor allem statische und dynamische Malware-Detektoren, erklärt Fass. Bei einer dynamischen Analyse der Schadsoftware werden Dateien ausgeführt, wobei die Software genau deren Verhalten beobachtet, um sie zu klassifizieren. Statische Malware-Scanner hingegen führen die Dateien nicht aus. Sie suchen stattdessen nach bestimmten Wörtern oder syntaktischen Strukturen in den Skripten, die Hinweise auf bösartige Funktionen liefern können. Besonders, wenn die Scanner mithilfe von maschinellem Lernen trainiert werden, können solche Programme laut Fass sehr effektiv bei der Erkennung auch bislang unbekannter Schadsoftware sein. 

Eigentlich. Denn die CISPA-Forscher:innen haben einen Angriff konzipiert, der so in die Baumstruktur von JavaScript-Befehlen eingreift, dass viele Malware-Scanner bösartige „Äste“ nicht mehr von gutartigen unterscheiden können. Die Baumstrukturen der 10.000 beliebtesten Webseiten der Welt konnten von den Forschern samt eingebautem Schadcode nachgebildet werden und die Scanner täuschen.  Dieser Tarnangriff, genannt „HideNoSeek“, umgeht dabei nicht nur einzelne Detektoren, sondern die gesamte Klasse der auf syntaktischen Merkmalen basierenden Malware-Scanner. Die Detektoren lassen sich laut Fass zwar mithilfe des maschinellen Lernens auch darauf trainieren, solche Strukturen als problematisch zu erkennen. Allerdings führe das in rund 89 Prozent der Fälle dazu, dass die Scanner auch ungefährliche Skripte fälschlicherweise als bösartig klassifizieren. Malware-Scanner die standardmäßig trainiert werden, erkennen in 99,98 Prozent der Fälle dafür die bösartigen Strukturen nicht, so Fass.  Letztlich wird die Scanner-Software also so oder so durch einen solchen Angriff unbrauchbar. Die CISPA-Forscher:innen hoffen, dass aufgrund ihrer Arbeit künftig verlässlichere  Malware-Detektoren entwickelt werden können.

Aurore Fass kommt aus Frankreich und hat die Grande École in Nancy besucht. Ihre Masterarbeit hat sie 2017 beim Bundesamt für Sicherheit in der Informationstechnik geschrieben.  Im Oktober 2017 ist sie als PHD-Studentin ans CISPA gekommen. Fass beschäftigt sich in ihrer Forschung vor allem mit der Sicherheit von JavaScript, statischer Code-Analyse, Sicherheitslücken-Erkennung und Malware. Die 26-Jährige hat ihre PHD-Thesis im Oktober 2020 eingereicht und muss diese nur noch verteidigen. Ende des Sommers soll es für sie dann im Rahmen des Stanford-Programm des CISPA an die Stanford University nach Kalifornien gehen. „Ich will mich thematisch noch ein wenig verbreitern und mit den Forschern dort zusammenarbeiten. Ich freue mich schon sehr darauf“, sagt Fass. IT-Sicherheit habe sie schon immer fasziniert, weshalb ihre Wahl früh auf dieses Forschungsfeld fiel. „Irgendwie kam nie etwas anderes für mich in Frage.“

Hier geht's zum Paper