Inhalt
- Die Notwendigkeit einer Taxonomie
- Taxonomie-Vokabulare
- Vokabular für schädliche Software
- Vokabular für schädliche Software-Nutzdaten
- Software Detection Tools Vokabular
- Taxonomische Klassifikationen
- Schädliche Software
- Erkennungswerkzeuge
- Verweise
Die Menge an schädlicher Software wächst rasant und überwältigt die Sicherheitsanbieter. Das Identifizieren und Desinfizieren von Systemen dieser Software bleibt im Bereich der Antivirensoftware. Die Aufrechterhaltung der Virensignaturen und Aktivitätsbeschreibungen, die für den ordnungsgemäßen Betrieb von Antivirensoftware erforderlich sind, kann durch das Fehlen eines Standardklassifizierungssystems für schädliche Software noch verstärkt werden. Die vom Autor vorgeschlagene Taxonomie von schädlicher Software und Erkennungswerkzeugen soll das Verständnis von Praktikern und der Öffentlichkeit verbessern.
Bis Ende 1992 schätzten Daoud, Jebril und Zaqaibeh (2008), dass zwischen 1.000 und 2.300 Viren existierten; Viren waren die einzigen Arten von Infektionen in den Anfangsjahren bösartiger Software. Bis 2002 wurden Trojaner und Würmer in den Mix aufgenommen, und die Anzahl der bekannten Varianten bösartiger Software stieg auf rund 60.000. In der heutigen Zeit gibt es mehr als 100.000 klassifizierte Virusstämme. Beachten Sie, dass viele Nichtpraktiker alle Arten von Malware als Viren klassifizieren.
Die wachsende Menge an schädlicher Software, die täglich auftaucht, überwältigt Sicherheitsunternehmen. In einem Artikel in Security and the Internet (2008) wurde behauptet, dass einige Sicherheitsanbieter „täglich durchschnittlich 15.000 Dateien von Produktbenutzern und CSlRTs (Computer Security Incident Response Teams) und manchmal bis zu 70.000“ (S. 10) Beispieldateien pro Person erhalten Tag zu analysieren. Daoud et al. (2008) zitierten Studien, die zeigten, dass das Verbinden eines Computers mit dem Internet diesen Computer in Intervallen von 39 Sekunden angreifen würde.
Die Notwendigkeit einer Taxonomie
Frühe bösartige Softwareprogramme wurden bereits vor der Berücksichtigung von Ähnlichkeiten zwischen Malware und biologischen Organismen als Viren eingestuft. Li und Knickerbocker (2007) erkannten die Unterschiede zwischen organischen Virusinfektionen und Computervirusinfektionen, stellten jedoch auch gewisse Ähnlichkeiten fest. „Obwohl einer genetisches Material verwendet und der andere eine Reihe von Computeranweisungen verwendet, folgen die beiden ähnlichen Mustern in der Art und Weise, wie Infektionen übertragen werden, und in ihrem Verhalten innerhalb infizierter Wirte“ (S. 339).
Die Klassifizierung von Organismen anhand von Taxonomien hilft Wissenschaftlern, gemeinsame physikalische und Verhaltensmerkmale zu verstehen, und solche Ansätze können im Hinblick auf Computerviren hilfreich sein. Biology-online.org (2008) bot eine Definition der Taxonomie als hierarchische Methode zur Klassifizierung von Organismen nach Rängen an, beispielsweise die Methode unter Verwendung der Unterteilung, Klasse, Gattung und Art, zu der die Merkmale eines Organismus passen. Es wurden spezielle Taxonomien entwickelt, um spezifischen Anforderungen gerecht zu werden. So beschrieb das US-Handelsministerium (2011) eine 1972 entwickelte Taxonomie zur Klassifizierung von Organismen in der Chesapeake Bay.
Klassifikationen von Entitäten in anderen Bereichen als der Biologie sind heute üblich. Angesichts der von Li und Knickerbocker (2007) vorgeschlagenen Ähnlichkeiten zwischen biologischen und Computervirusinfektionen schlägt der Autor vor, dass a Taxonomie bösartiger Software und Erkennungstools kann das Verständnis von Computervirusinfektionen sowohl für den Sicherheitsexperten als auch für die Öffentlichkeit fördern. „Darüber hinaus haben viele Länder ihre eigene Terminologie und Kriterien für die Klassifizierung von Malware, was angesichts der globalen Natur des Internets und der Kriminalität kaum ideal ist“ (Security and the Internet, 2008, S. 10). Die Grundlage für eine solche Taxonomie wird in diesem Papier angeboten.
Taxonomie-Vokabulare
Drupal.org (2005), ein bekannter Herausgeber des Content Management Systems, schrieb vor, dass eines der wichtigsten Elemente für die Erstellung einer Taxonomie die Entwicklung des Wortschatzes ist. Die Vokabeln für die vorgeschlagene Taxonomie bösartiger Software und Erkennungstools würde die Begriffe enthalten, um sowohl die Erkennungswerkzeuge als auch die von diesen Werkzeugen erkannte Software zu beschreiben.
Diese vorgeschlagenen Vokabeln könnten wie folgt sein:
Vokabular für schädliche Software
- Adware: Software, die Werbung enthält, die ohne Wissen oder Erlaubnis des Benutzers auf das System des Benutzers heruntergeladen wurde und häufig zu einer Browserumleitung, Popup-Werbung oder Pop-under-Werbung führt, ist Adware.
- Auto-Rooter: Software, die von Hackern entwickelt wurde, um automatisch in ein zuvor unberührtes Remote-System einzudringen, ist ein Auto-Rooter.
- Hintertür: Ein Mechanismus, der normalerweise von einem Entwickler in ein Programm eingefügt wird, um normale Sicherheitskontrollen zu Testzwecken zu umgehen, ist eine Hintertür. Programmierer vernachlässigen es oft, Hintertüren zu entfernen, wenn der Test abgeschlossen ist.
- Bootsektor-Infektor: Malware, die den Master Boot Record (MBR) einer Systempartition infiziert, sodass die Malware beim Booten des Systems ausgeführt wird, ist ein Bootsektorinfektor.
- Downloader: Die Komponente eines typischen Trojaner-Angriffs, der andere schädliche Software herunterlädt, ist ein Downloader.
- Verschlüsselter Virus: Ein Virus, der einen Verschlüsselungsalgorithmus zusammen mit einem Verschlüsselungsschlüssel verwendet, um den Inhalt des Virenpakets zu verschleiern, ist ein verschlüsselter Virus. Das infizierte System entschlüsselt das Paket nach Erhalt mit dem empfangenen Verschlüsselungsschlüssel und ändert den Schlüssel vor der erneuten Übertragung des Virus auf das System eines anderen Opfers, sodass der Virus Antivirenscannern nicht dieselbe Signatur präsentiert.
- Makrovirus: Ein Virus, der eher die Makrofähigkeit eines Dokuments als den Programmcode infiziert, ist ein Makrovirus.
- Metamorphes Virus: Ein Virus, der den Viruscode bei jeder Infektion vollständig neu schreibt, ist ein metamorpher Virus. Metamorphe Viren unterscheiden sich von polymorphen Viren darin, dass sich nicht nur das Erscheinungsbild des Codes ändert, sondern die Viren tatsächlich ihren eigenen Programmcode ändern.
- Polymorphes Virus: Ein Virus, der das Erscheinungsbild des Viruscodes ändert, der Antivirensoftware bei jeder Infektion angezeigt wird, um die Wahrscheinlichkeit einer Signaturübereinstimmung auszuschließen, ist ein polymorpher Virus.
- Trojanisches Pferd: Benannt nach der Geschichte des Trojanischen Pferdes, lockt ein Trojanisches Pferd ein Opfer an, indem es als nützliches Programm erscheint, aber die wahre Funktion des Programms kann böswilliger Natur sein. Ein Trojaner-Programm erhält die Berechtigungsstufe des Benutzers, der die Malware unwissentlich installiert, sodass die Software häufig uneingeschränkten Zugriff auf das System erhält.
- Virus: Ein Softwarepaket, das in legitimen ausführbaren Code für den Transport auf ein anderes System zusammengeführt wird, ist ein Virus. Der ursprüngliche ausführbare Code gilt als infiziert, wenn der Virencode erfolgreich in diese ausführbare Datei eingefügt wurde. Durch Ausführen des infizierten Codes wird auch der Virus ausgeführt.
- Wurm: Im Gegensatz zu einem Virus muss ein Wurm nicht in anderen ausführbaren Code zusammengeführt werden, um auf andere Systeme transportiert zu werden. Ein Wurm kann sich über ein Netzwerk selbst replizieren, um andere Hosts zu lokalisieren und zu infizieren und bei Ankunft auszuführen. (Stallings and Brown, 2008)
Vokabular für schädliche Software-Nutzdaten
- Flooder: Eine böswillige Nutzlast, die einen Denial-of-Service-Angriff durch die Erzeugung massiver Mengen an Netzwerkverkehr auslösen soll, ist ein Flooder.
- Keylogger: Eine böswillige Nutzlast, die erfasste Tastenanschläge an ein anderes System überträgt, ist ein Keylogger.
- Logikbombe: Eine Logikbombe wartet auf eine bestimmte Zeit oder ein bestimmtes Ereignis, um eine böswillige Aktivität auszulösen, z. B. das Löschen von Dateien.
- Rootkit: Tools, die in einer Nutzlast enthalten sind, um Malware zu verbergen oder einem Hacker den Wiedereintritt in ein kompromittiertes System zu ermöglichen, sind ein Rootkit.
- Spammer-Programm: Werbung, Pornografie und Marketingmaterial, das ohne Zustimmung per E-Mail an eine Person gesendet wird, werden als SPAM bezeichnet. Ein Spammerprogramm ist ein Nutzlastpaket, das riesige Mengen an SPAM sendet.
- Spyware: Spyware sammelt persönliche oder vertrauliche Informationen von einem Benutzer und leitet diese Informationen an ein anderes System weiter. (Stallings and Brown, 2008)
Software Detection Tools Vokabular
- Signaturbasierter Scanner: Das Erfassen eines eindeutigen Ausschnitts von Computercode und das Verwenden dieses Ausschnitts zum Identifizieren von schädlicher Software ist die Erkennungsmethode, die signaturbasierte Scanner charakterisiert.
- Heuristikbasierter Scanner: Die Verwendung einer Methode, die das Verhalten von Malware kennenlernen kann, ist das Merkmal, das heuristikbasierte Scanner identifiziert.
Taxonomische Klassifikationen
Wie bereits erwähnt, ist eine Taxonomie eine Klassifizierungsmethode. Eine taxonomische Klassifizierung von schädlicher Software und Erkennungstools könnte beginnen, sobald die Vokabulare definiert sind. Die taxonomische Klassifizierung von schädlicher Software und Erkennungstools würde sowohl die schädliche Software als auch die Tools zur Erkennung und Entfernung dieser Software klassifizieren.
Schädliche Software
Die Klassifizierung der obersten Ebene für schädliche Software würde anzeigen, ob die Software unabhängig ist. Echte Computerviren hängen von Hostprogrammen ab, um auf andere Systeme zu replizieren, und Stallings und Brown (2008) bezeichneten Viren als parasitär.Diese Softwarebits sind „im Wesentlichen Fragmente von Programmen, die nicht unabhängig von einem tatsächlichen Anwendungsprogramm, Dienstprogramm oder Systemprogramm existieren können“ (S. 216). Andere schädliche Softwaretypen sind unabhängige Programme, die ohne die Hilfe eines ausführbaren Hostprogramms existieren und ausgeführt werden.
Schädliche Software kann in zwei Kategorien unterteilt werden, die angeben, ob die Software eine Nutzlast liefert oder nicht. Wenn die Software eine Nutzlast liefert, wird die Art der gelieferten Nutzlast zur Klassifizierung aus dem Vokabular hinzugefügt. Die endgültige Klassifizierungsebene würde anzeigen, ob der Schadcode sein Erscheinungsbild ändert.
Daoud et al. (2008) erklärten, dass metamorphe Viren ihr Erscheinungsbild durch Neuprogrammierung des Schadcodes verändern. Diese Neuprogrammierung ändert die Verhaltensmerkmale der Programmausführung, wodurch auch das Aussehen des Virus in Signaturerkennungsalgorithmen geändert wird. „Metamorphe Viren verwenden mehrere metamorphe Transformationen, einschließlich Befehlsumordnung, Datenumordnung, Inlining und Gliederung, Umbenennung von Registern, Codepermutation, Codeerweiterung, Codeverkleinerung, Verschachtelung von Unterprogrammen und Einfügen von Müllcode“ (S. 127). Polymorphe Viren verschleiern einfach das ursprüngliche Erscheinungsbild, um die Erkennung durch Signaturscanner zu vermeiden.
Erkennungswerkzeuge
Die vorherrschende Strategie zur Erkennung schädlicher Software, wie von Evans-Pugh (2006) erläutert, durchsucht Dateien nach Codefragmenten, die als Virensignaturen bezeichnet werden. Wenn eine Signatur eines Scans mit einem Teil des Codes in einer Testdatei übereinstimmt, wird festgestellt, dass die Datei infiziert ist. Diese Art der Erkennung kann als signaturbasierter Virenscan klassifiziert werden. Wenn ein signaturbasierter Scanner eine infizierte Datei identifiziert, versucht der Scanner, die Datei zu desinfizieren, um das von der schädlichen Software zur gescannten Datei hinzugefügte Codefragment zu entfernen. Diese Scanner legen infizierte Dateien häufig in einem Quarantäneverzeichnis ab, wenn die Desinfektion fehlschlägt.
Der andere Scannertyp ist dynamischer und verwendet eine heuristische Methode, um die Aktivität von schädlicher Software zu ermitteln. Daoud et al. (2008) erklärten, dass heuristische Erkennungsmethoden den Code eines Programms ausführen und die Aktivität der Software überwachen. Anschließend werden diese Aktivitäten mit bekannten Methoden zur Virenaktivität verglichen. „Zum Beispiel müssen die meisten Virenaktivitäten möglicherweise einige Systemfunktionen wie E / A-Vorgänge aufrufen. Nur diese Aktionen müssen berücksichtigt werden. Unabhängig davon, wie verschleiert die E / A-Anrufe statisch sind, werden die Anrufe deutlich angezeigt (S. 125).
Eine andere Art der heuristischen Erkennung bösartiger Software vergleicht die Aktivität eines Programms mit der normalen Lernaktivität realer Benutzer. Verhaltensblocker führen den Testcode in Echtzeit aus, während sie die Aktivität analysieren. Prozesse werden dann abgebrochen, wenn ein abnormales Verhalten festgestellt wird. Zum Beispiel: „Menschen, die einen Computer verwenden, stellen normalerweise eine oder zwei Netzwerkverbindungen pro Sekunde her. Wenn ein Code auf einem Computer versucht, 10.000 Verbindungen pro Sekunde herzustellen, wissen Sie, dass er bösartig ist“ (Evans-Pughe, 2006, S. 22). 33).
Sowohl signaturbasierte Erkennungsmethoden als auch dynamische oder heuristische Methoden weisen einige Hauptnachteile auf. Signaturbasierte Erkennungsmethoden können nur Software identifizieren, für die sie Signaturdateien verwalten. Diese Tools zur Erkennung bösartiger Software identifizieren keine Software, für die keine Signatur vorhanden ist. Daher müssen sie ständig aktualisiert werden, um mit neuen Signaturen auf dem neuesten Stand zu bleiben. Die Ausführung kann auch länger dauern, wenn die Signaturbasis wächst. Heuristische Methoden können das normale Verhalten falsch klassifizieren und entweder schädliche Software ausführen oder normale Aktivitäten blockieren.
Verweise
Biology-online.org (2008). Taxonomie: Definition. Verfügbar unter http://www.biology-online.org/dictionary/Taxonomy
Daoud, E., A., Jebril, I., H. & Zaqaibeh, B. (2008). Computervirus-Strategien und Erkennungsmethoden. Internationale Zeitschrift für offene Probleme in Informatik und Mathematik. 1(2), 122-129. Heruntergeladen am 4. September 2011 von http://www.ijopcm.org/files/IJOPCM(vol.1.2.3.S.8).pdf
Drupal.org (2005). Dokumentation: Vokabeln und Begriffe. Verfügbar unter http://drupal.org/node/22272
Evans-Pughe, C. (2006). Natürliche Abwehrkräfte [Datensicherheit]. Technik & Technologie (17509637)1 (6), 30-33. doi: 10.1049 / et: 20060603
Li, J. & Knickerbocker, P. (2007). Funktionelle Ähnlichkeiten zwischen Computerwürmern und biologischen Krankheitserregern. Computer & Sicherheit, 26(2007), 338 & ndash; 347. Abgerufen am 14. Juli 2011 von http://netsec.cs.uoregon.edu/research/papers/li07bio.pdf
Sicherheit und Internet. (2008). OECD-Beobachter, (268), 10-11.
Stallings, W. & Brown, L. (2008). Kapitel 7: Schädliche Software. Grundsätze und Praktiken der Computersicherheit. Upper Saddle River, New Jersey: Pearson Education, Inc.
Handelsministerium der Vereinigten Staaten (2011). Geschichte des taxonomischen NODC-Codes. Verfügbar unter http://www.nodc.noaa.gov/General/CDR-detdesc/taxonomic-v8.html
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.