Lesezeit
4 Minuten
Malware-Schutz aus der Cloud
Quasi alle Antimalware-Hersteller setzen zwischenzeitlich auf die Cloud, um aktuelle Daten zur Malware-Verbreitung zu sammeln und zeitnah neue Signaturen auf den Weg zu bringen. Microsoft erfasst nach eigenen Angaben Telemetriedaten von mehr als einer Milliarde Windows-Rechner weltweit. In unserem Grundlagenartikel erläutern wir exemplarisch, wie der hauseigene Cloud-Schutz funktioniert.
Täglich erblicken zigtausende neue Malware-Varianten das Licht der Welt. Denn je länger ein Schadcode bereits im Netz kursiert, desto größer ist die Wahrscheinlichkeit, dass er von gängigen Virenscannern irgendwann erkannt wird. Malware-Autoren erhoffen sich daher, durch die schiere Menge an neuen Samples den Antiviren-Herstellern stets einen Schritt voraus zu bleiben – und fahren mehr oder weniger erfolgreich mit dieser Strategie.
Die Antivirus-Industrie ihrerseits versucht, durch heuristische und verhaltensbasierte Analysen auch bislang unbekannte Schädlinge auszumachen. Die Grenze zu Falschmeldungen, bei denen legitime Applikationen als potenziell gefährlich markiert werden, ist dabei fließend. Nicht zuletzt deshalb setzen die meisten AV-Anbieter parallel auf eine Cloud-basierte Erkennung gut- und bösartiger Software. Wie dies bei Microsofts hauseigenen Malware-Scannern funktioniert, beschreibt ein Blog-Beitrag [1] des Microsoft Malware Protection Centers (MMPC).
Eine Milliarde Rückmeldungen
Inzwischen sollen demnach mehr als eine Milliarde Windows-Rechner weltweit mit Microsofts Virenscannern an Bord mögliche Infektionen samt deren Auswirkungen an die Microsoft-Cloud melden. Zu den Antimalware-Programmen gehören Microsoft Security Essentials (Windows Vista und 7), Windows Defender (Windows 8 und 8.1) sowie in Unternehmen System Center Endpoint Protection und Forefront Endpoint Protection. Das eher unglücklich bezeichnete "SpyNet" hat Microsoft zwischenzeitlich in "Microsoft Active Protection Service" (MAPS) umbenannt. Nutzer können sich entscheiden, ob sie den Cloud-Dienst als "Einfaches Mitglied" oder "Premiummitglied" verwenden möchten.
In der Standard-Einstellung "Einfaches Mitglied" soll MAPS den Nutzer vor bislang unbekannter Schadsoftware schützen. Macht der Scanner eine verdächtige Datei aus, ohne sie eindeutig identifizieren zu können, schickt er Informationen zu dem File verschlüsselt an MAPS. Dazu gehören unter anderem die URL, von der die Datei stammt, sowie Pfadausschnitte, in denen sie aktiv ist. Daraufhin erhält er eine Rückmeldung, ob die Datei schädlich ist oder nicht. Bei Bedarf wird dann auch die aktuellste Signaturversion heruntergeladen, um den Schädling bekämpfen zu können. Über den Erfolg oder Misserfolg der Abwehrmaßnahmen gibt der Virenscanner ebenfalls Auskunft.
Schnellerer Schutz für alle
Parallel erhält Microsoft technische Informationen darüber, auf welchen Wegen zurzeit Infektionen in der Windows-Welt stattfinden. So lässt sich detailliert erfassen, wie häufig welche Schadsoftware vorkommt und was diese auf den PCs genau anrichtet oder anzurichten versucht. Hierzu dient die MAPS-Einstellung "Premiummitglied". Dabei sendet der Virenscanner präzise Daten an Microsoft darüber, welche Auswirkungen ein Schädling auf dem Rechner hat. Dazu gehören unter anderem vollständige Verzeichnispfade und partielle Speicherabbilder. Mit diesen Angaben lassen sich dann neue Signaturen für alle Microsoft-Antimalware-Nutzer erstellen.
Wie häufig ein Antimalware-Produkt im Alltag die Cloud konsultiert, ist von Hersteller zu Hersteller unterschiedlich. Gleiches gilt für den Umfang an übermittelten Informationen [2]. Microsoft Security Essentials und Windows Defender greifen laut Microsoft in einem 6-Monats-Zeitraum durchschnittlich in fünf Prozent der Fälle auf die Cloud zurück. System Center Endpoint Protection nutzt den Cloud-Dienst hingegen durchschnittlich in 10 Prozent. Natürlich besteht auch die Möglichkeit, ganz auf MAPS zu verzichten und gar keine Telemetriedaten zu übermitteln. Dann jedoch steht auch der Cloud-basierte Schutz vor unbekannter Malware nicht zur Verfügung.
Freund oder Feind: Kritierien für die Cloud-Analyse
Aber auf welchen Kriterien basieren die Cloud-Analysen, die die Schädlingsbekämpfer zu Rate ziehen? Lässt sich eine Software nicht eindeutig als schädlich identifizieren, müssen Indizien für eine mögliche Gut- oder Bösartigkeit gewichtet werden. Daraus ergibt sich dann die Reputation einer Software. Eine wichtige Rolle spielen in diesem Prozess Zertifikate, mit denen sich Programme digital signieren lassen. Stammen diese von einem vertrauenswürdigen Aussteller beziehungsweise Software-Hersteller, ist die Wahrscheinlichkeit schon recht hoch, dass es sich um gutartige Software handelt.
Natürlich beeinflusst auch das Verhalten eines Programms bei dessen Ausführung den Ruf. Dazu gehört laut Microsoft etwa die Frage, ob es sich in ungewöhnlichen Orten im System installieren möchte. Auch das Modifizieren sensibler Registry-Werte sowie eine Prozess- oder Thread-Injection lassen die Alarmglocken schrillen. Nicht zuletzt schauen sich die Malware-Analysten das Kommunikationsverhalten der Software mit dem Internet an und prüfen zudem, ob ungewöhnliche oder gar Malware-typische Laufzeitpacker zum Einsatz kommen. Für Entwickler hat Microsoft einen Leitfaden [3] zusammengestellt, mit dem sie ihre Software vor einer fälschlichen Einstufung als Malware bewahren können.
Zusätzliche Malware-Scans über Windows Update
Da zahlreiche Nutzer auf andere Virenscanner als die Microsoft-eigenen setzen, nutzen die Redmonder auch die monatlichen Windows Updates für Malware-Scans und als Informationsquelle bezüglich Schadsoftware. So findet während der Updates von den meisten Anwendern unbemerkt ein Virenscan über das sogenannte Malicious Software Removal Tool (MSRT) statt. Dieses sendet ebenfalls Telemetriedaten über Infektionen zurück, die von Microsoft ausgewertet werden. Galt dies bislang für 0,1 Prozent aller Rückmeldungen, hat Microsoft diesen Wert im Oktober 2014 erst auf 10 Prozent und schließlich auf 100 Prozent erhöht [4].
Installiert und ausgeführt wurde das MSRT im Jahr 2014 auf mehr als sieben Milliarden Rechnern [5]. Auf 5,6 Millionen davon wurde Malware entfernt. Dabei fokussiert sich das Tool auf die weitverbreitetsten Schädlingsfamilien. In regelmäßigen Security Intelligence Reports (SIR) [6] bereitet Microsoft die Zahlen und Fakten bezüglich aktueller Bedrohungen wie Exploits und Malware auf. Als technisches Fundament für die Datenerfassung und -analyse dient übrigens die hauseigene Big Data-Plattform Cosmos, auf der auch die Suchmaschine Bing läuft.
Traue keiner Statistik...
Bleibt abschließend die Frage, weshalb die Microsoft-Virenscanner bei dieser Datenmenge in einigen Antiviren-Vergleichstests etwa durch AV-Comparatives oder AV-Test eher mäßig abschneiden, während andere Hersteller regelmäßig mit Erkennungsraten von nahezu 100 Prozent glänzen. Eine wichtige Rolle scheint die Auswahl der verwendeten Virensamples zu spielen. Microsoft argumentiert [7], dass viele der verwendeten Schädlinge im Test in der Praxis kaum vorkämen, während andere Malware, die von vielen bekannten Scannern übersehen wird, in Wirklichkeit zahlreiche Windows-Nutzer betreffe.
Die Tester von AV-Comparatives haben deshalb 2014 untersucht, inwieweit sich die Telemetriedaten von Microsoft von den eigenen unterscheiden und kommen in der Tat auf teils deutlich abweichende Testergebnisse. So scheinen die paar wenigen Prozent, die andere Virenscanner übersehen, in der Realität sehr viel mehr Nutzer zu betreffen, als angenommen. Andererseits sollen die Microsoft-eigenen Scanner trotz ihrer oft kritisierten Erkennungsraten den absolut größten Teil der Nutzer effektiv schützen.
Im Durschnitt nur rund 340 von 100.000 mit Microsoft-AV geschütze Windows-Rechner seien demnach infiziert, was einer Quote von 0,34 Prozent entspräche. Bei anderen teils namhaften AV-Herstellern liege dieser Wert deutlich höher. Auf einer interaktiven Karte [8] lassen sich die von AV-Comparatives und Microsoft ermittelten Erkennungsraten für die eigenen Produkte sowie die der Mitbewerber anschauen. Welchen Zahlen man nun Glauben schenken möchte, bleibt jedem selbst überlassen. Auch darf nicht vergessen werden, dass der Virenschutz nur ein Security-Baustein von vielen [9] ist.
dr
[1] http://blogs.technet.com/b/mmpc/archive/2015/01/20/maps-in-the-cloud_3a00_-how-can-it-help-your-enterprise_3f00_.aspx
[2] http://www.av-comparatives.org/wp-content/uploads/2014/04/avc_datasending_2014_en.pdf
[3] http://blogs.technet.com/b/mmpc/archive/2014/09/22/microsoft-cloud-protection.aspx
[4] http://blogs.technet.com/b/mmpc/archive/2014/11/19/an-inside-look-gathering-and-analyzing-the-sir-data.aspx
[5] http://blogs.technet.com/b/mmpc/archive/2014/12/09/msrt-december-2014.aspx
[6] http://www.microsoft.com/en-us/download/details.aspx?id=44937
[7] http://blogs.technet.com/b/mmpc/archive/2014/08/01/the-future-of-independent-antimalware-tests.aspx
[8] http://impact.av-comparatives.org/
[9] http://www.microsoftvirtualacademy.com/training-courses/security-fundamentals
Die Antivirus-Industrie ihrerseits versucht, durch heuristische und verhaltensbasierte Analysen auch bislang unbekannte Schädlinge auszumachen. Die Grenze zu Falschmeldungen, bei denen legitime Applikationen als potenziell gefährlich markiert werden, ist dabei fließend. Nicht zuletzt deshalb setzen die meisten AV-Anbieter parallel auf eine Cloud-basierte Erkennung gut- und bösartiger Software. Wie dies bei Microsofts hauseigenen Malware-Scannern funktioniert, beschreibt ein Blog-Beitrag [1] des Microsoft Malware Protection Centers (MMPC).
Eine Milliarde Rückmeldungen
Inzwischen sollen demnach mehr als eine Milliarde Windows-Rechner weltweit mit Microsofts Virenscannern an Bord mögliche Infektionen samt deren Auswirkungen an die Microsoft-Cloud melden. Zu den Antimalware-Programmen gehören Microsoft Security Essentials (Windows Vista und 7), Windows Defender (Windows 8 und 8.1) sowie in Unternehmen System Center Endpoint Protection und Forefront Endpoint Protection. Das eher unglücklich bezeichnete "SpyNet" hat Microsoft zwischenzeitlich in "Microsoft Active Protection Service" (MAPS) umbenannt. Nutzer können sich entscheiden, ob sie den Cloud-Dienst als "Einfaches Mitglied" oder "Premiummitglied" verwenden möchten.
In der Standard-Einstellung "Einfaches Mitglied" soll MAPS den Nutzer vor bislang unbekannter Schadsoftware schützen. Macht der Scanner eine verdächtige Datei aus, ohne sie eindeutig identifizieren zu können, schickt er Informationen zu dem File verschlüsselt an MAPS. Dazu gehören unter anderem die URL, von der die Datei stammt, sowie Pfadausschnitte, in denen sie aktiv ist. Daraufhin erhält er eine Rückmeldung, ob die Datei schädlich ist oder nicht. Bei Bedarf wird dann auch die aktuellste Signaturversion heruntergeladen, um den Schädling bekämpfen zu können. Über den Erfolg oder Misserfolg der Abwehrmaßnahmen gibt der Virenscanner ebenfalls Auskunft.
Schnellerer Schutz für alle
Parallel erhält Microsoft technische Informationen darüber, auf welchen Wegen zurzeit Infektionen in der Windows-Welt stattfinden. So lässt sich detailliert erfassen, wie häufig welche Schadsoftware vorkommt und was diese auf den PCs genau anrichtet oder anzurichten versucht. Hierzu dient die MAPS-Einstellung "Premiummitglied". Dabei sendet der Virenscanner präzise Daten an Microsoft darüber, welche Auswirkungen ein Schädling auf dem Rechner hat. Dazu gehören unter anderem vollständige Verzeichnispfade und partielle Speicherabbilder. Mit diesen Angaben lassen sich dann neue Signaturen für alle Microsoft-Antimalware-Nutzer erstellen.
Wie häufig ein Antimalware-Produkt im Alltag die Cloud konsultiert, ist von Hersteller zu Hersteller unterschiedlich. Gleiches gilt für den Umfang an übermittelten Informationen [2]. Microsoft Security Essentials und Windows Defender greifen laut Microsoft in einem 6-Monats-Zeitraum durchschnittlich in fünf Prozent der Fälle auf die Cloud zurück. System Center Endpoint Protection nutzt den Cloud-Dienst hingegen durchschnittlich in 10 Prozent. Natürlich besteht auch die Möglichkeit, ganz auf MAPS zu verzichten und gar keine Telemetriedaten zu übermitteln. Dann jedoch steht auch der Cloud-basierte Schutz vor unbekannter Malware nicht zur Verfügung.
Freund oder Feind: Kritierien für die Cloud-Analyse
Aber auf welchen Kriterien basieren die Cloud-Analysen, die die Schädlingsbekämpfer zu Rate ziehen? Lässt sich eine Software nicht eindeutig als schädlich identifizieren, müssen Indizien für eine mögliche Gut- oder Bösartigkeit gewichtet werden. Daraus ergibt sich dann die Reputation einer Software. Eine wichtige Rolle spielen in diesem Prozess Zertifikate, mit denen sich Programme digital signieren lassen. Stammen diese von einem vertrauenswürdigen Aussteller beziehungsweise Software-Hersteller, ist die Wahrscheinlichkeit schon recht hoch, dass es sich um gutartige Software handelt.
Natürlich beeinflusst auch das Verhalten eines Programms bei dessen Ausführung den Ruf. Dazu gehört laut Microsoft etwa die Frage, ob es sich in ungewöhnlichen Orten im System installieren möchte. Auch das Modifizieren sensibler Registry-Werte sowie eine Prozess- oder Thread-Injection lassen die Alarmglocken schrillen. Nicht zuletzt schauen sich die Malware-Analysten das Kommunikationsverhalten der Software mit dem Internet an und prüfen zudem, ob ungewöhnliche oder gar Malware-typische Laufzeitpacker zum Einsatz kommen. Für Entwickler hat Microsoft einen Leitfaden [3] zusammengestellt, mit dem sie ihre Software vor einer fälschlichen Einstufung als Malware bewahren können.
Zusätzliche Malware-Scans über Windows Update
Da zahlreiche Nutzer auf andere Virenscanner als die Microsoft-eigenen setzen, nutzen die Redmonder auch die monatlichen Windows Updates für Malware-Scans und als Informationsquelle bezüglich Schadsoftware. So findet während der Updates von den meisten Anwendern unbemerkt ein Virenscan über das sogenannte Malicious Software Removal Tool (MSRT) statt. Dieses sendet ebenfalls Telemetriedaten über Infektionen zurück, die von Microsoft ausgewertet werden. Galt dies bislang für 0,1 Prozent aller Rückmeldungen, hat Microsoft diesen Wert im Oktober 2014 erst auf 10 Prozent und schließlich auf 100 Prozent erhöht [4].
Installiert und ausgeführt wurde das MSRT im Jahr 2014 auf mehr als sieben Milliarden Rechnern [5]. Auf 5,6 Millionen davon wurde Malware entfernt. Dabei fokussiert sich das Tool auf die weitverbreitetsten Schädlingsfamilien. In regelmäßigen Security Intelligence Reports (SIR) [6] bereitet Microsoft die Zahlen und Fakten bezüglich aktueller Bedrohungen wie Exploits und Malware auf. Als technisches Fundament für die Datenerfassung und -analyse dient übrigens die hauseigene Big Data-Plattform Cosmos, auf der auch die Suchmaschine Bing läuft.
Traue keiner Statistik...
Bleibt abschließend die Frage, weshalb die Microsoft-Virenscanner bei dieser Datenmenge in einigen Antiviren-Vergleichstests etwa durch AV-Comparatives oder AV-Test eher mäßig abschneiden, während andere Hersteller regelmäßig mit Erkennungsraten von nahezu 100 Prozent glänzen. Eine wichtige Rolle scheint die Auswahl der verwendeten Virensamples zu spielen. Microsoft argumentiert [7], dass viele der verwendeten Schädlinge im Test in der Praxis kaum vorkämen, während andere Malware, die von vielen bekannten Scannern übersehen wird, in Wirklichkeit zahlreiche Windows-Nutzer betreffe.
Die Tester von AV-Comparatives haben deshalb 2014 untersucht, inwieweit sich die Telemetriedaten von Microsoft von den eigenen unterscheiden und kommen in der Tat auf teils deutlich abweichende Testergebnisse. So scheinen die paar wenigen Prozent, die andere Virenscanner übersehen, in der Realität sehr viel mehr Nutzer zu betreffen, als angenommen. Andererseits sollen die Microsoft-eigenen Scanner trotz ihrer oft kritisierten Erkennungsraten den absolut größten Teil der Nutzer effektiv schützen.
Im Durschnitt nur rund 340 von 100.000 mit Microsoft-AV geschütze Windows-Rechner seien demnach infiziert, was einer Quote von 0,34 Prozent entspräche. Bei anderen teils namhaften AV-Herstellern liege dieser Wert deutlich höher. Auf einer interaktiven Karte [8] lassen sich die von AV-Comparatives und Microsoft ermittelten Erkennungsraten für die eigenen Produkte sowie die der Mitbewerber anschauen. Welchen Zahlen man nun Glauben schenken möchte, bleibt jedem selbst überlassen. Auch darf nicht vergessen werden, dass der Virenschutz nur ein Security-Baustein von vielen [9] ist.
dr
[1] http://blogs.technet.com/b/mmpc/archive/2015/01/20/maps-in-the-cloud_3a00_-how-can-it-help-your-enterprise_3f00_.aspx
[2] http://www.av-comparatives.org/wp-content/uploads/2014/04/avc_datasending_2014_en.pdf
[3] http://blogs.technet.com/b/mmpc/archive/2014/09/22/microsoft-cloud-protection.aspx
[4] http://blogs.technet.com/b/mmpc/archive/2014/11/19/an-inside-look-gathering-and-analyzing-the-sir-data.aspx
[5] http://blogs.technet.com/b/mmpc/archive/2014/12/09/msrt-december-2014.aspx
[6] http://www.microsoft.com/en-us/download/details.aspx?id=44937
[7] http://blogs.technet.com/b/mmpc/archive/2014/08/01/the-future-of-independent-antimalware-tests.aspx
[8] http://impact.av-comparatives.org/
[9] http://www.microsoftvirtualacademy.com/training-courses/security-fundamentals