Erste Notfallmaßnahmen

Unabhängig von der Art des Befalls sollten Sie zunächst einige grundlegende Schritte unternehmen und die betroffenen Systeme isolieren, um weiteren Schaden im Netzwerk zu vermeiden. Hierzu trennen Sie den oder die befallenen Rechner vom Netz. Das gilt auch für virtuelle Systeme, die möglicherweise Zugang zu Netzwerkressourcen haben. Auch bietet es sich an, um eventuell über ein anderes System noch Daten von der befallenen Festplatte zu retten, den Computer hart auszuschalten. Danach können Sie beispielsweise versuchen, die Harddisk an einen Linux-Rechner anzuschließen und wichtige Dateien zu kopieren.

Da Sie nicht wissen können, welche Daten die Malware bereits nach außen gesendet hat, sollten Sie unbedingt die betroffenen Benutzerprofile sperren und saubere Profile einrichten. Auch sperren Sie die zugehörigen Mailkonten und andere Dienste, die auf dem Rechner verwendet wurden, und vergeben neue Kennwörter. Nicht zuletzt gibt es die Möglichkeit, infizierte Systeme zur genaueren forensischen Untersuchung an entsprechende Analysezentren zu übergeben.

Sollten Sie die weitere Untersuchung selbst vornehmen wollen, bieten sich die nachfolgenden Schritte an. Prinzipiell ist das jedoch nur empfehlenswert, wenn Sie eine gewisse Expertise auf dem Gebiet der Malware-Forensik besitzen. Ansonsten nehmen Sie besser die Dienste von externen Experten etwa Ihres Antiviren-Herstellers oder eines Security-Dienstleisters in Anspruch.

Hash-Werte: sicher, aber aufwendig

Ein wirksames Mittel, um ungewollte Veränderungen in einem System zu erkennen, bieten Checksummen. Einen einfachen Ansatz dazu haben wir im IT Administrator 08/2016 [3] vorgestellt. Eine umfassendere Herangehensweise bietet das Tool "SecuLution" [4], das wir im März 2017 im Heft getestet haben und das ebenfalls auf Hash-Werten zur Dateiverifikation basiert. Es lässt nur erlaubte beziehungsweise durch SecuLution als unbedenklich klassifizierte Programme zu.

Prinzipiell erkennen Checksummen-Tools jegliche Änderungen an Dateien und liefern dem Administrator so drei wesentliche Informationen:

1. Welche Datei wurde verändert?

2. Welche Datei wurde neu hinzugefügt und/oder gelöscht?

3. Ab welchem Zeitpunkt erfolgen diese Datenveränderungen?

Werden Hash-Werte jedoch durch Werkzeuge ermittelt, die auf dem infizierten System laufen, birgt dies die Gefahr der Manipulation. So trickste etwa der Steath-Virus "4096" (aka "Frodo") bereits im Jahr 1990 Security-Tools aus, indem er ihnen beim Zugriff korrekte Daten vorgaukelte und sich selbst quasi unsichtbar machte [5]. Siemens-Nixdorf entwickelte seinerzeit Tools, die physische und logische Zugriffe kombinierten, um diese Art der Manipulation zu entdecken.

Natürlich müssen die Hash-Werte der sauberen Dateien als Referenz vorliegen, um diese mit den Files auf dem infizierten System abgleichen zu können. Nach einer Infektion mit dem Berechnen von Checksummen anzufangen, bringt nur dann etwas, wenn die Hash-Werte von sauberen Originaldateien von extern verfügbar sind – was nur auf einen kleinen Bruchteil der im System vorhandenen Dateien zutrifft.

Bild 1: Shavlik verschafft eine Übersicht über fehlende Patche und Fixes.

Deshalb müssen die Hash-Werte bereits im laufenden Betrieb erfasst und im zeitlichen Verlauf abgespeichert werden, um im Fall der Fälle Vergleiche ziehen zu können. Ein weiterer Nachteil von Prüfsummen liegt darin, dass sich viele Dateien auf einem Rechner permanent ändern. Ferner legt Malware oft neue, unauffällig wirkende Dateien an, deren Zweck sich nicht immer sofort erschließen muss, selbst wenn sie der Admin irgendwo in der Hash-Liste entdeckt.

Ein Trick, den Schadsoftware übrigens verwendet, besteht darin, aktuelle Programm-Komponenten gegen anfällige auszutauschen. Dadurch wird eine geschlossene Lücke etwa für den Zugriff auf erweiterte Rechte wieder geöffnet. Gute Software-Verteilungs-Tools und Patch-Tools sind in der Lage, derartige Manipulationen zu erkennen. Sie können einen Hinweis darauf geben, dass sich eventuell Malware im System tummelt. Ein vielseitig nutzbares Werkzeug in diesem Bereich ist das Patchmanagement-Tool Shavlik [6].