Sagen Sie mir, was Sie über Adobe Flash denken, und ich sage Ihnen, ob Sie mit Cybersicherheit arbeiten. Für die meisten User ist Flash etwas, für das Ihr Browser eine Aktualisierung verlangt, bevor ein virtuelles Video abgespielt wird. In Nutzern mit technischen Kenntnissen steigt die Wut beim bloßen Gedanken an die fehlende Sicherheit auf Plattformen und die einfachen Möglichkeiten, Schaden anzurichten.
Tatsächlich ist Adobe Flash an der Spitze unserer Liste der bedrohtesten Programme 2015. Sie finden ein paar andere bekannte Namen im oberen Bereich, wie Java, Adobe Reader, Microsoft Office und Silverlight. Aber Flash ist am beliebtesten, schwer von Schwachstellen betroffen und wird von Usern nicht so regelmäßig aktualisiert, wie es der Fall sein sollte.
In diesem Sinne sind wir froh, bekannt geben zu können, dass Kaspersky Lab ein Patent für Technologie gestattet wurde, die besonders hilft, gegen alle Arten von Exploits vorzugehen, die besonders User von Flash betrifft.
BadUSB: problem solved -> https://t.co/Qx890SNJfw pic.twitter.com/MdJ8e1Q4ij
— Eugene Kaspersky (@e_kaspersky) July 8, 2016
Warum sind Flash-Exploits anders?
Wir sind froh, dass Sie fragen. Um es kurz zu halten, müssen wir etwas zum Hintergrund erklären. Grundsätzlich gibt es nur zwei Arten, Ihren PC zu infizieren. Die erste Methode benötigt Ihr direktes Mitwirken: Ein ausführbares Programm herunterladen und es ausführen, ein Dokument mit schädlichen Makros öffnen, auf eine schädliche URL klicken, usw.
Für die zweite Methode wird nichts Zusätzliches benötigt. In diesem Fall finden und nutzen Cyberkriminelle Schwachstellen auf Ihrem Betriebssystem oder ein Programm, dass Sie heruntergeladen und verwendet haben. Wenn ein Browser eine Schwachstelle aufweist, dann kann z. B. das Öffnen einer einzigen schädlichen Webseite ausreichen. (Leser von Kaspersky Daily wird es nicht überraschen, dass es schädliche Webseiten in Hülle und Fülle gibt).
Am einfachsten wird ein PC über das Internet infiziert, daher sind Webseiten-Exploits unter Cyberkriminellen extrem beliebt. Sie nutzen nicht unbedingt Schwachstellen in Browsern; sie steigen oft über Java- oder Adobe Flash Player-Komponenten ein, die für Multimedia-Wiedergaben auf einer Webseite verantwortlich sind.
#exploit kits spreading attacks for recent #Flash player zero day via @threatpost https://t.co/0s3GOKldGz pic.twitter.com/H5029jCqd1
— Kaspersky (@kaspersky) May 23, 2016
Stellen Sie sich Flash-Videos nicht als Dateien vor, die in einem Programm geöffnet werden, sondern als richtige Programme. Sie werden zusammen mit anderen Komponenten der Webseite heruntergeladen, werden dann aber getrennt, und mithilfe der Adobe Flash-Komponente, die auf Ihrem System installiert ist, ausgeführt. Jedoch ist der Prozess etwas komplizierter. Um diese Programme sicher auszuführen, führt sie Adobe Flash in seiner eigenen virtuellen Umgebung aus — anders gesagt: diese Programme werden auf einem simulierten Computer innerhalb Ihres Computers ausgeführt.
Also machen virtuelle Maschinen Flash sicher?
Gute Frage! Flash führt Dateien in einer geschützten virtuellen Umgebung aus, da das Ausführen von Quelltext in anderen Umgebungen im Internet risikoreich ist. Das Ausführen des gesamten Quelltexts in einer virtuellen Maschine bedeutet, dass jeder Code, der aus dem Internet heruntergeladen wurde und versucht, etwas auf Ihrem Computer auszuführen, keinen Zugriff auf Ihre Dateien und Dokumente – oder wichtige Komponenten des Betriebssystems – hat. Aber das trifft nur auf die Theorie zu. In Wirklichkeit können Exploits die Sicherheitsmaßnahmen von Flash umgehen (d. h. Virtualisierung) — indem sie Schwachstellen in Adobe Flash verwenden.
Wait for it… #Adobe patches 52 #flash vulnerabilities via @Mike_Mimoso https://t.co/qyhs7rY2b8 on @threatpost #IT pic.twitter.com/Qu8D4MeLpp
— Kaspersky (@kaspersky) July 12, 2016
Es gibt noch ein anderes Problem: Durch die Beschaffenheit der Datei und der virtuellen Maschine von Flash sind diese eine sehr geeignete Umgebung, um die Absichten eines Threat-Elements vor dem System zu verbergen. Es ist selbst möglich, dass die Hacker eine einzigartige Datei für jedes der Opfer erstellen.
Das zeigt ein besonderes Problem von traditioneller Antivirus-Erkennung, die auf eine enorme Dateienliste zur Feststellung von Malware aufbauen. All diese Millionen von Exploits funktionieren auf dieselbe Art, aber bezüglich einer Sicherheitslösung scheinen sie unterschiedlich. Darüber hinaus können Adobe Flash-Programme in allen drei Programmierungssprachen geschrieben werden, was einen komplexeren Sachverhalt für das System darstellt, das für das Finden von schädlichem Inhalt unter legitimen Flash-Inhalt zuständig ist.
Wenn Sie sich nicht auf Dateinamen verlassen können und die virtuelle Umgebung nicht sicher ist, was kann man dann tun?
Das ist eine Frage, die die Sicherheits-Community seit einiger Zeit beschäftigt. Wir brauchen einen Weg, um die schädliche Beschaffenheit von Quelltext festzustellen, bevor Sie ihn ausführen. Theoretisch könnten wir den Quelltext auf unserer eigenen virtuellen Maschine ausführen, bevor wir den Quelltext an Adobe Flash weitergeben, aber dieser Ansatz ist zu komplex und ressourcenintensiv für den praktischen Alltagsgebrauch. Und selbst wenn es nur einen Bruchteil einer Sekunde brauchen würde, sind Nutzer die direkte Befriedigung online gewöhnt.
Es sieht wie ein Exploit aus…
Da hat die neue Technologie von Kaspersky Lab ihren Ursprung. Sie wurde von Anton Ivanov und Alexander Liskin erstellt und basiert auf der Nachbildung von verdächtigem Code, und benötigt weniger Zeit, um eine Vielzahl ähnlicher Objekte mit kleinen Unterschieden zu analysieren. Die Entwickler dieser Methode verwenden den Ansatz der virtuellen Stackmaschine, nicht um Quelltext auszuführen, sondern um Informationen über ihn zu sammeln.
Wie es sich herausstellte, müssen schädliche Flash-Objekte nicht ausgeführt werden, um ihrem wahren Zweck nachgehen zu können. Selbst Änderungen, die Malware-Entwickler in fast jedes Codebeispiel einfügen, können die schädlichen Absichten des Programms nicht verbergen, wenn wir unsere Methode anwenden.
Schlussendlich können wir, solange wir eine Methode von Flash-Exploits kennen, automatisch alle Malware-Arten blockieren, die die gleiche Methode verwenden. Seitdem wir diese Technologie in Kaspersky Internet Security und Kaspersky Total Security integriert haben, hat sich die Rate zum Erkennen dieser spezifischen Bedrohungen verdoppelt.
Ein letztes Stück Geschichte, für den Blickwinkel: Antivirus-Unternehmen kämpfen mit aller Macht, um ihre Erkennungsraten um kleinste Prozente zu erhöhen; die Verdopplung der Rate ist wirklich erstaunlich.