Artikel kostenlos lesen

Full Scan or Full Stop? : Vollständige Malwarechecks – Sicherheitsgewinn oder Zeitverschwendung?

Eine regelmäßige Überprüfung der gesamten Festplatteninhalte auf Malware ist nicht unüblich. Doch ist dieser enorme Aufwand heute noch zeitgemäß und mit einem Mehrwertverbunden? Unser Autor diskutiert den Status quo des „Voll-Scans“ und möglicher Alternativen.

Ralph DombachBedrohungen
Lesezeit 10 Min.

Von Ralph Dombach, Germering

Zum Basisschutz gegen Schadsoftware sind Malwarescanner noch immer das Produkt der Wahl – egal, ob auf zentralen Gatewaysystemen zur Überprüfung von E-Mails oder HTTP-Datenverkehr oder eben auf den Endgeräten. Ein Sicherheitssystem auf dem Endpoint stellt dabei die „Last Line of Defense“ dar, denn auf dem Client sind die Dateien in aller Regel immer im nutzbaren Format vorhanden und können so durch Malwarescanner ohne Hindernisse (Passwortschutz, Komprimierung, Verschlüsselung etc.) überprüft werden.

Üblicherweise wird dazu am Endpoint „in letzter Sekunde“ ein Malwarescanner im sogenannten OnAccess-Modus betrieben („Echtzeitscanner“) – das System prüft dazu jede potenziell schädliche Datei unmittelbar vor der Nutzung. Davon betroffen sind normalerweise Dateien mit ausführbarem Code wie .EXE, .DLL, .MSI oder auch .HTA, .SCR sowie Office-Dokumente (s. a. S. 64). Erst wenn die Überprüfung „keine Malware gefunden“ signalisiert, geht die Kontrolle an das System zurück und das Programm wird gestartet beziehungsweise die Datei mit aktiven Inhalten geöffnet – um die Verzögerung beim Öffnen/Starten in akzeptablen Grenzen zu halten, werden dabei zeitaufwendige oder fehleranfällige Prüfungen oft ausgelassen oder nur in weniger strenger Manier vollzogen (z. B. Heuristiken oder cloudbasierte Rückfragen).

Die zweite klassische Betriebsart der Malwarescanner ist der On-Demand-Modus, bei dem entweder auf Anforderung durch den Anwender oder nach Zeitplan einzelne Dateien, Bereiche oder auch die gesamte Festplatte auf potenziell schädliche Inhalte untersucht werden. Durch intensive Zugriffe auf die Massenspeicher und – bei weniger leistungsstarken Systemen oder besonders lastintensiven Scans – eventuell auch die benötigte Prozessorleistung wird ein paralleles Arbeiten des Benutzers mehr oder minder stark behindert. In der Praxis hat sich daher On Access“ als Standardmodus etabliert – zumindest für die Zeit, in der ein Anwender den PC nutzt.

Erkennungslücken

Malware hat immer einen zeitlichen Vorsprung, bis ein Virenscanner sie erkennen kann – sofern sie nicht durch zusätzlich vorhandene fortschrittliche (und auch aktivierte) Techniken zur Laufzeit enttarnt wird. Dies bedeutet, dass beispielsweise eine neue Schadsoftware am Montag auf einen PC gelangen kann, für die erst am Mittwoch ein Update in der Virensignatur zur Erkennung verfügbar ist – die ersten beiden Tage bliebe sie vom Sicherheitssystem dann bei einem On-Demand-Scan vermutlich unerkannt. Aktiviert der User aber ab Mittwoch die Malware nicht mehr, kann sie bis auf Weiteres unerkannt auf dem System schlummern, ohne noch einmal den aktualisierten On-Access-Virenscanner durchlaufen zu müssen – und dabei für einen Alarm zu sorgen.

Diese Lücke zu schließen und „schlafende“ Malware zu entdecken, bevor sie Schaden anrichten kann, ist eine wesentliche Aufgabe von On-Demand-Scans. Leider gibt es tagtäglich sehr viele neue Malware(varianten), die einen Update der Virensignaturen – oder anderer Informationen, auf denen ein Schutz basiert – erforderlich machen. Über den täglichen Zuwachs an Definitionen in einer Signaturdatei gibt beispielsweise der deutsche Anbieter Avira Auskunft, der die Erweiterungen in seiner Virendefinitions-(VDF)-Historie aufführt (www.avira. com/de/support-vdf-history). An drei Sommertagen zeigte sich hier beispielsweise das folgende Bild:

  • Montag, 9. Juli 2018: 6 Updates (vgl. Abb. 1), insgesamt 7985 neue Erkennungsmuster
  • Dienstag, 10. Juli 2018: 4 Updates, insgesamt 7475
  • Mittwoch, 11. Juli 2018: 9 Updates, insgesamt 4079 neue Erkennungsmuster
Abbildung 1

Abbildung 1: Ein typischer (?) Montag im Land der Virendefinitions-Updates – jeden Tag kommt eine immense Menge neuer Erkennungsmuster hinzu

On-Demand-Mehrwert?

Die Komplettüberprüfung eines PCs ist durchaus sinnvoll – beispielsweise vor einem Backuplauf oder einem Restore des Dateibestands. „On Demand“ hat sich auch bewährt, wo man aufgrund gesteigerter Security- oder Compliance-Anforderungen den Datenbestand eines PCs periodisch (beispielsweise einmal monatlich oder im Quartal) prüfen möchte. Der Nutzen bei konkreten Verdachtsfällen liegt ohnehin auf der Hand.

Ein vollständiger Scan gibt Sicherheit – denn mit ihm kann man die Lücken schließen, die sich durch das Signaturkonzept eines Malwarescanners oder betriebsbedingte Beschränkungen der Prüftiefe anderer Verfahren ergeben. Denn nur bei einem Voll-Scan werden alle Dateien mit den gleichen aktuellen Signaturen überprüft und nicht nur jene, die der Anwender aufgerufen oder genutzt hatte mit dem jeweils dann akuten Sachstand.

Bisweilen wird dieser Modus auch genutzt, um die Virenfreiheit neuer Software vor der Installation zu verifizieren – dies ist jedoch nur eingeschränkt sinnvoll, da ein Produkt unter Umständen aus Einzeldateien bestehen kann, die jede für sich betrachtet nicht „kritisch“ sein müssen.

Dennoch ist ein vollständiger On-DemandScannerlauf „nicht ganz ohne“, denn unter Umständen beansprucht er mehrere Stunden – nicht zuletzt in Abhängigkeit von der Anzahl der zu prüfenden Dateien. Hierzu braucht man Zeit, die unter Umständen für andere Wartungsaktivitäten fehlt – Datenarchive/Fileserver sind dabei beispielsweise heikle Herausforderungen!

Zudem sollte man sich darüber im Klaren sein, dass eine entdeckte (oder gemutmaßte) Infektion spezielle Aktivitäten nach sich zieht: Kaum ein Unternehmen dürfte einem Malwarescanner Automatisierungs-Optionen wie „Delete Infected Files“ gestatten, die zu unliebsamen Überraschungen führen können – besonders, falls es sich um ein False Positive handelt, aber auch durch unerwartete Seiteneffekte. Auch wenn Fälle wie das vollständige Löschen eines E-Mail-Archivs wegen eines einzelnen, nie geöffneten Malware-Attachments hoffentlich mittlerweile der Vergangenheit angehören, können gelöschte oder in Quarantäne verschobene Dateien doch im schlimmsten Fall auch heute noch die Funktionsfähigkeit oder sogar den Start eines Systems beeinträchtigen. Der Worst Case ist angesichts der immensen Zahl von Dateien und Programmen einerseits sowie Malware andererseits leider gar nicht so unwahrscheinlich – viele Security-Unternehmen und auch Anwender mussten hier in der Vergangenheit bereits Lehrgeld bezahlen.

„Log only“ oder gegebenfalls ein Abbruch des automatischen Scans mit Alarmierung und anschließender Analyse durch einen Administrator sind aus den genannten Gründen auf jeden Fall empfehlenswert. Aber ist der Sicherheitsgewinn den Aufwand heute überhaupt noch wert?

Pure Zeitverschwendung?

Ein Mehrwert von On-Demand-Scans basiert überwiegend auf Analysen, die schon einige Jahre zurückliegen. Betrachtet man hingegen die heute aktuelle Security-Produkt- und Malware-Szene, kommt man womöglich zu dem Schluss, dass der Mehrwert stetig geringer geworden ist. Dies liegt primär an zwei Gründen: zum einen an den heute verwendeten Antimalware-Techniken und zum anderen an der heutigen Malware selbst!

Fehlbarkeiten und Beeinträchtigungen durch Anti-Malware-Systeme

  • Auch ein On-Demand-Scan ist nicht gegen Erkennungslücken gefeit: Die Lücken der Vergangenheit sind zwar mittlerweile geschlossen, aber neue bestehen dennoch – der Virenscanner, einerlei in welchem Modus, arbeitet letztlich eigentlich immer mit „veralteten“ Signaturen.
  • Durch das immense Wachstum der Zahl von Dateien auf aktuellen PCs (aufgrund von Betriebssystemen, Applikationen, aber auch üblicher Datenhaltung) sowie der Signaturdateien selbst erfordert jeder On-DemandScan tendenziell mehr Zeit: Eine Kennzeichnung (Tagging), die beispielsweise bei On-Access-Prüfungen möglich ist („Datei 1bc123.exe wurde mit Signatur 20180709T1803 bereits geprüft – heute nicht mehr prüfen“) und Mehrfachprüfungen mit derselben Signaturbasis verhindert, ist nicht etabliert. Meist prüft ein On-Demand-Scan auch jene Dateien erneut, die bereits mit der aktuellen Signatur via On-Access-Prüfung gecheckt wurden.
  • Ungenügende Konfigurationsmöglichkeiten der Scanner (z. B. bzgl. der ausschließlichen Prüfung von Dateien, die vor der nächsten Nutzung nicht geprüft würden) tragen eventuell ebenfalls zu längeren Laufzeiten bei.
  • Eine Information über gefundene Malware ohne einen entsprechenden Informationsblock zur anschließenden Analyse bietet keinen Mehrwert und hilft dem Security-Administrator nicht, das Security-Risiko einzuschätzen oder zu prüfen, ob die eigentliche Malware-Schadfunktion bereits aktiv war/ist.
  • Anti-Malware-Scanner, die ohne eine Signatur auskommen und auf verhaltensbasierte Aktivitäten reagieren, sind für einen On-Demand-Scan nur bedingt geeignet. Um Malware zu erkennen, müsste jedes Executable in einer virtuellen Umgebung ausgeführt werden, um eine umfassende Aussage zu ermöglichen. Darüber hinaus wäre das jeweils produkt- oder umgebungsspezifische Verhalten skriptbasierter Malware zu berücksichtigen.
  • Automatische Optionen sind heikel: „Reparierte“ Dateien, aus denen ein erkannter Schadcode entfernt wurde, oder das Löschen verdächtiger Dateien sind ein Risiko für die Integrität des Systems. Ob ein Computer oder Programmpaket nach einer solchen „Säuberung“ noch einwandfrei funktioniert, ist vorab regelmäßig unbekannt.

Beeinträchtigungen durch Malware

  • „Schlafende“ Malware, die keinerlei Schadaktionen ausführt, hat gute Chancen, einer Erkennung durch die Security-Industrie zu entgehen – und auch bei tiefer gehenden Analyseverfahren fortschrittlicher Tools unerkannt zu bleiben. Wird die Software beispielsweise zum 1. April eines Jahres aktiv, kann sie bis dahin völlig harmlos sein – und damit unsichtbar für Security-Tools und -Analysten.
  • „Klasse durch Masse“ ist das derzeitige Credo der Malware-Szene: Wurden vor zehn Jahren jährlich „nur“ tausende Exemplare neuer Malware entdeckt, sind es heute hunderttausende (siehe etwa www.gdata.de/blog/2018/03/30607-malware-zahlen-2017). Der Versuch, unter dem Radar der Analysten zu bleiben, hat dazu geführt, dass die Menge der Malwarefamilien und automatisch generierten Varianten immens wächst. Das macht eine detaillierte manuelle Analyse nur noch in Einzelfällen möglich, da die verfügbare Anzahl der menschlichen Experten am Limit hängt – die Überlebensstrategie der AV-Industrie lautet angesichts dieser Herausforderung meist „erkennen statt analysieren“.
  • Malware-Entwickler sind nicht dumm! Sie nutzen ebenso wie auch die Security-Industrie clevere Techniken und entwickeln ihre Angriffskonzepte weiter. Dateilose Malware (Fileless Malware – s. a. S. 64 und www.gdata.de/blog/2018/07/30874-downloader-mit-extra), Ransomware und auch die Renaissance skriptbasierter Malware (via Powershell etc.) zeigen dies deutlich. Dies sind jedoch Bedrohungen, bei denen die Security-Tools teilweise versagen: Vor allem bei skriptbasierter Malware, die gegebenenfalls noch mit einem Tool zu Obfuskation bearbeitet wurde ist dies sehr aufwendig. Hier entpuppt sich ein On-Demand-Scannerlauf als Effektivitätsbremse erster Ordnung.

Die Quintessenz einer eingehenden Neubetrachtung von On-Demand-Scans lautet, diese zumindest in der Nutzungsfrequenz deutlich zu reduzieren! Ein Voll-Scan kostet Rechnerleistung und menschliche Bearbeitungszeit und geht oft zulasten anderer, ebenso erforderlicher Wartungsaktivitäten (Software-Updates, Datenabgleich, Datensicherung, Reorganisierungsläufe etc.). Darüber hinaus erfordern eventuelle Malware-Funde eine intensive, qualifizierte Nachbearbeitung, da ein blinder Automatikmodus zu riskant wäre.

Beim Einsatz fortgeschrittener Schutzverfahren wie „intelligenter“ Verhaltensanalysen ist ein On-Demand-Scan wahrscheinlich sogar nur mit Workarounds möglich, was jedoch mit einer fragwürdigen Qualität und zusätzlichen Verarbeitungszeit einhergeht. Alternative Tools, die auf Checksummen/Whiltelisting basieren, können zwar „On Demand“ scannen, erfordern aber dennoch Nacharbeit, wenn sich Programme gegenüber den gespeicherten Referenzwerten verändert haben – was naturgemäß nicht immer auf eine Malware zurückzuführen sein muss, sondern beispielsweise auch die Folge einer fehlerhaften Software-Verteilung sein könnte.

Zwischen Verbreitung und Erkennung einer neuen Malware wird immer eine Lücke klaffen, solange man auf signaturbasierte Produkte setzt. Und wie wirksam Verhaltensanalysetools sein werden, muss sich in der Praxis erst noch erweisen – denn auch die Cyberkriminellen werden bei zunehmendem Einsatz auf diese neueren Detektionsmechanismen reagieren.

Alternativen

Die einfachste Alternative für einzelne Endpoints ist es, gegebenenfalls vorhandene, aber zunächst unentdeckte Malware erst einmal zu ignorieren. Das klingt gefährlich, doch sobald der Anwender über eine aktualisierte Signaturdatei verfügt, sollten infizierte Programme via On-Access-Prüfung bei der nächsten Aktivierung erkannt und blockiert werden. Man hat also lediglich die Folgen einer möglicherweise verzögerten Erkennung zu kalkulieren. Allerdings muss man in diesem Szenario damit rechnen, im Zuge eines Backups schädliche Komponenten zu sichern – eventuell wäre dann eine zusätzliche Prüfung vor oder nach dem Rücksichern einzuplanen.

Die folgenden Aktivitäten können weitere Risiken durch seltenere Voll-Scans von Systemen mindern:

  • Scannen von Systemen nach einem „Full Restore“ oder dem Wiederherstellen einzelner Programme
  • Scannen der Master-Images, die zur Neuinstallation von Endpoints dienen
  • intensive Überprüfung von Software-Komponenten vor dem Rollout
  • zeitnahe intensive Analyse von eingehendem Datenverkehr (via http, smtp, ftp, Cloud-Services, Social Media etc.).
  • Einsatz mehrerer verschiedener Security-Produkte an zentralen Stellen (Multi-Vendor-Strategie), um zeitliche Lücken zu verringern und die unterschiedlichen Erfolge verschiedener Hersteller zu kombinieren
  • strenge Kontrolle der Aktualität eingesetzter Anti-Malware-Tools auf Endpoints inklusiver einer Verifikation, ob relevante Services auch tatsächlich aktiv sind
  • Aufklärung und Verpflichtung des Anwenders, auf die Aktualität seines Virenschutzes zu achten und ein explizites Verbot der Manipulation oder Deaktivierung von Security-Software
  • externen Datenverkehr nur mit zwischengeschalteter Malware-Prüfung zulassen

Fazit

Wer auf den Einsatz eines On-Demand-Scans verzichtet, gewinnt freie Zeitfenster für anderweitige Wartungs- und Diagnoseaktivitäten – Zeitfenster, die in der heutigen IT-Landschaft mehr als knapp sind.

Das Risiko, dass sich dann zusätzliche unerkannte Schadsoftware auf den Systemen befindet oder auch mit in Backups gesichert wird, ist kalkulierbar und durch andere Maßnahmen in den Griff zu bekommen.

Wer sich nicht von regelmäßigen Voll-Scans verabschieden möchte oder dies aus bestimmten Gründen nicht kann, sollte versuchen, die Produkt-Konfiguration zu verändern und beispielsweise aufwendige On-Demand-Scans in Phasen der Benutzer-Inaktivität (Lock-Screen bzw. abgeschalteter Bildschirm) oder tagsüber mit geringer Priorität ablaufen zu lassen, um den Anwender nicht zu behindern und trotzdem freie Zeitfenster zu generieren.

Ralph Dombach (www.secuteach.de) ist freier Autor – unter @secuteach twittert er täglich mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht sowie über securityrelevante Dinge, die ihn in seinem Berufsleben „heimsuchen“.

Diesen Beitrag teilen: