Site icon Emsisoft | Sicherheitsblog

Von staatlich gesponserten Hackern veröffentlichte Dateien zeigen, an welchem Schutz ihre Trojaner scheitern


Üblicherweise testen Anbieter von Anti-Malware-Lösungen ihre Produkte im Labor zur Untermauerung ihrer Glaubwürdigkeit. Im Rahmen der kürzlich veröffentlichten Enthüllungen über Unternehmen, die Überwachung im großen Stil durchführen, sind jedoch neue Informationen aufgetaucht, mit denen bestimmt werden kann, wie gut beliebte Anti-Malware-Produkte bei der Erkennung unerwünschter Bedrohungen ihre Arbeit verrichten.

Was haben Überwachungsunternehmen mit Anti-Malware-Produkten zu tun?

Um große Überwachungsunternehmen herrschen aus gutem Grunde heftige Kontroversen. Derartige Unternehmen unterstützen ihre Kunden (oftmals Regierungsbehörden) bei der Überwachung von Menschen sowie anderen Organisationen oder Ländern.

Es wird behauptet, dies erfolge aus Gründen der Sicherheit ihrer Bürger, doch häufig heuern Regierungen eben diese Firmen an, die sich in der Herstellung von Malware spezialisiert haben, um in die Privatsphäre argloser Menschen einzudringen. Bei der Entwicklung ihrer Malware sind Anti-Malware-Programme ein essenzieller Bestandteil, denn sie muss gegen führende Anti-Malware-Software ausgetestet werden, damit Trojaner entstehen, die von diesen unerkannt bleiben und so erfolgreich Systeme infizieren können.

Normalerweise werden diese Interna streng vertraulich behandelt. Diese Unternehmen horten nämlich über ihre Produkte und Kunden höchst sensible Daten, mit welchen internationale Geheimdienste ernsthaft kompromittiert werden könnten.

Einige der Enthüllungen der letzten zwölf Monate in den Schlagzeilen haben sich allerdings als nicht nur politischer Sprengstoff erwiesen, sondern hatten auch einen praktischen Nutzen. Im Folgenden diskutieren wir zwei Datenpannen, anhand derer erkenntlich wird, welche Anbieter von Anti-Malware-Lösungen wirklich effektiv unerwünschte Programme von Ihrem Computer fernhalten.

Der Trojaner von Hacking Team wurde von 5 von 34 Antivirensoftware-Anbietern erkannt

Hacking Team ist ein Unternehmen mit Sitz in Mailand, das seinen Kunden weltweit Überwachungstechnologie bereitstellt, darunter Regierungsbehörden in Ländern wie Russland und den Vereinigten Staaten.

Anfang Juli veröffentlichte ein Hacker einen Torrent mit 400 GB Firmendaten. Darunter fanden sich interne Kommunikation und Code ebenso wie Aufzeichnungen von Anti-Malware-Tests. Dieser Screenshot eines der internen Dokumente zeigt eine Reihe von Anti-Malware-Anbietern und wie der Trojaner Galileo von Hacking Team sich gegen ihre Produkte geschlagen hat.

Emsisoft Anti-Malware von Hacking Team auf die schwarze Liste gesetzt – Quelle: Hacking Team

Grün: die Malware hat das Antivirenprogramm umgangen und das System infizieren können. Gelb: die Malware hat das System infizieren können, aber dabei gab es einige unspezifische Pop-ups (wie ein generischer Firewall-Alarm). Rot: die Malware wurde erkannt. Einige Anbieter hat der Trojaner von Hacking Team auf die schwarze Liste gesetzt. Das heißt, die Malware wurde noch nicht einmal aktiv, als erkannt wurde, dass eine bestimmte Schutzsoftware läuft. So bleibt sie unerkannt, aber kann eben auch keinerlei Daten ausspähen. Wie der vollständigen Tabelle zu entnehmen ist, konnten nur 5 von 34 Anbietern die Malware von Hacking Team erkennen.

Die Malware FinSpy von FinFisher umging 31 von 35 Anbietern

FinFisher ist ein in Deutschland ansässiges Unternehmen, das Programme kreiert, mit denen Regierungen ihre Bürger überwachen können. Diese Art von Überwachung mit sog. „Telekommunikationsüberwachungs-Malware“ ist sehr umstritten, da fraglich bleibt, ob diese Programme wirklich dem Schutz von Menschen dienen.

Im September 2014 bezog Wikileaks Stellung gegen FinFisher und bezichtigte das Unternehmen des Verkaufs seiner Produkte und Dienstleistungen an repressive Regimes. Bei dieser Enthüllung wurden die Malware des Unternehmens sowie interne Dokumente veröffentlicht. Darunter fand sich eine Tabelle mit Anti-Malware-Software, aus der hervorgeht, welche Programme FinSpy umgehen konnte und welche nicht. FinFisher testete verschiedene Programme mit verschiedenen Versionen des Trojaners und führte Buch darüber, wie die verschiedenen Anti-Malware-Programme auf jede Bedrohung reagierten. In der folgenden Tabelle finden Sie eine Übersicht der Ergebnisse. In der Spalte „Full Trojan“ (Install Admin) sehen Sie, welche Anbieter vor dem vollständigen Trojaner gewarnt oder diesen blockiert haben.

Emsisoft konnte FinSpy nicht umgehen – Für die vollständige Liste klicken

„Pass“ (grün): das Antivirenprogramm hat keine Bedrohung erkannt. „Warn“ (gelb): das Antivirenprogramm hat den Trojaner als „verdächtig“ erkannt und den Benutzer über eine drohende Infektion informiert. „Fail“ (rot): der Trojaner wurde als „bösartig“ erkannt. Wie Sie sehen, konnten die meisten Anbieter FinSpy überhaupt nicht erkennen (grün). Nur 4 von 35 Anbietern haben den Trojaner zuverlässig als entweder „verdächtig“ (gelb) oder „bösartig“ (rot) erkannt und diesen damit vollständig blockiert.

Denken Sie an Ihre Privatsphäre bei der Wahl von Software

Beim Lesen der obigen Tabellen gilt zu bedenken, dass Produkten, welche diese Trojaner nicht erkannt haben, ebenso wahrscheinlich andere entgehen könnten. Auch kann es sein, dass diese Produkte von Unternehmen genutzt werden, die eher mit staatlich gesponserten Firmen als gegen diese arbeiten. Welche Anforderungen haben Sie in puncto Datenschutz? Sorgen Sie sich um Ihren Schutz gegen staatliche Überwachung?

Die Wahl eines Programms, das Sie gegen alle Arten von Malware schützt, mag unmöglich erscheinen, aber mit den obigen Tabellen geben wir Ihnen einen unverfälschten Überblick darüber, welche gegen Überwachungs-Trojaner helfen:

1. Anbieter, die den Trojaner von Hacking Team erkennen

Emsisoft konnte den Trojaner von Hacking Team erkennen und wurde die große Ehre zuteil, in der Folge auf die schwarze Liste gesetzt zu werden! Sophos und CMC AV wurden ebenso von Hacking Team auf die schwarze Liste gesetzt. Comodo und Rising schlugen sich ebenfalls sehr gut und erkannten und blockierten der Trojaner von Hacking Team in den meisten Fällen. Ein paar andere Anbieter zeigten nicht so Besorgnis erregende Pop-ups für Hacking Team, wohingegen andere Anbieter den Trojaner überhaupt nicht erkennen konnten

2. Anbieter, welche die Malware von FinFisher erkennen

Emsisoft Anti-Malware, Comodo Internet Security, Outpost Security Suite Pro und Trusport Total Security konnten als einzige Anbieter den vollständigen Trojaner FinSpy in allen Fällen erkennen.

Wie oben zu sehen, bewies Emsisoft eine durchgehend gute Leistung, da sowohl die Malware von Hacking Team als auch FinFisher ihre liebe Not hatten, unsere Software zu umgehen (besser gesagt scheiterten sie). Für welches Programm Sie sich auch entscheiden: denken Sie daran, dass Ihre Privatsphäre wichtig ist – vertrauen Sie nicht den Falschen!

Wir wünschen eine schöne (Malware-freie) Zeit!

Exit mobile version