Security Symantec erklärt Antivirus-Software für tot

Antiviren-Software ist tot

  • Der Av ist längst überholt (Brain.exe)

    Abstimmungen: 5 38,5%
  • Ich vertraue dem AV voll und ganz

    Abstimmungen: 0 0,0%
  • Gibt besseres als einen AV (Monitoring Tools etc)

    Abstimmungen: 1 7,7%
  • Er ist noch immer ein kleine gute Ergänzung

    Abstimmungen: 7 53,8%

  • Anzahl der Umfrageteilnehmer
    13

rat

Stammuser
Symantec verdient zwar noch 40 Prozent seine Geldes mit Norton Antivirus, will sich in Zukunft aber eher auf Schadensbegrenzung konzentrieren. Es sei ohnehin nicht zu verhindern, dass Hacker den Weg ins System finden.

Symantec erklärt Antivirus-Software für tot | heise Security

Eine Interessante Aussage von Symantec und ich muss sagen,mein AV hat seit Jahren keinen Alarm mehr geschlagen beim besuch von Websites oder auch Downloads.Die meisten hier werden vermutlich wissen wie man sich schützten kann ohne einen AV zu haben mit Hilfe von Wireshark,Etherape und anderen nützlichen Tools,oft ist es auch so das egal in welcher Community man sich rum treibt ganz gleich ob GameHacking oder Internet-Security die dort Hochgeladene Software Überprüft vertrauenswürdig ist.

Mir ist es einmal aufgefallen in einer Community bei der es um Diablo 2 bots ging das 2 der Hochgeladenen Tools mit einer Malware Infiziert waren,die eine wurde mit Bifrost Infiziert die andere vergessen. zum DL standen aber mehre Bots,Maphacks usw für Diablo 2 zur verfügung und nachdem ich die Infizierung gemeldet hatte wurden die DLs auch gespeert.

Auch in Undergroundforen ist es so das die Malware von anderen überprüft wird und dann im falle einer Infizierung die Person gemeldet wird die das Tool verbreitet hatte.

Es gibt heut schon Crypter,Binder,Packer die eine vom AV erkannte Malware wider vollkommen Undetected machen und diese haben sogar noch zusatzfunktionen wie Antisandbox usw.

woq67zai.png

scz5sjup.png


ist der AV noch von Nutzten oder reicht die Brain.exe was meint ihr,hat Symantec recht mit ihrer aussage oder liegen sie komplett daneben.
 

jemo.

Member
Ganz platt daher gesagt: selbst schlechte Antivirensoftware halte ich für besser als gar keine. Denn die Effektivität von Brain.exe hängt auch sehr stark von dem User ab, der die Maschine gerade nutzt.
Dieser muss eine Bedrohung (zum Beispiel einen driveby-Download) schlichtweg erstmal erkennen können um entsprechend zu handeln. Und da sind wir beim nächsten Punkt - er müsste zusätzlich in der Lage sein, eine sinnvolle und hoffentlich effektive Gegenmaßnahme zu treffen. (die Datei löschen vs. die Datei einfach nur nicht öffnen..)

Kurz gesagt: selbst wenn es nur schlechte Freeware AV ist, ist es besser als gar nichts.
 

CDW

Moderator
Mitarbeiter
D.h, die geben offen zu, Schlangenöl kaum wirksame Software verkauft zu haben und wollen nun das Geld mit noch weniger Aufwand scheffeln :) ?
http://www.symantec.com/business/support/index?page=content&id=TECH95093
Email scanning does not support the following email clients:

IMAP clients
AOL clients
Web-based email such as Hotmail, Yahoo! Mail, and GMAIL
http://www.symantec.com/business/support/index?page=content&id=TECH213909
To work around this issue, use MAPI or POP
Dieses "bleeding-edge-Zeug" aber auch :)

Über Sinn und Zweckmäßigkeit von AVs kann man lange philosophieren - für eine objektivere Beurteilung wäre aber interessant zu wissen, wie hoch die Chancen eines Durchschnittsanwenders sind sich <folgendes> ohne AV einzufangen und:
1) Schutz durch AV gegen "0-Day-Malware"
2) Schutz durch AV gegen "0-Day-Crypter+übliche, bekannte Malware"
3) Schutz durch AV gegen "0-Day-Exploits, die übliche Malware nachladen"
4) Erhöhung der Risikobereitschaft durch "ich bin doch geschützt!" Suggestion
5) Erhöhung der Angrifffläche durch "Schutzsoftware" http://www.joxeankoret.com/download/breaking_av_software-pdf.tar.gz
Außerdem bleibt Socialengineering - wenn der Anwender, um ein "FB/Spiele-Hack-Tools-Crack" auszuführen, der Anweisung "dies ist doch ein Hacktool, natürlich wird der AV das anmerken - schalte ihn einfach ab" folgt, hilft dieser auch nicht ;)

Wenn man AV-Software als IDS/IPS betrachtet, macht sie durchaus Sinn - nur weil ein IDS nicht alles erkennt, ist es nicht komplett überflüssig.
Andererseits scheint die Motivation der AV-Hersteller (wer hätte es auch gedacht :rolleyes: ) weniger der tatsächliche Schutz des Anwenders zu sein - das sieht man imho am Beispiel der Crypter/Packer ganz gut (mehr siehe unten).

Zudem haben wir nicht mehr Win 9.x oder XP Zeiten, als die 9.x-Softwarekompatibilität viele NT-Sicherheitsfeatures ausgehebelt hat.
Viele Schutzmaßnahmen lassen sich mit Bordmitteln (Rechteverwaltung, Policies, Eventüberwachung) oder mit rel. wenigen zusätzlichen Features realisieren - das müsste nur von den Softwareentwicklern unterstützt werden.
Z.B: striktere Durchsetzung der Zugriffsrechte => im FF/Chrome-Profil darf nur FF/Chrome lesen => schon muss ein Stealer/Passwortgrabber entweder eine ungepatchte Lücke im jeweiligen Programm ausnutzen (kann dann aber auch nur diese Daten abgreifen und nicht gleich Emails, Dokumente und weitere Profile :rolleyes: ), eine privilege escalation mitbringen oder als root ausgeführt werden.
Lässt man Plugins/Medienwiedergabe/ggf. JS, (also DIE Einfallstore im Browser) unter einem anderen Account laufen, muss zusätzlich zu einer Lücke in PDF/Flash/Java/Foo eine ungepatchte privilege Escalation hinzukommen (oder eine Lücke im eigentlichen Browser) - also min. 2 Lücken in unterschiedlichen Softwarekomponenten.
Das Betriebssystem kann zudem prinzipiell auch ganz ohne Zusatztools bei sowas eine Warnung ausgeben und das jeweilige Programm erstmal blacklisten.
Und was alles erst mit einem Whitelistmodus möglich ist? :)

-------
Es gibt heut schon Crypter,Binder,Packer die eine vom AV erkannte Malware wider vollkommen Undetected machen und diese haben sogar noch zusatzfunktionen wie Antisandbox usw.
"Crypter" ist ein gutes Stichwort.

Und "Heute" würde ich nicht sagen ;) - rein subjektiv ist der "Cryptermarkt" nach der Übersetzung des PoCs SIG^2 G-TEC - Dynamic Forking of Win32 EXE
nach VB6 (=> "RunPE") ca. 2006-2007 förmlich explodiert. Nochmal gab es einen Schub, als immer mehr NET-Malware herauskam (da reicht, soweit ich mich erinnern kann, schon ein "Assembly.Load") und auch "RunPE" endlich nach VB.NET portiert wurde.
Eine Handvoll APIs:
Code:
CreateProcess(foobar ... CREATE_SUSPENDED)
ZwUnmapViewofsection
VirtualAllocEx
WriteProcessMemory
ResumeThread
Und voila - man kann quasi eine beliebige Executable ohne PE-Format-Kenntnisse im Speicher einer anderen Anwendung ausführen :)

Der Witz an der Sache ist:
was im ursprünglichen PoC (laden einer beliebigen Exe) Sinn machte, wird stupide seit einem Jahrzehnt(!) kopiert.
z.B:
- PE-Header parsen und die Sections mappen - das sind Schritte, die schon beim "crypten" durchgeführt werden können
- ferner ist der ganze Unmapvorgang überflüssig, sofern die ImageSize der Zie- Exe (i.d.R. "self") >= der injizierten ist. Und das ist spätestens seit ca. 2009 der Fall (als auch der letzte "Cryptercoder" gemerkt hat, dass Avira&Co allergisch auf Exen reagieren, die einen "nicht PE-Header deklarierten" "EOF"-Anhang haben UND, noch viel wichtiger, den PE-"Correction" Code endlich in der üblichen "Crpyter-coding-Sprachen" gab.
Ich bin hier deswegen so sarkastisch, weil die "Software-Cracker" für den Umgang mit PE, Imports, Validierungen/PE-Korrektur (ein gaanz kleiner, selbstverständlicher Schritt nach Unpacken eines Protectors) usw. schon seit Urzeiten fertigen/verföffentlichten Code hatten - nur eben in C oder einem Assemblydialekt).

Oder (allgemein):
- mehrere hundert KB große "Crypterstubs", obwohl nur paar hundert Bytes ausreichen.
- aufwändige Verschlüsselungsverfahren (obwohl schon ein (DWORD oder QWORD) XOR es auch tut - für ganz paranoiden mittels AND/NOT, damit lässt sich aber nicht so gut werben ;)).
- duplizierende Anti-SandBox/VM/AV Checks (i.d.R. NICHT im verschlüsselten Part, absolut "unauffällig") - obwohl viele Malwareexemplare ihre eignen Checks mitbringen. Aber alle "Konkurrenten" haben es umgesetzt, also wird der Standardcode weiterhin kopiert :)
- API-Aufrufe, die kaum von normaler Software benutzt werden und die sich im Laufe der Jahre kaum verändert haben (nur teilweise durch Aufruf der nativen Nt/Zw APIs ersetzt). Es gab auch mehrere "PoC" - Entpacker dafür.

Auf der anderen Seite:
AV-Softwarepakete, die Treiber mitbringen, alles mögliche hooken (und dabei auf "bleeding-edge-Zeuchs" wie ASLR/DEP in ihren systemweit injizierten DLLs verzichten und auch sonst haufenweise Lücken im System aufreißen :rolleyes:
http://www.joxeankoret.com/download/breaking_av_software-pdf.tar.gz)
Und können gleichzeitig der "gecrypteten" Malware nicht Herr werden? Warum eigentlich?
Und warum werden Stealer jeglicher Art immer noch nicht zuverlässig abgefangen? Ist es absolut "unverdächtig", wenn eine Anwendung =/= Firefox/Chrome im FF/Chrome-Profil wühlt?

Da trifft die Bezeichnung Sicherheits-"Industrie" doch ganz gut :)
Ich sehe zumindest keinen technischen Grund, warum die ganzen "Crypter" fast unverändert ein Jahrzehnt überdauern konnten - alles, was einen "SUSPENDED" Prozess erstellt und dann darin Sections unmappt, den Inhalt überschreibt und erst dann die Prozessinitialisierung durch PE-Loader fortsetzt, wäre per se erstmal verdächtig.
3 APIAufrufe + "gleicher Prozess, nicht fertig initialisiert" als Bedienung für Erkennung sollte imho auch nicht wirklich viele false-positives haben - diese API-Sequenz macht, wenn überhaupt, sonst nur in wenigen anderen Fällen Sinn (non-intrusive debugging => unpacker). Wer glaubt, die Umsetzbarkeit wäre wieder nur viel blabla in einem Forum, darf mal nach "runpe unpacker" oder "runpe decrypter" googeln. Wenn schon alles mögliche gehookt wird, dann soll das auch genutzt werden ;).

Man könnte jetzt nach den Grunden spekulieren:
- ein Erfolg wäre nur kurzfristig (dann gibt es wieder nur wenige Crypter, die es "auf die gute, alte, harte PE-Tour" machen)
- es ließe sich wohl nicht so gut bewerben ("wir erkennen nun 95% aller Malware"? - das wird auch so behauptet - und Details interessieren den Endanwender nicht)
- die Signaturerstellung für eine neue "RunPE"-Cryptervariante ist zudem deutlich einfacher und auch der "täglich xxx neue Viren in der Datenbank!!1" Meldung zuträglich: "XYZ hat schnell reagiert!" ließt sich doch ganz gut. "XYZ hat die Anwender Foo und Bar aus dem Diablo-Forum dank Heuristik vor einer Infektion geschützt" taucht dagegen nirgendwo auf ;)
- irgendwas anderes?

Es schaut zumindest so aus, als ob kein Interesse vorhnaden ist, sowas umzusetzen.
Das (und die allgemeine Schlamperei, die man in der aktuellen "breaking AV" Vortrag sieht :rolleyes: ) wirft aber wieder die Frage nach der Motivation der "Hersteller" und damit Zweckmäßigkeit einer solchen "Sicherheitssoftware" auf. Und nach konkreten Zahlen, ob/wie/in welchen Fällen der Einsatz einen Malwarebefall verhindert oder zumindest den Schaden reduziert. Mir dünkt aber, viele Anwender wären mit dem kostenlosen MSE UND einem kurzen (zumindest die Zeit, die man zum Erwerb und Installation des AV-Pakets braucht) Computer-Grundlagenkurs besser dran ;)

Edit:
AV-Software ist erstmal prinzipiell aus der gleichen Ecke, wie die "ultimative Registry/Speicher/Foo-Optimierung" Software - man kann viel versprechen und wenig halten ;).
Das Ziel - "Schutz des Rechners" ist schwammig und lässt sich durch den Endanwender kaum überprüfen. Irgendwelche konkreten Zusicherungen gibt's nicht.
Solange das der Fall ist und die "Tests" durch Zeitschriften&Co (abseits der c't), wie dieser hier Beste Antivirus Software 2014 im Test - der große Vergleich | NETZSIEGER
Was sind z.B "alle bekannten Trojaner"? Ein "umfassender Email-Verkehrschutz"? (Erzwingen einer sicheren Verbindung und PGP&Co Verschlüsselung? Wie werden eigentlich TLS Verbindungen überhaupt geprüft?)
Welche Veränderungen sind "bedrohlich" bei "alarmiert dich bei bedrohlichen Veränderungen im Dateisystem oder in der Registrierungs-Datenbank"?
auschauen dürfen, wird man auf ein "Ende" vergeblich warten ;)
 

rat

Stammuser
@CDW das hast du sehr gut gezeigt und da wird dir hier wohl keiner widersprechen.

Selbst habe ich noch KAV im Win am laufen und hier im Forum gibt es einen Thread von mir das mein ebay Acc gehackt wurde selber habe ich bei mir keine Malware gefunden und auch keinerlei verdächtige Aktivitäten seit ich mit ebay Telefoniert habe bis heute.Hätte es jemand wirklich geschaft mein Win zu Infizieren hätte er viel mehr haben können als meinen ebay Acc.

Oft mache ich es auch so das ich im Win mit einer Linux VM im netz bin,dazu hab ich hier sogar ein tut geschrieben.

Und deine folgende Punkte halte ich für die wohl wichtigsten

Über Sinn und Zweckmäßigkeit von AVs kann man lange philosophieren - für eine objektivere Beurteilung wäre aber interessant zu wissen, wie hoch die Chancen eines Durchschnittsanwenders sind sich <folgendes> ohne AV einzufangen und:
1) Schutz durch AV gegen "0-Day-Malware"
2) Schutz durch AV gegen "0-Day-Crypter+übliche, bekannte Malware"
3) Schutz durch AV gegen "0-Day-Exploits, die übliche Malware nachladen"
4) Erhöhung der Risikobereitschaft durch "ich bin doch geschützt!" Suggestion
5) Erhöhung der Angrifffläche durch "Schutzsoftware" http://www.joxeankoret.com/download/...are-pdf.tar.gz

Außerdem bleibt Socialengineering - wenn der Anwender, um ein "FB/Spiele-Hack-Tools-Crack" auszuführen, der Anweisung "dies ist doch ein Hacktool, natürlich wird der AV das anmerken - schalte ihn einfach ab" folgt, hilft dieser auch nicht.

//edit mich wundert das Avira noch so hoch gepriesen wird,vor nicht all zu langer Zeit hab ich deren Erkennung ausgeschaltet in dem ich einfach den Entrypoint der Malware änderte und er konnte auch das Rootkit HackerDefender nicht entfernen ohne crypting oder anderes (Habs in meiner VM noch gefunden und hatte zufällig einen Avira in der Hand und dachte mir jo mal sehn was passiert),er hat es zwar erkannt,aber konnte es nicht beseitigen,das hatte so den Effekt, jo du weist ich bin da und kannst dennoch nichts dagegen machen und Hacker Defnder isn Dinosaurier.
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
Also ich fasse mal aus einem wirtschaftspolitischem Blickwinkel zusammen:

Symantec hat einen Dinosaurier als Produkt, welches trotz einiger Anstrengungen , (wie Deals mit Hardwarelieferanten, wo Norton im OEM Bundle nervt) nicht mehr so richtig performt.

Symantec formuliert "zwar noch 40%". Richtiger ist aber "nur noch 40%".

Mal abgesehen davon dass seine Argumente (wie CDW ausführt) teilweise korrekt sind - aber auch schon immer waren, ist diese Meldung eher Marketing, wo man versucht aus der Not eine Tugend zu machen.

Das ist wie Schweine scheren: Viel gequicke und wenig Wolle.
 
Oben