Warum Software nicht ausreichend vor zielgerichteten Attacken schützt

Trusted-Computing

Als PCR-Werte bezeichnet man die Messwerte der spezifischen Hardwarekomponenten eines PCs. Sie umfassen 24 Register, geordnet nach ihrem jeweiligen Anwendungsbereich. Werden Modifikationen im BIOS vorgenommen, zum Beispiel durch ein Rootkit, verändern sich die PCR-Werte im TPM. Bei APTs und Rootkits handelt es sich typischerweise um Modifikationen der ersten PCR-Wertkategorien. PCR4 enthält zum Beispiel das MBR. Es ist das Bootblock des Betriebssystems und besteht aus 512 Bytes – vergleichsweise wenig Datenmaterial. Schaltet man etwa Bitlocker, eine weit verbreitete „Data-at-Rest“-Lösung von Windows, ein oder aus, modifiziert man damit drei Werte – ein potentiell verdächtiges Muster. Nutzt man das TPM zum Monitoring der PCR-Werte anhand einer speziellen Management-Software ist es möglich Vergleiche von aktuellen und historischen Daten über die PCR-Werte des PCs vorzunehmen. Dieser Abgleich passiert mit Hilfe eines bereitgestellten Servers, auf dem Daten von vorigen Startvorgängen des PCs gesammelt und anschließend mit den aktuellsten Werten verglichen werden. Veränderungen von selbst einem einzigen Bit führen zu signifikanten Auffälligkeiten in den PCR-Werten. Die unauffälligsten Viren ihrer Art bestehen aus minimal vier Bytes. Durch den Abgleich der Muster von vorigen Boot-Vorgängen auf der Basis von gespeicherten Daten können auffällige Muster erkannt und auf potenzielle Gefahr hin überprüft werden. Besteht ein begründeter Verdacht auf einen Angriff, können verschiedene Maßnahmen eingeleitet werden, von der einfachen Warnung an die hauseigene IT bis zum Blockieren des Geräts. Für den Geschäftsalltag entscheidend ist, dass genau überprüft wird welche Veränderungsmuster potenziell bedrohlich sind und welche durch eine Routineaufgabe, wie etwa einen Reset zur Wartung des Geräts, ausgelöst wurden. Werden Root- beziehungsweise Bootkits durch den Scan der Hardware-Zustandswerte früh erkannt, kann der Schädling isoliert werden, ohne dass noch weitere Ressourcen angezapft werden. Anders als bei Software-basierten Abwehrmechanismen wird beim Monitoring der PCR-Werte das Hauptaugenmerk auf das Erkennen statt primär auf die Abwehr von APTs gelegt. So gewinnt das IT-Team wertvolle Zeit und kann den Befall weiterer Systeme verhindern.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Warum Software nicht ausreichend vor zielgerichteten Attacken schützt
2. Sprungbrett ins lokale Netzwerk
3. Trusted-Computing

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft