Ausnahmen für Dateien, Ordner und Prozesse

Der Endpunktschutz ist wichtiger Bestandteil einer mehrstufigen Sicherheitsstrategie, zu der unter anderem E-Mail-Schutz, Firewalls, Angriffserkennung, Passwortverwaltung, SIEM, SOAR und EDR gehören können. Idealerweise arbeiten die einzelnen Komponenten zusammen, um es Angreifern möglichst schwer zu machen, sich unerkannt unerlaubten Zugriff zu einem Unternehmen zu verschaffen.

Die Hauptaufgabe des Endpunktschutzes liegt darin, den Computer vor schädlichen Veränderungen zu schützen. Üblicherweise geschieht dies durch Erkennen und Isolieren bösartiger Software wie Würmern, Viren, Ransomware und anderen unerwünschten ausführbaren Dateien. In dem beständigen Katz-und-Maus-Spiel zwischen Cyberbedrohungen und den Abwehrsystemen, die sie aufhalten sollen, haben schädliche Programme – also Malwares – eine Reihe von ausgeklügelten Strategien entwickelt, um nicht erkannt zu werden. Zum Beispiel:

• Sandbox-Verzögerungen dienen dazu, auf virtuellen Maschinen (VME) oder in Sandbox-Umgebungen unerkannt zu bleiben, insbesondere wenn diese automatisiert oder nur eine bestimmte Zeit lang aktiv sind.
• Bei der Obfuskation oder auch Code-Verschleierung werden, wie der Name schon andeutet, verschiedene Techniken eingesetzt, um Code schwerer lesbar zu machen und damit seinen eigentlichen Zweck zu verbergen.
• LOTL-Techniken (Living off the Land) sind Angriffsmethoden, bei denen vorhandene vertrauenswürdige Tools und Prozesse ausgenutzt werden, um unerkannt schädliche Aktivitäten auszuführen.

Im gleichen Maße wie diese Strategien hat sich auch der Endpunktschutz weiterentwickelt und eine der am weitesten verbreiteten Methoden besteht darin, Prozesse auf Aktivitäten zu überwachen, die bösartige Absichten vermuten lassen. Derartige Aktivitäten sind zum Beispiel ein ungewöhnlicher oder unangemessener Umgang mit einer großen Anzahl von Dateien, wie das Verschieben, Hinzufügen, Löschen und/oder Verschlüsseln.

Das Problem mit der aktivitäts- oder verhaltensbasierten Erkennung ist die Grauzone, in der es nicht eindeutig ist, ob ein Prozess bösartig ist oder nicht, was wiederum zu Fehlalarmen führt. Je mehr Aktivitäten zugunsten der Sicherheit gemeldet werden, umso mehr Fehlalarme gibt es. Werden jedoch zu wenige Aktivitäten gemeldet, könnten schädliche Prozesse übersehen werden.

Die Bedeutung von Ausnahmen

Glücklicherweise erlauben Produkte zum Endpunktschutz wie auch die von Emsisoft in der Regel, Ausnahmen zu konfigurieren. Dabei wird die Software angewiesen, die Aktivitäten bestimmter Prozesse oder innerhalb eines bestimmten Verzeichnisses zu ignorieren. Problem behoben, oder? Leider nicht ganz. Ausnahmen können durchaus helfen, die Erkennung besser anzupassen, um weniger Fehlalarme zu haben und die Systemleistung zu verbessern. Werden sie jedoch schlecht umgesetzt, besteht die Gefahr, dass eine Malware-Aktivität unerkannt bleibt. Für optimalen Schutz sollte eine Ausnahmeregel daher immer so spezifisch wie möglich angelegt werden. Mit einer allgemeinen Regel könnte Malware sonst versehentlich oder absichtlich als Ausnahme gelten. Einen Ordner und seine Unterordner auszuschließen, würde es beispielsweise einer Malware-Aktivität ermöglichen, unerkannt innerhalb dieser Ordnerstruktur ausgeführt zu werden. Auch Wildcards und Umgebungsvariablen sollten mit äußerster Vorsicht eingesetzt werden, um die Regel so beschränkt oder spezifisch wie möglich zu gestalten.

Sichere Ausnahmeregeln schreiben

Wann immer eine Ausnahme hinzugefügt wird, öffnet sich dadurch eine Tür für Malware, unerkannt zu bleiben. Daher müssen Ausnahmen so genau wie möglich formuliert werden. Im Folgenden finden Sie einige Möglichkeiten, um Ausnahmen sicher und spezifisch zu konfigurieren.

• Berechtigungen festlegen: Es ist eigentlich selbstverständlich, soll hier aber der Vollständigkeit halber noch einmal erwähnt werden. Nur Benutzer mit Administratorberechtigungen sollten Ausnahmeregeln hinzufügen, ändern oder löschen dürfen.

Weshalb ist das wichtig? Es darf Angreifern nicht so leicht möglich sein, Ihren Schutz auszuschalten. Der Endpunktschutz sollte zudem immer mit einem Administratorkennwort geschützt werden. Gelingt es dann jemanden, sich unerlaubten Zugriff auf Ihren Computer zu verschaffen, kann der Angreifer Ihren Schutz nicht deaktivieren und Daten stehlen oder verschlüsseln.

• Einige Binärdateien nie als Ausnahmen hinzufügen: Einige Binärdateien des Systems sind dafür bekannt, für LOLBin– oder LOLBAS-Angriffe (Living of the Land Binaries, Scripts and Libraries) ausgenutzt zu werden. Indem sie reguläre Windows-Dienste missbrauchen, benötigen Angreifer keine Malware mehr, die möglicherweise aufgrund ihrer Signatur blockiert werden könnte.

Weshalb ist das wichtig? Wenn diese regulären Windows-Dienste für bösartige Aktivitäten eingesetzt werden, kann eine verhaltensbasierte Erkennung dies feststellen und blockieren. Das geht allerdings nur, wenn es für die Binärdatei keine Ausnahmeregel gibt. Beispiele für LOLBINs sind: cmd.exe,powershell.exe,regsvr32.exe,rundll32.exe
Eine vollständige Liste finden Sie hier.

• Gültigkeit der Regeln einschränken: Wenden Sie die Regeln auf so wenig Endpunkte oder Benutzer wie möglich an.

Weshalb ist das wichtig? Je weniger auffällig eine Ausnahme ist, umso geringer ist das Risiko, dass sie ausgenutzt wird. Wird eine Anwendung nur von einigen wenigen Benutzern in der Buchhaltung eingesetzt, dann legen Sie eine Ausnahme an, die nur für diese Anwender gilt. Man weiß nie, welches Gerät kompromittiert werden könnte.

• Nutzung von Wildcards beschränken: Zwar sind Wildcards sehr nützlich, können allerdings unbeabsichtigte Folgen nach sich ziehen. Wie bei anderen Ausnahmen auch sollten sie daher so spezifisch wie möglich eingesetzt werden. Zum Beispiel:

C:\Users\*\temp\*.exe ❌
im Vergleich zu
C:\Users\mmustermann\temp\Update*.exe ✅

Weshalb ist das wichtig? Indem ein Pfad mit einer Wildcard so viele Details wie möglich enthält, sinkt das Risiko, dass er für schädliche Aktivitäten missbraucht wird.

• Keine Ausnahmen für gesamte Laufwerke oder allgemeine Ordner: Ordner, die von vielen verschiedenen Anwendungen genutzt werden, sollten nie als Ausnahme gesetzt werden. Ausnahmebeispiele für Laufwerke oder allgemeine Ordner sehen wie folgt aus:

C:\
C:\users\username\appdata\roaming
%temp%
C:\Windows

Weshalb ist das wichtig? Allgemeine Ordner werden von vielen Anwendungen eingesetzt und damit auch von Malware. Werden sie also als Ausnahme gesetzt, öffnen sie Schädlingen Tür und Tor.

• Ordner-Ausnahmen sind nützlich: Ordner (keine allgemeinen Ordner) als Ausnahmen hinzuzufügen, kann nützlicher sein als einzelne Dateien.

Weshalb ist das wichtig? Software-Updates beispielsweise lassen sich nicht so leicht durch den Dateinamen ausschließen, da sich dieser mit jeder Version ändert. Wird allerdings der eindeutige Ordner, über den die Updates durchgeführt werden, als Ausnahme gesetzt, lässt sich dieses Problem vermeiden. Zum Beispiel:

c:\Anbieter\Programm-Name\Programm-Version

Ein letzter Hinweis: Achten Sie beim Erstellen einer Ausnahmeregel unbedingt auf die richtige Schreibweise, da ein einzelner falscher Buchstabe erhebliche Auswirkungen haben kann.

Abschließende Gedanken

Ausnahmen zu konfigurieren ist ein Drahtseilakt. Werden sie zu grob ausgelegt, besteht das Risiko, dass Malware einen Freifahrtschein erhält. Sind sie zu feinmaschig, nehmen störende Fehlalarme überhand. Indem Sie Ausnahmen sparsam einsetzen, diese so genau wie möglich formulieren und beschränken, wer sie erstellen, bearbeiten und löschen darf, können Sie die Angriffsfläche Ihres Unternehmens reduzieren, ohne den alltäglichen Betrieb zu beeinträchtigen.

Übersetzung: Doreen Schäfer