Boogeyman schrieb:
Was mich aber interessiert, warum kann gängige Antiviren Software "Man-in-the-Browser"-Attacken nicht, bzw. nicht zuverlässig erkennen? Im Video wird Avira Antivir Free als Antiviren Scanner verwendet, aber viele Antiviren Scanner enthalten oft noch eine Verhaltenserkennung bzw. HIPS, ist dann noch Secure Banking nötig?
Warum AV-Programme so einen Schutz nicht anbieten kann ich dir leider nicht sagen. Ich kann dir nur soviel sagen das sie es nicht tun.
Einzig GDATA bietet ein ähnliches Tool an und zwar den BankGuard.
Macht im Prinzip das selbe, funktioniert allerdings nur mit Firefox und Internet Explorer und bietet ansich weniger Funktionen und kostet vorallem Geld.
Zum Thema HIPS / Verhaltenserkennung, das habe ich schon mal in einem anderem Forum erklärt:
Man kann die 2 Tools (HIPS/Verhaltensscanner - Secure Banking) miteinander nicht so vergleichen, denn sie haben beide eine komplett unterschiedliche Arbeitsweise.
Solche Behavior Guards überprüfen alle laufenden Prozesse auf ihr Verhalten. Das machen sie so, indem sie gewisse Funktionen wie z.B. WriteProcessMemory oder CreateRemoteThread hooken.
Ruft nun ein Prozess diese Funktionen auf (in Kombination mit ein paar anderen malwaretypischen Funktionen), stoppt der Guard den Prozess und spuckt eine Warnmeldung aus.
Zusätzlich kommt noch folgendes hinzu - Zitat von der Website von emsisoft:
Zitat:
Die Verhaltensanalyse kann Ihnen nicht sagen, ob der Wurm nun NetSky oder Bagle, oder ob der Trojaner Optix oder SubSeven heißt. Sie kann lediglich sagen,
dass es sich um einen Wurm bzw. um einen Trojaner handelt.
Im Prinzip nicht so schwierig und auch sehr effektiv. Doch es verwenden auch andere legitime Programme diese Funktionen (in dieser speziellen Kombination wie es Malware tut) und somit kommt es auch oft zu "False Positives".
Secure Banking hingegen prüft ledigtlich die Browser-Prozesse auf bestimmte Manipulationen, die NUR Malware vornimmt (Man-in-the-Browser Attacke).
Anhand dieser Manipulationen kann Secure Banking den Trojaner auch identifizieren, sofern er in der Datenbank ist. Anderenfalls wird halt ein unbekannter Trojaner entdeckt, welcher dann auch geblockt wird. (sofern möglich)
Der Vorteil hierbei ist, dass ich nur einen einzigen Eintrag des Trojaners in der Datenbank brauche und somit ALLE, wirklich ALLE Variationen dieses Trojaners erkennen kann.
Sprich, sie können noch so gut mit diversen Tools verschleiert/Verschlüsselt werden.
Anderst gesagt, Secure Banking prüft das "Verhalten" des Webbrowsers und nicht der Malware. Soviel zum Unterschied.
So kann es durchaus sein, das z.B. Mamutu das Verhalten eines Trojaners nicht erkennt, Secure Banking aber die resultierenden Manipulationen im Webbrowser schon.
Andersrum hingegen erkennt Secure Banking keine Malware, die den Browser nicht angreifen. Dazu gehören dann Keylogger, RATs, reine Bots (ohne Formgrabbing), etc.
(Rootkits werden ab Version 1.5.0 auch erkannt)
