zurück zur Übersicht

Intelligente Malware – Umschauen, lernen, wegducken

sandbox_bMalware wird immer intelligenter, denn das muss sie. Spätestens mit dem Aufkommen von so genannten Sandbox Systemen wurde es für Angreifer wichtig, ihre Malware so zu konstruieren, dass sie autonom ihre Umgebung analysiert, um der Entdeckung zu entgehen. Eine Sandbox erlaubt normalerweise die Beobachtung verdächtiger Software in einem simulierten System. Doch inzwischen tritt vermehrt Malware auf, die versucht zu erkennen, ob sie in einer Sandbox läuft. Erst dann entscheidet sie, ob sie weiter agieren kann, oder lieber inaktiv bleiben sollte.

Um eine Sandbox zu erkennen wird das System durch so genanntes „System Fingerprinting“ analysiert. Indikatoren sind z.B. auf dem Host laufende Programme, bestimmte Kernel Treiber oder System Libraries. Aus diesem Grund ist es für Sandbox Systeme wiederum wichtig möglichst wenig, oder am besten nichts, von seinen Komponenten zu zeigen. Das Zauberwort heißt: „Full System Emulation“. Denn im Gegensatz zu einer Virtualisierung laufen in dieser Variante keine der Analyse-Komponenten innerhalb der eigentlichen Sandbox. Das „Umsehen“ selbst kann ebenfalls bereits die Malware verraten. Denn umso mehr sie sich umsieht, umso wahrscheinlicher ist es auch, dass es sich um eine Malware handelt. Sucht eine Software beispielsweise gezielt nach bestimmten Strings kann das bereits ein Indiz sein.

Doch auch hier haben sich Malware-Entwickler eine Möglichkeit ausgedacht, um der Entdeckung zu entgehen. Die Malware „Darkhotel APT“ beispielsweise entschlüsselt die gesuchten Strings nicht im normalen Programmspeicher. Stattdessen werden diese „just-in-time“ entschlüsselt, sobald sie für die Analyse der Umgebung benötigt werden. Direkt im Anschluss werden sie im Speicher direkt wieder überschrieben, um jede Spur von ihnen auszulöschen. Zusätzlich gibt die Malware die entschlüsselten Strings nicht an APIs weiter, wo diese im Klartext aufgezeichnet werden könnten. Dies hat zur Folge, dass viele Standard-Methoden zur Erkennung von System Fingerprinting nicht mehr greifen. Auch hier heißt die Gegenmaßnahme einen Emulator zu verwenden anstatt einer virtuellen Umgebung.

Eine Lösung, die eine Full System Emulation verwendet ist „Lastline“. Die aus 10 Jahren universitärer Forschung entstandene Lösung nutzt genau diese Technologie, um Malware quasi in Sicherheit zu wiegen, bis sie sich verrät und eliminiert werden kann. iT-CUBE SYSTEMS kann Sie bei der Auswahl der passenden Lösung wie beispielsweise der von Lastline oder der Integration dieser in die vorhandene Security-Infrastruktur unterstützen. Wir integrieren die Lösung in bereits vorhandene Firewall- oder Proxiekonzepte. So kann unverzüglich auf erkannte Angriffe reagiert werden. Auch eine Anbindung an ein SIEM oder ein Logmanagement und die Ergänzung um neue, relevante Use Cases bietet weiteren Schutz vor neuartigen Angriffen.


Links:

http://labs.lastline.com/defeating-darkhotel-just-in-time-decryption
https://securelist.com/blog/research/66779/the-darkhotel-apt/
https://securelist.com/blog/research/71713/darkhotels-attacks-in-2015/
https://www.it-cube.net/de/it-security-portfolio/network-infrastructure/malware-detection-protection/

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar