Die komplette Wahrheit über Viren & Co.

Mittwoch, 3. Februar 2021

Einige Nutzer halten Sandboxen für ein Allheilmittel zum Schutz vor Malware. Nach dem Start in einer Sandbox sollen Schadprogramme ihre bösartigen Aktivitäten beginnen und ihr wahres Gesicht zeigen. Malware-Entwickler wissen dies natürlich und geben sich Mühe, eine solche Enthüllung bei der Ausführung in einer Sandbox zu verhindern. Virenschreiber wissen auch, dass wenn ihre Malware analysiert wird, sie auf einem virtuellen Rechner gestartet wird.

Daher werden Schadprogramme so konfiguriert, dass sie beim Start in einer isolierten Umgebung nicht ausgeführt werden, um ihre Schädlichkeit nicht zu enthüllen. Einige Nutzer kennen diesen Trick und verwenden spezielle Tools, damit Schadprogramme ihren Computer als virtuell wahrnehmen. Dies ist eine Art Vakzine. In den 90en Jahren gab es neben den ersten Virenschutzprogrammen sogenannte Malware-Impfungen, die eine Infektion imitierten, damit Viren „geimpfte“ Dateien als bereits infiziert einstuften. Könnten solche Impfungen ein Virenschutzprogramm ersetzen? Nein. Bei weitem nicht alle Schadprogramme prüfen, ob sie auf einem realen Computer oder in einer virtuellen Umgebung gestartet werden. Warum? Oft arbeiten Unternehmensserver auf virtuellen Workstations. Remote-Benutzern wird oft empfohlen, Unternehmensdienste über virtuelle Workstations auszuführen.

Wie erkennt man, dass ein Programm auf einer virtuellen Workstation gestartet wird? Auf einem realen Computer wird Hardware (Festplatten, Grafikkarten, Netzwerkkomponenten etc.) unterschiedlicher Hersteller verwendet. Die Ausrüstung einer virtuellen Workstation ist homogen. An der Ausrüstung erkennt man also, ob es sich um eine reale oder virtuelle Workstation handelt.

Betriebssysteme virtueller Rechner können spezifische Dienste, Treiber und Programme enthalten (z.B. VMware Tools bei VMware). Was Windows angeht, sind Spuren der Ausführung auf einer virtuellen Workstation auch im Register zu finden.

Bei VMware Workstations wird z.B. der Port 0x5658 für die Interaktion zwischen dem Gastbetriebssystem und dem Hauptbetriebssystem verwendet. Bei der Eingabe 0x564d5868 in EAX und 0x0A in ECX wird die Version der installierten VMware Workstation zurückgegeben.

Tools wie Pafish (Paranoid Fish) ermöglichen es, herauszufinden, ob der Nutzer eine reale oder virtuelle Workstation nutzt. Das Tool prüft Folgendes:

• Größe der Festplatte und des Arbeitsspeichers
• Bildschirmauflösung
• Mausbewegungen
• Zeitstempelzähler der virtuellen Workstation
• Vorhandensein von Software, Gerätekennungen und MAC-Adressen der Netzwerkadapter, die für Analysatoren und virtuelle Workstations typisch sind

Hier ist ein Beispiel. Pafish wird auf einer virtuellen Workstation gestartet:

Pafish hat die Zeitstempelzähler auf der Workstation gescannt und erkannt, dass es sich um eine virtuelle Workstation handelt. Obwohl ein spezielles Feld für die Konfiguration des Zeitstempelzählers bei der Virtualisierung vorgesehen ist, ist es nicht einfach, diesen richtig zu konfigurieren. Dies liegt an der Schwierigkeit, die genaue Anzahl von Takten bei vmexit und vmresume zu bestimmen.

Doctor Web bietet den Cloud-Dienst Dr.Web vxCube an, in den der Nutzer eine verdächtige Datei zur Analyse hochladen kann. Die Datei wird auf einer virtuellen Workstation gestartet, die die Erkennung der virtuellen Umgebung durch das analysierte Muster verhindert.

Dank der Analyse einer Vielzahl von Schadprogrammen wissen unsere Spezialisten, welche Verfahren Virenschreiber verwenden, um virtuelle Workstations zu erkennen. Wir haben Technologien entwickelt, die es virtuellen Rechnern ermöglichen, Schadprogramme zu umgehen. Unser Tool verhindert, dass Schadprogramme folgende Informationen ausnutzen:

• Informationen über den Kühlkörper
• Informationen über das Vorhandensein von Wärmezonen im ACPI der Hauptplatine
• Informationen über Icons, installierte Software und Updates des Betriebssystems
• Informationen über die Nutzung des Xeon-Prozessors etc.

Wir überwachen neue Hackermethoden und tragen Informationen darüber umgehend ins Tool zu ihrer Neutralisierung ein. Dr.Web vxCube verwendet eine Rekordzahl von Verfahren, die es ermöglichen, in Schadprogrammen implementierte Tools zur Erkennung von Virenscannern zu umgehen (über 370!).

Wir starten Pafish in Dr.Web vxCube:

Der Scan beginnt. Der Nutzer kann entweder warten, bis der Scan abgeschossen ist, oder die virtuelle Workstation mithilfe von VNC öffnen und gewünschte Aktivitäten ausführen. Im letzteren Fall kann der Nutzer mitverfolgen, wie Pafish arbeitet:

Wie Sie sehen, wurde der virtuelle Rechner nicht erkannt. Hat das Tool die Überwachung bemerkt?

Nachdem die Analyse abgeschlossen wurde, scrollen wir die Seite mit dem Bericht nach unten bis zum Bereich Behaviour. Hier sehen wir den Eintrag Detecting VM. Weitere Informationen können Sie im Bereich Description finden. Vor dem Beginn der Analyse können Sie ihre Dauer einstellen.

#Malware #cloudbasierte_Technologien #Infektionsmerkmale #Dr.Web_Technologien