Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

IT-Sicherheits-Küche

Кухня

Andere Ausgaben dieser Rubrik (11)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Versteckspiel in der Sandbox: Features von Dr.Web vxCube

Gelesen: 320 Kommentare: 6 Rating: 8

Mittwoch, 3. Februar 2021

Einige Nutzer halten Sandboxen für ein Allheilmittel zum Schutz vor Malware. Nach dem Start in einer Sandbox sollen Schadprogramme ihre bösartigen Aktivitäten beginnen und ihr wahres Gesicht zeigen. Malware-Entwickler wissen dies natürlich und geben sich Mühe, eine solche Enthüllung bei der Ausführung in einer Sandbox zu verhindern. Virenschreiber wissen auch, dass wenn ihre Malware analysiert wird, sie auf einem virtuellen Rechner gestartet wird.

Daher werden Schadprogramme so konfiguriert, dass sie beim Start in einer isolierten Umgebung nicht ausgeführt werden, um ihre Schädlichkeit nicht zu enthüllen. Einige Nutzer kennen diesen Trick und verwenden spezielle Tools, damit Schadprogramme ihren Computer als virtuell wahrnehmen. Dies ist eine Art Vakzine. In den 90en Jahren gab es neben den ersten Virenschutzprogrammen sogenannte Malware-Impfungen, die eine Infektion imitierten, damit Viren „geimpfte“ Dateien als bereits infiziert einstuften. Könnten solche Impfungen ein Virenschutzprogramm ersetzen? Nein. Bei weitem nicht alle Schadprogramme prüfen, ob sie auf einem realen Computer oder in einer virtuellen Umgebung gestartet werden. Warum? Oft arbeiten Unternehmensserver auf virtuellen Workstations. Remote-Benutzern wird oft empfohlen, Unternehmensdienste über virtuelle Workstations auszuführen.

Wie erkennt man, dass ein Programm auf einer virtuellen Workstation gestartet wird? Auf einem realen Computer wird Hardware (Festplatten, Grafikkarten, Netzwerkkomponenten etc.) unterschiedlicher Hersteller verwendet. Die Ausrüstung einer virtuellen Workstation ist homogen. An der Ausrüstung erkennt man also, ob es sich um eine reale oder virtuelle Workstation handelt.

Betriebssysteme virtueller Rechner können spezifische Dienste, Treiber und Programme enthalten (z.B. VMware Tools bei VMware). Was Windows angeht, sind Spuren der Ausführung auf einer virtuellen Workstation auch im Register zu finden.

Bei VMware Workstations wird z.B. der Port 0x5658 für die Interaktion zwischen dem Gastbetriebssystem und dem Hauptbetriebssystem verwendet. Bei der Eingabe 0x564d5868 in EAX und 0x0A in ECX wird die Version der installierten VMware Workstation zurückgegeben.

Tools wie Pafish (Paranoid Fish) ermöglichen es, herauszufinden, ob der Nutzer eine reale oder virtuelle Workstation nutzt. Das Tool prüft Folgendes:

  • Größe der Festplatte und des Arbeitsspeichers
  • Bildschirmauflösung
  • Mausbewegungen
  • Zeitstempelzähler der virtuellen Workstation
  • Vorhandensein von Software, Gerätekennungen und MAC-Adressen der Netzwerkadapter, die für Analysatoren und virtuelle Workstations typisch sind

Hier ist ein Beispiel. Pafish wird auf einer virtuellen Workstation gestartet:

#drweb

Pafish hat die Zeitstempelzähler auf der Workstation gescannt und erkannt, dass es sich um eine virtuelle Workstation handelt. Obwohl ein spezielles Feld für die Konfiguration des Zeitstempelzählers bei der Virtualisierung vorgesehen ist, ist es nicht einfach, diesen richtig zu konfigurieren. Dies liegt an der Schwierigkeit, die genaue Anzahl von Takten bei vmexit und vmresume zu bestimmen.

Doctor Web bietet den Cloud-Dienst Dr.Web vxCube an, in den der Nutzer eine verdächtige Datei zur Analyse hochladen kann. Die Datei wird auf einer virtuellen Workstation gestartet, die die Erkennung der virtuellen Umgebung durch das analysierte Muster verhindert.

Dank der Analyse einer Vielzahl von Schadprogrammen wissen unsere Spezialisten, welche Verfahren Virenschreiber verwenden, um virtuelle Workstations zu erkennen. Wir haben Technologien entwickelt, die es virtuellen Rechnern ermöglichen, Schadprogramme zu umgehen. Unser Tool verhindert, dass Schadprogramme folgende Informationen ausnutzen:

  • Informationen über den Kühlkörper
  • Informationen über das Vorhandensein von Wärmezonen im ACPI der Hauptplatine
  • Informationen über Icons, installierte Software und Updates des Betriebssystems
  • Informationen über die Nutzung des Xeon-Prozessors etc.

Wir überwachen neue Hackermethoden und tragen Informationen darüber umgehend ins Tool zu ihrer Neutralisierung ein. Dr.Web vxCube verwendet eine Rekordzahl von Verfahren, die es ermöglichen, in Schadprogrammen implementierte Tools zur Erkennung von Virenscannern zu umgehen (über 370!).

Wir starten Pafish in Dr.Web vxCube:

#drweb

#drweb

Der Scan beginnt. Der Nutzer kann entweder warten, bis der Scan abgeschossen ist, oder die virtuelle Workstation mithilfe von VNC öffnen und gewünschte Aktivitäten ausführen. Im letzteren Fall kann der Nutzer mitverfolgen, wie Pafish arbeitet:

#drweb

Wie Sie sehen, wurde der virtuelle Rechner nicht erkannt. Hat das Tool die Überwachung bemerkt?

Nachdem die Analyse abgeschlossen wurde, scrollen wir die Seite mit dem Bericht nach unten bis zum Bereich Behaviour. Hier sehen wir den Eintrag Detecting VM. Weitere Informationen können Sie im Bereich Description finden. Vor dem Beginn der Analyse können Sie ihre Dauer einstellen.

#drweb

#drweb

#Malware #cloudbasierte_Technologien #Infektionsmerkmale #Dr.Web_Technologien

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Nutzen Sie Dr.Web vxCube, um eine verdächtige Anwendung auf Bösartigkeit zu prüfen. Die analysierte Anwendung bemerkt die Überwachung nicht. Dr.Web vxCube erkennt die bösartige Funktionalität und entwickelt umgehend ein spezielles Dr.Web CureIt!-Paket, um die analysierte schädliche Datei zu löschen.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer