Malware wie Viren, Bots oder Trojaner sind ein einträgliches Geschäft. Je schneller eine Malware erkannt und geblockt wird, desto weniger Erlöse sie erarbeiten. Daher ist es kein Wunder, dass die Malware-Macher alles daran setzen, eine Analyse durch Antivirenforscher zu erschweren. Ohne Analyse gibt es keine Gegenmaßnahmen und je länger eine Malware arbeiten kann, desto mehr Umsatz kann sie generieren - eine einfache Rechnung. Der Sicherheitsexperte Marco Ramilli hat in seinem Blog einige der gängigsten Gegenmaßnahmen der Kriminellen dokumentiert und erläutert, wie Schadsoftware ihren Häschern entgehen will.
Analysten nutzen klassischerweise drei Techniken zur Analyse von potentiell schädlichen Programmen:
- Virtuelle Umgebungen
- Debugger, die sich an den Malware-Prozess anheften
- Eine Sandbox, mit der sich die Ausführung der Malware überwachen lässt.
Virtuelle Umgebungen sind dabei für eine Malware relativ einfach zu erkennen: Die meisten bekannten Programme verfügen über umfangreich dokumentierte Schnittstellen oder spezielle Treiber, etwa für virtuelle Grafikkarten oder virtuelle Netzwerkkarten. Eine entsprechend konfigurierte Software kann die eigenen Aktionen entsprechend anpassen und beispielsweise ihre bösartige Ladung nur dann ausführen, wenn sie auf einem vollwertigen (physischen) PC ausgeführt wird.
Debugger sind Programme, mit denen sich der Ablauf eines Programms genau nachvollziehen lässt. Daher liegt es nahe, dass diese Tools auch von Analysten und Reverse Engineers eingesetzt wird, um die Abläufe eines Programms zu verstehen. Laut Ramilli gehören Anti-Debugger-Maßnahmen daher zum Repertoire von Malware-Schreibern.
Eine Sandbox ist eine gesicherte Umgebung, die sich zwischen ein Programm und das Betriebssystem schaltet, alle Programmaufrufe mitschneidet und diese isolieren oder komplett ins Leere laufen lassen kann. Sandboxen eignen sich für Software-Tests oder eben auch um bösartige Programme aufzuspüren. Wie allerdings virtuelle Maschinen hinterlassen auch Sandbox-Programme zahlreiche Informationen auf den jeweiligen Systemen, Informationen, die Malware-Autoren für die Erkennung nutzen können.
Analysten sollten sich laut Ramilli also nicht nur auf eine Untersuchungsmethode verlassen, sondern immer im Hinterkopf behalten, dass es zahlreiche Gegenmaßnahmen gibt. Daher sollten Analysten stets verschiedene Tools in der Hinterhand haben und sich nicht auf ihre Favoriten verlassen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.