ADVERTORIAL
Hochentwickelte Malware verfรผgt รผber diverse Mechanismen, den Security-Maรnahmen des Unternehmens zu entgehen. So kann etwa die signaturbasierte Malware-Erkennung traditioneller Anti-Virus-Lรถsungen ausgehebelt werden, indem die Malware Verschleierungsmethoden verwendet, die ihre identifizierbaren Merkmale verรคndern (Polymorphismus, Metamorphismus).ย ย
In ausgereiften, mehrstufigen Sicherheitskonzepten kommen neben der signaturbasierten Malware-Erkennung stets auch Technologien zum Einsatz, die weitere Erkennungsmethoden einbringen. Eine wichtige Rolle spielen Sandboxing-Lรถsungen, da sie Schadsoftware anhand des gezeigten Verhaltens identifizieren und nicht auf Signaturen angewiesen ist.
Drei Kategorien der Sandbox Evasion
Das Funktionsprinzip einer Sandbox ist einfach: In einer kontrollierten, von der Produktivumgebung des Unternehmens abgeschotteten Umgebung (Sandbox) wird das Verhalten der verdรคchtigen Datei รผber einen definierten Zeitraum hinweg beobachtet und auf bรถsartige Aktivitรคten analysiert. Daraus lรคsst sich schlieรen, ob es sich um Schadsoftware handelt. Der Erfolg dieser verhaltensbasierten Malware-Erkennung hรคngt also davon ab, ob die suspekte Datei wรคhrend des Analysezeitraums ihre wahre Natur zeigt. Und genau das will das Schadprogramm vermeiden.ย ย
Um der Analyse zu entgehen und der Sandbox zu entkommen, fรผhrt die Malware evasive Maรnahmen aus (Sandbox Evasion). Diese kรถnnen in drei grundsรคtzliche Kategorien unterteilt werden:
1) Sandbox-Umgehung durch aktive Erkennung der Analyseumgebung:
Der erste Ansatz beruht auf der Fรคhigkeit evasiver Malware, eine Sandbox als solche zu erkennen: Die Malware sucht nach kleinen, verrรคterischen Unterschieden zwischen einer als Produktiv-System โgetarntenโ Analyse-Umgebung und den regulรคren Systemen des Unternehmens. Stellt die Malware fest, dass sie in einer Sandbox ausgefรผhrt wird, wird sie Tรคuschungsversuche einleiten, um als harmlos eingestuft zu werden.
2) Sandbox-Umgehung durch Ausnutzung von Sandbox-Schwรคchen:
Aktives Suchen nach Sandbox-Merkmalen kann bei der Analyse aber auch als suspekte Aktivitรคt ins Auge fallen, die Rรผckschlรผsse auf die Natur der untersuchten Datei zulรคsst. Eine subtilere Methode ist daher die Ausnutzung von Schwรคchen und Lรผcken, die in manchen Sandboxing-Technologien vorhanden sind. Zum Beispiel kann die Malware Dateiformate nutzen, die von der Sandbox nicht ausgefรผhrt und analysiert werden kรถnnen.
3) Sandbox-Umgehung durch kontext-sensitives Verhalten:
Bei diesem Ansatz verzรถgert die Malware die Ausfรผhrung der bรถsartigen Nutzlast, bis ein bestimmter Auslรถser (Trigger) eintritt. Der Trigger ist so gewรคhlt, dass die Auslรถsung wรคhrend der Beobachtung in der Sandbox unwahrscheinlich ist. Ein Beispiel fรผr kontext-sensitives Verhalten wรคre ein zeitbasierter Auslรถser, durch den die Malware erst an einem bestimmten Tag oder zu einer bestimmten Uhrzeit aktiv wird.ย ย ย
Fazitย
Hochentwickelter Malware kann nur mit mehrschichtigen, eng verzahnten Securtiy-Architekturen entgegengetreten werden. Moderne Sandboxing-Technologien sind ein wichtiger Bestandteil der Architektur. Bei der Wahl der Lรถsung ist auf hohe Evasion-Resistenz zu achten. Einfache Sandboxes mit Basis-Funktionalitรคt oder Technologien der ersten Generation sind diesen Anforderungen nicht mehr gewachsen.
Interessiert Sie das Thema? Dann laden Sie unter unsere รbersicht โEvasive Malware โ Meister der Tarnungโ herunter. Dort finden Sie weitere Details zu den gรคngigsten Tรคuschungsmethoden moderner Schadsoftware sowie praktische Hinweise, wie eine Sandbox ausgelegt sein sollte, um den Umgehungsversuchen zu widerstehen.
Jรถrg Herrmann ist spezialisiert auf Cybersecurity und Datensicherheit, mit jahrelanger Projekterfahrung im Finanzsektor. Er ist zertifizierter IT-Grundschutz-Praktiker (BSI) sowie ISACA Certified Information Systems Auditor und Certified Data Privacy Solutions Engineer. Bei VMRay verantwortet er die Bereiche Groรkunden und รถffentliche Auftraggeber im Raum DACH.