Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles, um der Entdeckung zu entgehen. Jörg Hermann von der VMRay GmbH wirft einen Blick in die Trickkiste.

Von Jörg Herrmann - 06. April 2021

Bildnachweis: iStock.com/Chinga_11

ADVERTORIAL

Hochentwickelte Malware verfügt über diverse Mechanismen, den Security-Maßnahmen des Unternehmens zu entgehen. So kann etwa die signaturbasierte Malware-Erkennung traditioneller Anti-Virus-Lösungen ausgehebelt werden, indem die Malware Verschleierungsmethoden verwendet, die ihre identifizierbaren Merkmale verändern (Polymorphismus, Metamorphismus).  

In ausgereiften, mehrstufigen Sicherheitskonzepten kommen neben der signaturbasierten Malware-Erkennung stets auch Technologien zum Einsatz, die weitere Erkennungsmethoden einbringen. Eine wichtige Rolle spielen Sandboxing-Lösungen, da sie Schadsoftware anhand des gezeigten Verhaltens identifizieren und nicht auf Signaturen angewiesen ist.

Drei Kategorien der Sandbox Evasion

Das Funktionsprinzip einer Sandbox ist einfach: In einer kontrollierten, von der Produktivumgebung des Unternehmens abgeschotteten Umgebung (Sandbox) wird das Verhalten der verdächtigen Datei über einen definierten Zeitraum hinweg beobachtet und auf bösartige Aktivitäten analysiert. Daraus lässt sich schließen, ob es sich um Schadsoftware handelt. Der Erfolg dieser verhaltensbasierten Malware-Erkennung hängt also davon ab, ob die suspekte Datei während des Analysezeitraums ihre wahre Natur zeigt. Und genau das will das Schadprogramm vermeiden.  

Um der Analyse zu entgehen und der Sandbox zu entkommen, führt die Malware evasive Maßnahmen aus (Sandbox Evasion). Diese können in drei grundsätzliche Kategorien unterteilt werden:

1) Sandbox-Umgehung durch aktive Erkennung der Analyseumgebung:

Der erste Ansatz beruht auf der Fähigkeit evasiver Malware, eine Sandbox als solche zu erkennen: Die Malware sucht nach kleinen, verräterischen Unterschieden zwischen einer als Produktiv-System „getarnten“ Analyse-Umgebung und den regulären Systemen des Unternehmens. Stellt die Malware fest, dass sie in einer Sandbox ausgeführt wird, wird sie Täuschungsversuche einleiten, um als harmlos eingestuft zu werden.

2) Sandbox-Umgehung durch Ausnutzung von Sandbox-Schwächen:

Aktives Suchen nach Sandbox-Merkmalen kann bei der Analyse aber auch als suspekte Aktivität ins Auge fallen, die Rückschlüsse auf die Natur der untersuchten Datei zulässt. Eine subtilere Methode ist daher die Ausnutzung von Schwächen und Lücken, die in manchen Sandboxing-Technologien vorhanden sind. Zum Beispiel kann die Malware Dateiformate nutzen, die von der Sandbox nicht ausgeführt und analysiert werden können.

3) Sandbox-Umgehung durch kontext-sensitives Verhalten:

Bei diesem Ansatz verzögert die Malware die Ausführung der bösartigen Nutzlast, bis ein bestimmter Auslöser (Trigger) eintritt. Der Trigger ist so gewählt, dass die Auslösung während der Beobachtung in der Sandbox unwahrscheinlich ist. Ein Beispiel für kontext-sensitives Verhalten wäre ein zeitbasierter Auslöser, durch den die Malware erst an einem bestimmten Tag oder zu einer bestimmten Uhrzeit aktiv wird.   

Fazit 

Hochentwickelter Malware kann nur mit mehrschichtigen, eng verzahnten Securtiy-Architekturen entgegengetreten werden. Moderne Sandboxing-Technologien sind ein wichtiger Bestandteil der Architektur. Bei der Wahl der Lösung ist auf hohe Evasion-Resistenz zu achten. Einfache Sandboxes mit Basis-Funktionalität oder Technologien der ersten Generation sind diesen Anforderungen nicht mehr gewachsen.

Interessiert Sie das Thema? Dann laden Sie unter unsere Übersicht „Evasive Malware – Meister der Tarnung“ herunter. Dort finden Sie weitere Details zu den gängigsten Täuschungsmethoden moderner Schadsoftware sowie praktische Hinweise, wie eine Sandbox ausgelegt sein sollte, um den Umgehungsversuchen zu widerstehen.

Jörg Hermann

VMRay GmbH

Jörg Herrmann ist spezialisiert auf Cybersecurity und Datensicherheit, mit jahrelanger Projekterfahrung im Finanzsektor. Er ist zertifizierter IT-Grundschutz-Praktiker (BSI) sowie ISACA Certified Information Systems Auditor und Certified Data Privacy Solutions Engineer. Bei VMRay verantwortet er die Bereiche Großkunden und öffentliche Auftraggeber im Raum DACH.

Lesen Sie auch

Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke