Advanced Malware Detection
6 Malware-Umgehungstechniken und wie man sie stoppen kann
Multi-Engine Sandboxing
Eine der Haupteigenschaften von fortschrittlicher Malware, ist die Verwendung vieler Umgehungstechniken, um sich vor der Erkennung durch Security Tools schützen zu können. Neben signaturbasierten und verhaltensbasierten Vorgehensweisen, gibt es sändig neue Entwicklungen in der Ausweichtechnik, mit denen eine hochentwickelte Malware versucht ihre eigene Erkennung zu verhindern. Darüber hinaus wird ein Malware-Objekt in der Regel mehrere Taktiken gleichzeitig bei einem Angriffsversuch bereitstellen.
Die zahlreichen Angriffsstrategien können in folgende 6 Hauptkategorien unterteilt werden.
1. Verzögerungstaktik
Mit dieser Taktik bleibt die Malware zunächst im „Leerlauf-Modus“, um eine Timer-basierte Erkennung zu verhindern. Die meisten virtualisierten Sandboxen erkennen, ob Malware die Schlaffunktion des Betriebssystems aufruft. Sie können aber kein Ausweichmanöver erkennen, wenn die Malware die Verzögerung in sich ausführt, ohne dabei das Betriebssystem aufzurufen. Eine volle CPU-Emulationen, sog. "Bare-Metal", erkennen jedoch diese Verhaltensweisen mit bisher unerreichter Genauigkeit.
2. Aktionsgebunde Verzögerung
Diese Taktik verzögert bösartige Aktivitäten bis es zu einer bestimmten Benutzeraktion (z. B. Mausklick, Öffnen oder Schließen einer Datei oder einer App) kommt. Die meisten virtualisierten Sandboxen erkennen keine Malware, die auf Benutzeraktionen wartet.
3. Intelligente Aussetzung von Malware
Im Gegensatz zu einfachen Ausweichtechniken, umfasst diese Kategorie ausgeklügelte Umgehungstaktiken, die das Vorhandensein einer Sandbox sofort erkennen und ihre böswilligen Aktionen zunächst aussetzen, um eine Erkennung zu verhindern. Die Malware wartet, bis die Penetration eines Hosts oder Computers vollständig abgeschlossen ist – bevor der Code eingegeben, geändert oder heruntergeladen wird, die Dateien entschlüsselt, seitlich über das Netzwerk verteilt werden, oder die Verbindung zum C&C Server aufgebaut wird.
4. Fragmentierung
Bei dieser Taktik teilt sich die Malware zuerst in Fragmente auf, die nur dann ausgeführt werden, wenn sie vom Zielsystem wieder zusammengesetzt wurden. Da virtualisierte Sandboxen Fragmente als solches in der Regel getrennt bewerten, erscheint jedes Fragment zunächst als harmlos und entzieht sich so der Erkennung.
5. Return-oriented programming (ROP)
Eine ROP-Umgehungstaktik modifiziert den Stack (Speicheradresse des als nächstes auszuführenden Codes) und fügt so eine Funktionalität hinzu, ohne den eigentlichen Code zu verändern. ROP-Ausweichmanöver delegieren die Ausführung des bösartigen Codes an andere Programme, anstatt an das eigene Malware-Programm und verstecken sich somit vor herkömmlichen Analyse-Tools.
6. Rootkits
Ein Rootkit ist eine Anwendung (oder eine Reihe von Anwendungen), die bösartigen Code in den unteren Betriebssystemschichten versteckt. Die meisten virtualisierten Sandboxes überwachen nicht, was ein Betriebssystem beim Aufrufen von Anwendungen ausführt, sodass die von einem Rootkit ausgeführten bösartigen Aktionen im Allgemeinen nicht erkannt werden.
Aufgrund der zunehmenden Konzentration auf die Entwicklung von Umgehungstaktiken für Malware, sollten Unternehmen einen Multi-Engine Ansatz zur Analyse von verdächtigem Code anwenden, insbesondere zum Auffinden und Anhalten von Ransomware und dem Diebstahl von Anmeldeinformationen.
Die mehrfach ausgezeichnete SonicWall Capture Advanced Threat Protection (ATP) -Multi-Engine-Sandbox erkennt effizient, was der Malware-Code von der Anwendung, über das Betriebssystem bis hin zur Software auf der eingesetzten Hardware tun möchte. Dieser Ansatz umfasst die Deep Content Inspection ™ -Technologie von Lastline ® sowie zwei weitere komplementäre Engines, beispielsweise auch von VMRay .