Symantec Whitepaper: Erkennt Malware auch virtuelle Maschinen?
Im Umfeld der IT-Sicherheitsforschung werden virtuelle Maschinen (VMs) bereits seit vielen Jahren verwendet und sind unter den Forschern sehr beliebt, da auf diesen Maschinen Malware ausgeführt und analysiert werden kann, ohne dass dabei die Produktivsysteme jedes Mal neu aufgesetzt werden müssen. Diese Tests können manuell oder auf automatisierten Systemen vorgenommen werden, wobei jedes Verfahren unterschiedliche Vor- und Nachteile beinhaltet. Jedes Artefakt wird dabei aufgezeichnet und am Schluss eine Beurteilung erstellt, ob die Anwendung zugelassen oder blockiert werden soll. Aus ähnlichen Gründen sind die Sandbox Technologie und die Virtualisierungs-Technologie mittlerweile eine gängige Komponente in vielen Netzwerk-IT-Sicherheitslösungen geworden. Ziel ist hierbei, eine unbekannte Malware durch eine Ausführung von Proben zu entdecken und deren Verhalten zu analysieren.
Es gibt aber einen noch weit größeren Bereich, in denen virtuelle Systeme in der Praxis zum Einsatz kommen. Viele Kunden setzten in ihren Produktivumgebungen mittlerweile virtuelle Maschinen ein und auch auf den meisten Servern laufen mittlerweile virtuelle Maschinen, die ihre tägliche Arbeit mit echten Kundendaten erledigen.
Dies hat zu einer gängigen Frage von Seiten der Kunden geführt: „Erkennt eine Malware, dass sie auf einem virtuellen System ausgeführt wird und beendet sich daraufhin selbst?“ Einige Kunden hoffen immer noch, dass die Antwort auf diese Frage „Ja“ lautet. Und das ihre virtuellen Systeme dadurch gegen Malware immun sind. Leider ist dies ein Irrglaube.
Es ist aber durchaus wahr, dass einige „Malware-Entwickler“ zu erkennen versuchen, ob ihre „Kreationen“ auf einer virtuellen Maschine ausgeführt werden. Und einige dieser Tricks um herauszufinden, ob ein Programm in einer virtuellen Umgebung ausgeführt wird, sind auch ganz einfach:
- Überprüfung der MAC Adresse eines virtuellen Netzwerkadapters um herauszufinden, wer der Hersteller dieses Adapters ist
- Überprüfung bestimmter Registrierungsschlüssel, die in virtuellen Systemen einzigartig sind
- Überprüfung, ob Hilfsprogramme wie die VMware Tools installiert sind
- Überprüfung der Kommunikationsanschlüsse und des Kommunikationsverhaltens
- Ausführung von speziellem Assembler-Code und Vergleich der Ergebnisse
- Überprüfung der Lage der Systemstrukturen wie bspw. die Descriptor-Tabellen
Malware hat einen großen Vorteil, wenn sie auf einem automatischen VM Analyse-System ausgeführt wird. Das Analysesystem muss eine Entscheidung in einem angemessen Zeitrahmen treffen und wenn sich eine Beispielsdatei nicht wie in gefährlicher Art und Weise innerhalb der ersten fünf Minuten verhält (wie z.B. das Überspringen von Warteschleifen), dann wird das System wahrscheinlich annehmen, dass die Beispielsdatei harmlos ist. Andere Tricks von Malware-Programmierern zur Erkennung von virtuellen Systemen zielen auf die Interaktion der Malware ab. So kann beispielsweise eine Malware so programmiert worden sein, dass sie zweimal abwartet, bis das System neu gestartet wird, bevor sie in Aktion tritt. Oder sie kann erst mit der Aktivierung ihres eigentlichen Payloads beginnen, wenn eine bestimmte Anzahl von Mausklicks gezählt wurde. Diese Tricks sind sehr schwer bei automatisierten virtuellen Maschinen zu patchen.
In einigen seltenen Fällen haben die Symantec Security Response Labs auch eine Malware entdeckt, die ihre Aktivitäten nicht gestoppt hat, wenn sie auf einer virtuellen Maschine ausgeführt wurde, sondern stattdessen falsche Daten übermittelt hat. Diese „roten Heringe“ versuchen dann vielleicht mit Command & Control Servern in Kontakt zu treten, die tatsächlich nie existierten oder suchen nach zufällig ausgewählten Registrierungsschlüsseln. Diese Taktiken sind dazu gemacht, um die Forscher zu verwirren oder dem automatisierten Prozess vorzuspielen, dass es sich bei der Malware um eine „harmlose“ Anwendung handelt.
Die meisten Malware-Beispiele verfügen allerdings über einen Runtime-Packer mit integrierter VM Erkennung. Dies bedeutet im Allgemeinen, dass der Packer oder Crypter und nicht die Malware selbst diese VM Erkennung durchführt. Die Malware-Autoren haben schnell erkannt, dass es verdächtig ist, wenn eine Anwendung selbst erkennt, wenn sie auf einer virtuellen Maschine betrieben wird. Entsprechend ist die Verwendung dieser Funktion bei den Malware-Beispielen in den letzten Jahren immer seltener anzutreffen.
Malware-Autoren wollen mit ihren Kreationen immer so viele Systeme wie möglich kompromittieren. Wenn die Malware also auf keiner virtuellen Maschine läuft, dann limitiert dies die Anzahl der möglichen zu kompromittierenden Computersysteme erheblich. So ist es wenig verwunderlich, dass die meisten der heutigen Malware-Beispiele mittlerweile auf virtuellen Maschinen ganz normal funktionieren und dass notwendige Funktionen von den Cyberkriminellen einfach hinzugefügt werden können, wenn die Cyberkriminellen dies wünschen.
Abbildung 1: VM Erkennungsoptionen des Packer-Tools
Um die Ausgangsfrage mit einigen echten Daten und nicht nur einem Bauchgefühl zu beantworten: Die Symantec Security Response Labs haben 200.000 Dateieinreichungen von Kunden seit dem Jahr 2012 ausgewählt, diese einmal auf einem realen und einem virtuellen System ausgeführt und dann die Ergebnisse verglichen. Dabei wurde zudem mit besten Wissen und Gewissen versucht diejenigen Proben herauszufiltern, die sich selbst beendeten, bevor sie irgendwelche Spuren hinterlassen konnten oder diejenigen, die „rote Herings“-Spuren“ hinterlassen haben. In den letzten beiden Jahren ist der Prozentsatz der Malware, die VMware Systeme automatische erkennen können, mit in etwa 18 Prozent gleich geblieben. Nur Anfang des Jahres 2014 gab es eine kurze Spitze, wo bei 28% der Malware eine derartige Erkennungsroutine integriert war. Im Durchschnitt kann jedes fünfte Malware-Beispiel virtuelle Maschinen automatisch erkennen und bricht dann die eigene Ausführung ab.
Abbildung 2: Malware-Beispiele, die VMware Systeme automatisch erkennen können, Malware-Anzahl pro Monat
Dies bedeutet dass es immer noch Malware-Beispiele gibt, die automatisch erkennen können, ob sie auf einer virtuellen Maschine ausgeführt werden oder nicht. Aber die Anzahl dieser Malware-Beispiele ist nicht sehr groß. Symantec empfiehlt daher virtuelle Systeme genauso wie andere Systeme zu schützen, um auf der sicheren Seite gegenüber diesen Bedrohungen zu sein.
Die IT-Sicherheitsforscher von Symantec sind immer auf der Suche nach den neuesten Techniken, die Malware-Autoren verwenden, um einer automatisierten Analyse zu umgehen. Durch die Kombination von verschiedenen unterschiedlichen Erkennungsmethoden wie bspw. eine Reputations-basierte Erkennung kann Symantec die maximale IT-Sicherheit für die Kunden gewährleisten.
Weitere Informationen über die Bedrohungen für virtuelle Maschinen finden Sie hier im neuen Symantec Security Response Whitepaper „Threat to virtual Environments“ (siehe auch im Anhang zu diesem Beitrag).
Quelle: Symantec Security Response Connect Weblog – Autor: Candid Wueest
Über die Symantec (Deutschland) GmbH
Symantec unterstützt als Experte für Informationsschutz Anwender, Unternehmen und Regierungen dabei, die Möglichkeiten neuer Technologien jederzeit und überall zu ihrem Vorteil zu nutzen. Gegründet im April 1982 und ein Fortune 500-Unternehmen, betreibt Symantec eines der weltweit größten Data Intelligence Netzwerke und stellt führende Sicherheits-, Backup- und Availability-Lösungen überall dort bereit, wo sensible Informationen gespeichert, zugänglich gemacht und geteilt werden. Für das Unternehmen sind 21.500 Beschäftigte in mehr als 50 Ländern tätig. 99 Prozent der Fortune 500-Firmen sind Kunden von Symantec. Im Fiskaljahr 2013 verzeichnete das Unternehmen Einkünfte von 6,9 Milliarden US Dollar. Erfahren Sie mehr unter www.symantec.de
