ADVERTORIAL
Hochentwickelte Malware verfügt über diverse Mechanismen, den Security-Maßnahmen des Unternehmens zu entgehen. So kann etwa die signaturbasierte Malware-Erkennung traditioneller Anti-Virus-Lösungen ausgehebelt werden, indem die Malware Verschleierungsmethoden verwendet, die ihre identifizierbaren Merkmale verändern (Polymorphismus, Metamorphismus).
In ausgereiften, mehrstufigen Sicherheitskonzepten kommen neben der signaturbasierten Malware-Erkennung stets auch Technologien zum Einsatz, die weitere Erkennungsmethoden einbringen. Eine wichtige Rolle spielen Sandboxing-Lösungen, da sie Schadsoftware anhand des gezeigten Verhaltens identifizieren und nicht auf Signaturen angewiesen ist.
Drei Kategorien der Sandbox Evasion
Das Funktionsprinzip einer Sandbox ist einfach: In einer kontrollierten, von der Produktivumgebung des Unternehmens abgeschotteten Umgebung (Sandbox) wird das Verhalten der verdächtigen Datei über einen definierten Zeitraum hinweg beobachtet und auf bösartige Aktivitäten analysiert. Daraus lässt sich schließen, ob es sich um Schadsoftware handelt. Der Erfolg dieser verhaltensbasierten Malware-Erkennung hängt also davon ab, ob die suspekte Datei während des Analysezeitraums ihre wahre Natur zeigt. Und genau das will das Schadprogramm vermeiden.
Um der Analyse zu entgehen und der Sandbox zu entkommen, führt die Malware evasive Maßnahmen aus (Sandbox Evasion). Diese können in drei grundsätzliche Kategorien unterteilt werden:
1) Sandbox-Umgehung durch aktive Erkennung der Analyseumgebung:
Der erste Ansatz beruht auf der Fähigkeit evasiver Malware, eine Sandbox als solche zu erkennen: Die Malware sucht nach kleinen, verräterischen Unterschieden zwischen einer als Produktiv-System „getarnten“ Analyse-Umgebung und den regulären Systemen des Unternehmens. Stellt die Malware fest, dass sie in einer Sandbox ausgeführt wird, wird sie Täuschungsversuche einleiten, um als harmlos eingestuft zu werden.
2) Sandbox-Umgehung durch Ausnutzung von Sandbox-Schwächen:
Aktives Suchen nach Sandbox-Merkmalen kann bei der Analyse aber auch als suspekte Aktivität ins Auge fallen, die Rückschlüsse auf die Natur der untersuchten Datei zulässt. Eine subtilere Methode ist daher die Ausnutzung von Schwächen und Lücken, die in manchen Sandboxing-Technologien vorhanden sind. Zum Beispiel kann die Malware Dateiformate nutzen, die von der Sandbox nicht ausgeführt und analysiert werden können.
3) Sandbox-Umgehung durch kontext-sensitives Verhalten:
Bei diesem Ansatz verzögert die Malware die Ausführung der bösartigen Nutzlast, bis ein bestimmter Auslöser (Trigger) eintritt. Der Trigger ist so gewählt, dass die Auslösung während der Beobachtung in der Sandbox unwahrscheinlich ist. Ein Beispiel für kontext-sensitives Verhalten wäre ein zeitbasierter Auslöser, durch den die Malware erst an einem bestimmten Tag oder zu einer bestimmten Uhrzeit aktiv wird.
Fazit
Hochentwickelter Malware kann nur mit mehrschichtigen, eng verzahnten Securtiy-Architekturen entgegengetreten werden. Moderne Sandboxing-Technologien sind ein wichtiger Bestandteil der Architektur. Bei der Wahl der Lösung ist auf hohe Evasion-Resistenz zu achten. Einfache Sandboxes mit Basis-Funktionalität oder Technologien der ersten Generation sind diesen Anforderungen nicht mehr gewachsen.
Interessiert Sie das Thema? Dann laden Sie unter unsere Übersicht „Evasive Malware – Meister der Tarnung“ herunter. Dort finden Sie weitere Details zu den gängigsten Täuschungsmethoden moderner Schadsoftware sowie praktische Hinweise, wie eine Sandbox ausgelegt sein sollte, um den Umgehungsversuchen zu widerstehen.