Schutz gegen Malware: McAfee will Computer impfen

Virenscanner versuchen den Zugriff von Maleware auf das Betriebssystem zu erkennen und zu verhindern. Doch was wäre, wenn ein Betriebssystem so verändert wird, dass die Maleware kein Interesse an einer Infektion des Systems hat? Wie eine Impfung, die dafür sorgen soll, dass Maleware einen Computer erst garnicht befallen möchte. Thomas Roccia beschreibt im McAfee Blog genau diesen Gedankengang und wie es den Sicherheitsforschern gelungen ist, eine Impfung vorzunehmen.

McAfee macht sich dabei die wachsende Intelligenz und Effizienz von Maleware zu nutze. Roccia erklärt zwei unterschiedliche Verhaltensweisen von Maleware, die dazu führt, dass die Schadsoftware ein nicht infiziertes Betriebssystem einfach in Ruhe lässt.

Schutz gegen Malware: McAfee will Computer impfen

Sicherheitsforscher nutzen virtuelle Maschinen und Sandboxen um das Verhalten von Malware sicher und schnell erforschen zu können. Mit dem Wissen lassen sich anschließend Virenscanner oder Sicherheitsupdates für Software bereitstellen. Um das Erforschen von Schadsoftware zu erschweren, verfügt Maleware zwischenzeitlich oft über Erkennungsfunktionen von virtuellen Maschinen und Sandboxen. Erfolgt eine Erkennung verändert die Maleware ihr Verhalten oder führt den Schadecode erst überhaupt nicht aus.

Eine weitere Eigenschaft von Maleware ist, dass eine erneute Infektion einer schon infizierten Maschine verhindert werden soll. Dabei werden beispielsweise Registry Keys gesetzt oder auch die Systemsprache überprüft. Die Ransomware Locky prüft beispielsweise ob die Systemsprache eines Betriebssystem russisch ist. Ist das der Fall, wird das Betriebssystem nicht infiziert.

Mit diesen Informationen hat McAfee ein Proof of Concept erstellt und ihre Theorie technisch belegt. Dabei werden einem richtigen und Viren-freien Betriebssystem entsprechende Merkmale gesetzt, die auf eine virtuelle Maschine deuten oder schon auf die Installation einer vorhandenen Maleware.

Virtuelle Maschinen und Sandboxen sind voll von kleinen Hinweisen auf die entsprechende Umgebung. Normale Software interessiert das nicht. Maleware wird aber zwischenzeitlich so entwickelt, um diese Hinweise zu finden. Findet die Schadsoftware entsprechende Hinweise, wird diese nicht ausgeführt. Sind keine Hinweise vorhanden, wird die Maleware aktiv. McAfee hat dabei folgende Hinweise als Impfstoff für ein echtes Betriebssystem ausprobiert:

Falsche Registry Keys

Viele Registry Keys werden durch spezielle Tools oder Sandbox-Software erstellt. Mit der Windows API RegCreateKeyEx hat McAfee falsche Registry Keys eines Virtual Hypervisor auf einem echten Betriebssystem erstellt.

Falsche Prozesse

Der Hypervisor lässt einige spezielle Prozesse in der virtuellen Maschine laufen. Dadurch werden Handlungen ausgeführt und die Kompatibilität zum Host sichergestellt. VirtualBox beispielsweise nutzt einige Prozesse die von Malware entdeckt werden können. Mit einer Funktion wurden diese falschen Prozesse in den Speicher geladen.

Falsche Dateien

Betriebssysteme, die in einer virtuellen Maschine laufen, verfügen über Dateien, die ein normales Betriebssystem nicht besitzt. Dazu gehören viele Treiber oder DLL-Dateien, die vom Hypervisor erzeugt wurden.

Falsche MAC-Adressen

VirtualBox und VMware verwenden eine Standard-MAC-Adresse auf virtuellen Maschinen. Die Default-Adresse von VirtuelBox sind die ersten drei Bytes 08:00:27. VMware verwendet die ersten drei Bytes 00:0C:29, 00:1C:14, 00:50:56 oder 00:05:69. Dieses Vorgehen ist den Entwicklern von Malware zwischenzeitlich bekannt und die Schadsoftware kann die MAC-Adresse über einen Registry Key auslesen.

Persönliche Meinung

In der verlinkten Quelle unten finden sich ausführlichere technische Informationen zum Vorgehen von McAfee. Interessant dabei ist, dass die Impfung eines echten Betriebssystem mit Informationen zu einer virtuellen Umgebung dazu führte, dass Schadsoftware auf dem System nicht ausgeführt wurde. Dabei soll die Impfung des Betriebssystem andere Sicherheitslösungen nicht ersetzen sondern ergänzen. Beispielsweise für den Fall, dass der Virenscanner nicht anschlägt, könnte die neue Maleware trotzdem von einer Infektion absehen, da die Software denkt auf einer virtuellen Maschine eines Sicherheitsforsches gelandet zu sein.

Quelle: McAfee Blog

Kommentar verfassen