Überblick: Sandbox-Techniken für die Erkennung unbekannter Malware

Sandbox-Architekturen sind ein zentrales Element zur Bekämpfung unbekannten Schadcodes. Der Begriff wird mittlerweile aber für ganz gegensätzliche strategische Ansätze benutzt, einerseits einen vorbeugenden, andererseits einen schadensbegrenzenden. Es gibt gute Argumente für beide, aber letztlich ist Vorbeugen auch hier besser als Heilen.

Nach wie vor sind Signaturdatenbanken für Viren und Trojaner die Grundlage für Schutzmaßnahmen gegen eine große Menge von Schadsoftware. Aber sie sind eben nur die Grundlage, denn immer mehr Angreifer sind in diesen Datenbanken nicht verzeichnet. Ein kleiner Teil dieser nicht verzeichneten Schädlinge gehört zur Spezies der zielpunktgenauen Attacken gegen Staaten und Unternehmen. Der weitaus größere Teil sind Schadprogramme zum Ergaunern von Geld und Daten, die so hochkarätig programmiert sind, dass sie nur mit ebenso hochkarätigen Methoden erkannt werden können.

Hier wird wechselseitig aufgerüstet: Die Verteidiger bringen ständig optimierte Abwehrmechanismen in Stellung, die zerstörerische Aktivitäten aufdecken und neutralisieren, die Angreifer suchen nach immer neuen Tricks, um die Schutzmauern zu umgehen. „Auch wenn die digitalen Coups der Cyberkriminellen nicht immer erfolgreich sind, entstehen durch die Angriffe oft erhebliche Kollateralschäden“, sagt Ammer Alkassar, Vorstand des Saarbrücker Sicherheitsspezialisten Sirrix.

Alkassar kennt beispielsweise einen Fall im kommunalen Umfeld, bei dem ein solcher Angriff zwar der Ursprungs-Intention nach nicht erfolgreich war, die angegriffenen Rechner aber derart verseucht hat, dass eine Neuanschaffung kostengünstiger war als die Systeme neu aufzusetzen.

Total transparente Sandbox-Umgebungen sind eine Utopie

Um die Schäden solcher Angriffe zu minimieren, bieten sich zwei Möglichkeiten: Aufdeckung eines Angriffs am Gateway und manuelles Säubern der betroffenen Endgeräte, also eine eher nachsorgende Maßnahme, oder aber das hermetische Abschirmen von Betriebssystem und besonders gefährdeten Anwendungen (Browser etc.) als vorbeugende Maßnahme. Beide Methoden werden heute eingesetzt, beide arbeiten mit Filtern im Betriebssystem oder sogar Virtualisierungstechniken, die teilweise weit in die Prozessor-Hardware (Intel VT) hineingehen. Beide Lösungen werden oft unter dem Begriff Sandbox subsumiert, obwohl sie auf gegensätzlichen strategischen Ansätzen beruhen.

alkassar-ammer-sirrixAmmer Alkassar, Vorstand des Saarbrücker Sicherheitsspezialisten Sirrix (Bild: Sirrix).

Stefan Strobel, Geschäftsführer der Heilbronner Security-Consulting-Firma Cirosec, bringt dies auf den Punkt, wenn er sagt: „Ursprünglich war die Sandbox ein virtuelles Gefängnis, in das beispielsweise der Browser oder Java-Code eingesperrt waren, jetzt machen verschiedene Sicherheitsunternehmen daraus eine Abwehrstrategie, wollen Schadcode-verdächtige Software am Gateway abfangen, um diese dann in einer kontrollierten und überwachten Umgebung gezielt zur Explosion zu bringen und so zu enttarnen.“

Auf den ersten Blick scheint es durchaus vernünftig, die Identifizierung von Schadcode an bestimmten typischen Verhaltensweisen im Programmablauf festzumachen. Versucht ein Programm beispielsweise programmtechnisch unmotiviert Dateien zu öffnen, nimmt es undurchsichtige Systemänderungen vor oder erzeugt es neue, offensichtlich überflüssige Netzwerkverbindungen, besteht eine hohe Wahrscheinlichkeit, dass es sich um Malware handelt.

Schadcode-Analysatoren wie die von FireEye, Trend Micro oder McAfee überprüfen deshalb in einer Testumgebung, in der große Teile des Betriebssystems oder einer Anwendung virtualisiert sind, laufend die Aktionen der unbekannten Software. Sie isolieren dann den Code, wenn verdächtige Aktionen gefunden werden.

Das Problem dabei ist, dass es kaum möglich ist, die ablaufende Kontroll-Software ausreichend unsichtbar zu halten. Auch bei geschickter Programmierung ist eine Virtualisierung am Timing oder an virtuellen Geräten erkennbar. Tatsächlich sind Stand heute Sandbox-Umgebungen als Überwachungssoftware aber noch weit verräterischer. Sie verwenden typische Systemdienste, Dateien und Ports, sie setzen „programmtechnische Duftmarken“ und die dazugehörige Software wird in bestimmten Verzeichnissen abgelegt.

Stefan Strobel, Geschäftsführer cirosecStefan Strobel, Geschäftsführer der Heilbronner Security-Consulting-Firma Cirosec (Bild: Cirosec)

Für Malware-Programmierer liegt es insofern nahe, die Überwachungssoftware mit deren eigenen Mitteln zu überlisten. Die Schadcode-Programmierer betreiben deshalb ihr zerstörerisches Spiel ganz gezielt im Windschatten der Sandbox-Kontrollpunkte, halten den Prüfmechanismus mit harmlos wirkenden Rechenoperationen hin, bis er in einen Time-Out läuft oder sie schalten ihre Malware erst scharf, wenn die erste plausible Nutzerinteraktion („der erste Klick“) verzeichnet wird. Einige Schadcode-Programme erzwingen die Nutzerinteraktion auch aktiv, indem sie bestimmte API-Funktionen in Windows, zum Beispiel MessageBox, benutzen, um gefälschte Dialogfenster zu erzeugen.

Dynamische und statische Malware-Analyse kombiniert

Die Hersteller von Sicherheitssoftware reagieren auf diese Täuschungsversuche der Malware-Entwickler mit neuen Abwehrmethoden. Sie versuchen die typischen Charakteristika einer Sandbox insgesamt zu kaschieren, indem sie die Sandbox-Umgebung einem echten Endgerät mit menschlichem Benutzer in den Aktionen und Reaktionen – zum Beispiel durch Vortäuschen von Klicks, also Nutzerinteraktion – so ähnlich zu machen, dass sich auch die intelligenteste Malware täuschen lässt. Stefan Strobel glaubt nicht, dass das gelingen kann: „Als Malware-Programmierer muss man nur die verschiedenen Security-Produkte auf diesem Feld genau analysieren, dann weiß man doch als Profi, was man tun muss, um sie auszuhebeln.“

Für Rolf Haas, Principal Security Engineer bei McAfee, unterscheiden sich indes die Techniken im Bereich der Erkennung nicht-signaturbasierter Malware gewaltig. So verfüge beispielsweise McAfee nach der Übernahme der Firma Valid Edge Anfang 2013 über einen Hypervisor, der auch von intelligenter Malware nicht so einfach entdeckt werden könne.

Darüber hinaus sei mit der dynamischen Analyse auch eine Simulation bestimmter Standortgegebenheiten möglich, indem ein bestimmtes Land in der Emulation der IP-Umgebung eingegeben wird. Ein Alleinstellungsmerkmal ist laut Haas auch der statische Teil der Malware-Erkennung, Hier habe McAfee eine sehr leistungsfähige Analyse-Technologie: „Unser Dekompilierungswerkzeug analysiert jedes ausführbare Objekt, auch auf Java- oder Maschinensprache-Basis, und beurteilt seine Charateristika.“ Die Dekompilierungs-Technologie spielt mit der signaturbasierten Virenschutz- und Reputationstechnologie sowie der dynamischen Analyse zusammen.

Pluspunkte für die „vorbeugende“ Sandbox

Stefan Strobel bleibt da skeptisch: „Analyse von kompiliertem Code ist eine komplizierte Angelegenheit, bei der selbst Spezialisten viel Zeit benötigen, gerade wenn die Malware in Maschinensprache geschrieben ist. Und eine automatische Analyse wird bei geschickt programmierter Malware immer an ihre Grenzen kommen.“ Strobel hält den oben erwähnten vorbeugenden Sandbox-Ansatz letztlich für sinnvoller. Hier gebe es beispielsweise mit Produkten wie BitBox von Sirrix oder der so genannten Micro-Virtualisierungs-Technologie vSentry von Bromium mittlerweile sehr moderne Ansätze, die aufgrund der Hardware-Fortschritte in der Virtualisierungstechnologie auch vom Nutzerkomfort her gut verwendbar seien.

Diese Ansätze können hier nur summarisch beschrieben werden, ein gedankliches Framework für ihre Einschätzung bietet zum Beispiel das Whitepaper „Technology Overview for Virtualization and Containment Solutions for Advanced Targeted Attacks“ des Gartner-Analysten Neil MacDonald.

Grundsätzlich lässt sich sagen, dass bei diesen Produkten der zu schützende Code teilweise oder vollständig in spezielle (durch Virtualisierung erzeugte) künstliche Umgebungen gebracht wird, die als Falle (Honeypot) für Angreifer fungieren, während der Originalcode sicher weggesperrt ist. „BitBox ist ein voll-virtualisiertes System, das heißt auch der Betriebssystem-Kern ist virtualisiert. Das Original-System ist hermetisch abgeriegelt, das heißt es gibt zum Beispiel keine Libraries, die auf den Betriebssystem-Kern zugreifen“, sagt Sirrix-Vorstand Ammar Alkassar.

Die vorbeugende Sandbox- oder Container-Technologie à la Sirrix oder Bromium bringt sicher ihre eigenen Herausforderungen mit, zum Beispiel bei der Lizenzierung. Gegenüber der nachsorgenden Technologie à la FireEye, Trend Micro oder McAfee ist sie vermutlich aber leichter zu handhaben und schlicht sicherer. Heute ist sie in kommerziellen Umgebungen noch wenig im Einsatz, erläutert Gartner-Analyst Neil MacDonald in seiner Analyse. Er schätzt aber, dass der Einsatz derartiger Systeme im Unternehmensumfeld bis 2016 um rund 20 Prozent zulegen werde.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Analysen & Kommentare, Cirosec, McAfee, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Überblick: Sandbox-Techniken für die Erkennung unbekannter Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *