Sandboxing – Angriff und Verteidigung

Bachelor-Studiengang IT Security

Philip Scheidl, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Hersteller von Anti-Viren-Software beschäftigen seit jeher Malware-Analystinnen und -Analysten in ihren Unternehmen. Deren Job ist es, neue Schadsoftware bis ins Detail zu untersuchen, um schlussendlich eine Signatur zu erstellen. Anhand dieser Signatur ist es der Anti-Viren-Software möglich, die Malware „in der freien Wildbahn“ zu erkennen und so die Kundinnen und Kunden zu schützen.

Seit einiger Zeit jedoch steigt die Anzahl der täglich gefundenen Schadsoftware-Samples in kaum noch handhabbare Höhen. Mittlerweile wird von über 300.000 neuen Malware-Varianten ausgegangen, die innerhalb von 24 Stunden entdeckt werden. Es ist dementsprechend kaum möglich, diese Flut mit manueller Analyse zu bewältigen. Als Reaktion darauf wurden in den letzten Jahren automatisierte Analysesysteme entwickelt: sogenannte Sandboxen. In diesen wird die vermutete Schadsoftware ausgeführt und anhand ihres Verhaltens als bösartig oder gutartig eingestuft. Natürlich ist dieser Trend zur automatisierten Analyse auch den Malwareautorinnen und -autoren nicht entgangen. Diese versuchen nun, ihre Schadprogramme so zu programmieren, dass sie die automatisierte Umgebung erkennen. Bei Erkennung wird dann der schadhafte Teil des Programms nicht ausgeführt, und so einer Analyse zu entgehen.

Im Rahmen dieser Arbeit soll ermittelt werden, welche Arten an Analysesystemen von Malware erkannt werden können und wie man diese Erkennung erschweren oder gar komplett verhindern kann.

Ziel

Das Ziel dieser Arbeit ist es, einen Überblick darüber zu bekommen, wie Malware eine Virtualisierungs- und Sandboxing-Umgebung erkennen kann. Anschließend sollen Gegenmaßnahmen untersucht werden, die diese Erkennung erschweren oder sogar gänzlich verhindern können. Hierzu werden praktische Tests mit der Open-Source-Sandbox Cuckoo durchgeführt. Zwei Samples, die auf Sandboxerkennung spezialisiert sind, werden zum Testen der Konfiguration genutzt.

Ergebnis

Im Zuge der Arbeit wurde eine Übersicht über diverse Erkennungsmechanismen erstellt, die von heutiger Malware genutzt wird. Die potenziellen Gegenmaßnahmen wurden in der Theorie umrissen und anhand der Samples praktisch getestet. Mithilfe eines Optimierungsskripts und einiger manueller Veränderungen an der Sandbox wurden viele Maßnahmen erfolgreich umgangen.

Schlussendlich ergibt sich aus der Arbeit ein klarer Überblick, welche Maßnahmen einfach und schnell umgesetzt werden können und welche noch eine tiefere Analyse und weitere Implementierungsarbeit benötigen.