{"id":19327,"date":"2019-05-29T09:27:50","date_gmt":"2019-05-29T07:27:50","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19327"},"modified":"2019-11-22T12:05:06","modified_gmt":"2019-11-22T10:05:06","slug":"emulator-technology","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/","title":{"rendered":"Unsere neue Emulations-Technologie: Der schlimmste Alptraum f\u00fcr gewiefte Malware"},"content":{"rendered":"

Haben Sie sich jemals gefragt, warum Computerviren \u00fcberhaupt \u201eViren\u201c genannt werden? Tats\u00e4chlich wird das Wort \u201eViren\u201c heutzutage etwas irref\u00fchrend verwendet, um sich auf so gut wie alle \u201eArten eines Schadprogrammes\u201c zu beziehen, oder um jegliche sch\u00e4dliche Aktivit\u00e4t zu beschreiben, die ein Programm auf einem Computer ausf\u00fchrt. Diese Informationen habe ich \u00fcbrigens unserer Enzyklop\u00e4die<\/a> entnommen.<\/p>\n

Genau genommen wird ein Virus jedoch als Programmcode definiert, der sich repliziert und ausbreitet \u2013 also im Grunde genommen wie ein biologischer Virus, beispielsweise ein Grippevirus.<\/p>\n

Das Seltsame an der ganzen Sache ist jedoch, dass der obigen Definition entsprechende Viren als solche bereits vor einigen Jahren in freier Wildbahn verschwunden sind. Heutzutage dreht sich alles um Schadprogramme, deren Fokus nicht mehr auf der Replikation, sondern vielmehr auf sch\u00e4dlichen Funktionen liegt, mit denen Daten von einem Computer gestohlen oder vollst\u00e4ndig gel\u00f6scht werden k\u00f6nnen, wie zum Beispiel ein Trojaner. Doch selbst wenn man heutzutage jemanden darum bittet, \u201eComputersicherheitstechnologien\u201c in Bildern darzustellen, zeigen diese Bilder h\u00e4ufig Dinge wie Wissenschaftler in Laborkitteln<\/span> Schutzanz\u00fcgen<\/a> mit Reagenzgl\u00e4sern in der Hand, die irgendwelche Quarant\u00e4nema\u00dfnahmen ausf\u00fchren \u2013 obwohl diese nur im Umgang mit biologischen Viren ben\u00f6tigt werden.<\/p>\n

Naja, ich denke, Sie haben es bereits verstanden: Computerviren sind ausgestorben. Aber die Analysemethoden, die zu ihrer Entdeckung und Desinfektion<\/em> (\u00fcbrigens eine weitere Entlehnung aus der Mikrobiologie!) verwendet wurden, sind erhalten geblieben, haben sich weiterentwickelt und helfen auch heute noch enorm im Kampf gegen moderne Viren<\/span> Malware. Zu einer solchen \u201eAlte Schule\u201c-Technologie z\u00e4hlt beispielsweise der Emulator.<\/p>\n

Kurz gesagt handelt es sich bei der Emulation um eine Methode zur Erkennung zuvor unbekannter Bedrohungen, bei der eine Datei, die sich verd\u00e4chtig (ungew\u00f6hnlich, atypisch) verh\u00e4lt, in einer virtuellen Umgebung (\u201eemulierte\u201c Umgebung), die einen realen Computer simuliert, ausgef\u00fchrt wird. In dieser Umgebung beobachtet das Antivirus* das Verhalten der Datei; Wenn es dabei gef\u00e4hrliche Aktivit\u00e4ten feststellt, isoliert es die Datei f\u00fcr weitere Untersuchungen.<\/p>\n

K\u00f6nnen Sie die Analogie zur mikrobiologischen Virologie erkennen? Warum sollte man einem Patienten, der m\u00f6glicherweise<\/em> an einer bestimmten Krankheit leidet, ein starkes Gegenmittel mit vielen Nebenwirkungen verabreichen, wenn der Patient eventuell von einer v\u00f6llig anderen Erkrankung betroffen ist? Eine deutlich bessere Alternative ist es, den Virus in vitro zu emulieren, um zu sehen, was wirklich im Gange ist, um dann das entsprechende Medikament verabreichen zu k\u00f6nnen.<\/p>\n

Die gr\u00f6\u00dfte Herausforderung ist die gleiche wie auch in der Mikrobiologie: Es ist unglaublich wichtig, die emulierte Umgebung so real wie m\u00f6glich zu gestalten. Anderenfalls k\u00f6nnten sch\u00e4dliche Dateien in der Lage sein, zu erkennen, dass es sich lediglich um ein Set-up handelt, und sich folglicherweise wie ein frommes Lamm verhalten. Wir f\u00fchren bereits seit einigen Jahren<\/span> Jahrzehnten Emulationen durch und sind der Konkurrenz in dieser Hinsicht wirklich um L\u00e4ngen voraus.<\/p>\n

Der erste Emulator der Welt wurde 1992 von mir h\u00f6chstpers\u00f6nlich entwickelt. Und bereits kurze Zeit sp\u00e4ter schw\u00e4rmten Experten auf der ganzen Welt von der Erkennungsrate unseres AV-Programms (ja \u2013 damals war es tats\u00e4chlich noch ein reines \u201eAntivirus\u201c), das die Konkurrenz in unabh\u00e4ngigen Tests, unter anderem dank des Emulators, weit hinter sich lie\u00df.<\/p>\n

Die Zeit verging und die Bedrohungslandschaft wurde immer komplizierter: Viren machten nach und nach Platz f\u00fcr Netzwerkw\u00fcrmer, Trojaner und andere komplexe Sch\u00e4dlinge. In der Zwischenzeit steigerte sich auch die Vielfalt der Computer\/Mobilger\u00e4te\/IoT-Gadgets und aller anderen digitalen Technologien; ebenso wie die Kompetenz des Emulators. Wir integrierten ihn in unsere KSN<\/a> Sicherheitscloud, brachten ihm neue Programmiersprachen bei, und machten ihn mit neuen Browsern und anderen OS-Objekten bekannt \u2013 und das alles, um noch nie zuvor gesehenen Arten von Malware automatisch auf die Schliche zu kommen. Keine AI BS<\/a>, lediglich viel und vor allem intelligente Arbeit \u2013 also alles, was es braucht, um echte HuMachine<\/a>-Innovationen zu entwickeln :).<\/p>\n

\"Was<\/p>\n

Heutzutage k\u00f6nnen sich nur wenige Mitbewerber mit einer solchen Technologie r\u00fchmen, was nicht verwunderlich ist: Die Emulation ist eine sehr schwierige Aufgabe, die ein langj\u00e4hriges Know-how, eine zeitaufw\u00e4ndige Produktintegration und eine st\u00e4ndige Weiterentwicklung erfordert. Viele Neulinge in der Cybersicherheitsbranche investieren jedoch lieber in Bla-bla-bla-bla-Marketing<\/a>. Kurzfristig kann dieser Ansatz die Gesch\u00e4ftsentwicklung erheblich vorantreiben; Doch Nutzer lassen sich nur eine gewisse Zeit etwas vorgaukeln. Fr\u00fcher oder sp\u00e4ter wird es zu einem geh\u00f6rigen Missgeschick kommen \u2013 und das war\u2019s. Anders ausgedr\u00fcckt: Wenn ein Cybersicherheitsunternehmen \u00fcber einen eigenen Emulator verf\u00fcgt, k\u00f6nnen Sie defintiv davon ausgehen, dass sowohl das Know-how als auch die Reife des Entwicklers beeindruckend sind. Und umgekehrt: Kein Emulator = wenig Know-how und wenig Erfahrung.<\/p>\n

Aber ich schweife vom Thema ab \u2026<\/p>\n

Obwohl unser Emulator kontinuierlich verbessert wurde, haben auch die Cyberschurken auf der anderen Seite der Barrikaden leider keine D\u00e4umchen gedreht. Ganz im Gegenteil: Sie haben ihre Gesch\u00e4fts- und Cyberspionage-Operationen aktiv gesch\u00fctzt, und dazu geh\u00f6rt auch der Versuch, sich gegen unseren Emulator zu sch\u00fctzen.<\/p>\n

Die fortschrittlichsten Bedrohungsakteure verwenden eine Reihe von Anti-Emulator-Tricks, um die \u201eReagenzglas\u201c -Umgebung zu erkennen \u2013 beispielsweise durch das Ausf\u00fchren einer undokumentierten Funktion, die Authentizit\u00e4ts\u00fcberpr\u00fcfung von Anforderungen zum \u00c4ndern von Prozessor-Registern, die Analyse von Fehlercodes, die Suche nach spezifischem Code im Speicher, den Einsatz von \u201elogischen Bomben\u201c, die den Emulator in eine Endlosschleife versetzen, und so weiter. Sobald die Malware etwas Verd\u00e4chtiges vernimmt, stoppt sie jegliche sch\u00e4dliche Funktionen.<\/p>\n

Da wir uns diesen Taktiken aber sehr wohl bewusst sind, bleiben wir Cyberkriminellen weiterhin einen Schritt vorraus, indem wir unseren Emulator st\u00e4ndig optimieren und auch auf andere Art und Weise stetig verbessern (haupts\u00e4chlich durch die Reduzierung der Ressourcenintensit\u00e4t). Um ihn zu beschleunigen, verwenden wir beispielsweise verschiedene Begrenzer, Optimierer und Konfigurationsprofile, die den Emulator unter bestimmten Bedingungen sogar vollst\u00e4ndig deaktivieren k\u00f6nnen, wenn es sich bei der Verz\u00f6gerung um einen BSoD<\/a> handelt.<\/p>\n

In der Zwischenzeit haben uns unsere Patent-Krieger<\/a> neulich gute Nachrichten von der Emulationsfront \u00fcberbracht: Wir haben ein Patent (US10275597<\/a>) f\u00fcr einen Programmcode-Emulator erhalten, der unbekannte Objekte interpretieren kann! Soweit ich wei\u00df, gibt es ein solches Feature in keinem unserer Konkurrenzproduke: Um vor den Anti-Emulator-Tricks von Malware zu sch\u00fctzen, m\u00fcssen Wettbewerber ihren gesamten<\/em> Emulator \u00fcberarbeiten, was selbstverst\u00e4ndlich kein schneller Prozess ist. Wir haben unseren Emulator allerdings darauf geschult, sich aus einer lokalen Datenbank einfach selbst zu aktualisieren! Eine sehr n\u00fctzliche Funktion, und es gibt keinen Grund, Ihnen nicht davon zu berichten :).<\/p>\n

Einige Dateien werden allerdings nicht im Maschinencode<\/em>, sondern direkt im Quellcode<\/em> verteilt. Um sie auf einem Computer ausf\u00fchren zu k\u00f6nnen, ist deshalb ein Interpretierprogramm notwendig (z. B. JavaScript oder VBA), das den Code in Echtzeit in eine maschinenfreundliche Sprache \u00fcbersetzt. Und auch in derartigen Dateien befindet sich h\u00e4ufig Malware.<\/p>\n

Um unbekannte Bedrohungen dieser Art zu erkennen, haben wir vor vielen Jahren einen Programmcode-Emulator entwickelt, der Dateien \u201ein einem Reagenzglas\u201c \u00fcberpr\u00fcft, bevor sie ausgef\u00fchrt werden. Das gesamte Interpretierprogramm zu emulieren ist jedoch zu ressourcenintensiv: Die Verz\u00f6gerung bei der Verarbeitung von Webseiten mit Skripten w\u00fcrde gleichzeitig auch viele frustrierte Internetnutzer bedeuten. Daher erstellen Emulatoren in der Regel eine Kompromissversion, die auch in Hinsicht auf Leistung und Qualit\u00e4t des Schutzes akzeptabel ist. Aber was passiert, wenn der Emulator auf ein unbekanntes Objekt, eine unbekannte Methode oder eine unbekannte Funktion im Code st\u00f6\u00dft, deren Interpretation f\u00fcr eine vollwertige Analyse der Datei unbedingt erforderlich ist?<\/p>\n

Wir haben dieses Problem alternativ gel\u00f6st \u2013 und zwar mithilfe eines intelligenten Interpretierprogramms, das in der Lage ist, schnell zu lernen, wie man solche Objekte emuliert. W\u00e4hrend eines Updates via KSN-Cloud erh\u00e4lt das Produkt Hilfscode in der Sprache des zu analysierenden Objekts (JavaScript, VBA, VB Script, AutoIt \u2026) und kehrt dann mit seinem neuen Wissen zur \u00dcberpr\u00fcfung der Datei zur\u00fcck. In besonders schwierigen F\u00e4llen, wird die Aufgabe automatisch an unsere Analysten weitergeleitet, die den notwendingen Hilfscode entwickeln und dann umgehend zur Datenbank hinzuf\u00fcgen.<\/p>\n

Auf diese Weise steht den Benutzern nicht nur eine leistungsstarke, sondern auch eine extrem schnelle Technologie zur Verf\u00fcgung, die im Handumdrehen auf Cyberbedrohungen reagieren kann \u2013 ohne auf den Re-Release des gesamten Emulators zu warten. Bingo!<\/p>\n

* \u201eAntivirus\u201c ist ein weiterer Archaismus der Computerviren-\u00c4ra. Moderne Virenschutzprogramme sch\u00fctzen nicht nur vor Viren, sondern vor allen Arten von Malware. Sie enthalten dar\u00fcber hinaus viele andere n\u00fctzliche Sicherheitsfunktionen: zum Beispiel einen Passwort Manager<\/a>, ein VPN<\/a>, einen angemessenen Kinderschutz<\/a>, Back-ups<\/a> und vieles mehr. Im Grunde genommen sollte ein gutes \u201eAntivirus\u201c heutzutage eigentlich als \u201eAnti-Dies, Anti-Das, Anti-Alles, das mich, meine Familie, all unsere Ger\u00e4te und all unsere Daten sch\u00fctzt<\/a> \u2013 und dazu mit jeglichem Schnickschnack ausgestattet ist\u201c, hei\u00dfen.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Der Emulator in Produkten von Kaspersky Lab: Deshalb ist er f\u00fcr jedes Antivirenprogramm unbedingt notwendig.<\/p>\n","protected":false},"author":13,"featured_media":19328,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[8,2287],"tags":[1521,3297,2657,286,1520,1419,2178,1652,1544],"class_list":{"0":"post-19327","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"category-technology","9":"tag-ai","10":"tag-emulator","11":"tag-humachine","12":"tag-kaspersky-lab","13":"tag-ki","14":"tag-ksn","15":"tag-patente","16":"tag-products","17":"tag-technologien"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/emulator-technology\/15815\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/emulator-technology\/13342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/emulator-technology\/17725\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/emulator-technology\/15870\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/emulator-technology\/22750\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/emulator-technology\/27070\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/emulator-technology\/10783\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/emulator-technology\/23324\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/emulator-technology\/18402\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/emulator-technology\/22650\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/emulator-technology\/22600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/products\/","name":"Produkte"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19327"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19327\/revisions"}],"predecessor-version":[{"id":20830,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19327\/revisions\/20830"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19328"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}