{"id":20026,"date":"2019-09-02T11:24:48","date_gmt":"2019-09-02T09:24:48","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20026"},"modified":"2019-11-22T12:01:06","modified_gmt":"2019-11-22T10:01:06","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/kaspersky-sandbox-patent\/20026\/","title":{"rendered":"Eine Falle f\u00fcr Malware"},"content":{"rendered":"

Ich habe den sechsten Film von\u00a0Mission Impossible<\/a><\/em> nicht gesehen und denke auch nicht, dass ich dies in naher Zukunft tun werde. Ich musste mich bereits \u2013 nach einer harten Arbeitswoche und vollkommen \u00fcberm\u00fcdet \u2013 auf einem Langstreckenflug nach Hause tapfer durch den f\u00fcnften Teil k\u00e4mpfen; und das nur, weil eine Szene darin in unserem nagelneuen modernen B\u00fcro in London<\/a> gedreht wurde. Und f\u00fcr mich war dieser Film bereits eine Nummer Mission Impossible<\/em> zu viel. Nein, das ist nichts f\u00fcr mich. Hau, schlag, klatsch, matsch, piff, puff. Uff. Nein, ich bevorzuge tats\u00e4chlich etwas<\/a> anspruchsvollere Filme, die einen zum Nachdenken anregen und einfach interessant sind. Zeit ist schlie\u00dflich ein sehr kostbares Gut.<\/p>\n

Ich lasse hier gerade kein gutes Haar an Tom Cruise & Co., nicht wahr? Aber nicht so schnell! Ich muss ihnen wenigstens zu einer Szene gratulieren, die ich wirklich nicht schlecht fand (d. h., die den Zuschauer zum Nachdenken anregt und gleichzeitig auch wirklich sehr interessant ist!). Und zwar die Szene, in der die Guten den B\u00f6sewicht schnappen m\u00fcssen, damit er seine fiesen Kollegen verpfeift (oder so \u00e4hnlich). Dazu erschaffen sie eine k\u00fcnstliche Umgebung in einem \u201eKrankenhaus\u201c; im Fernsehen laufen hier gerade Nachrichten von \u201eCNN\u201c, die von einem atomaren Armageddon berichten. Nachdem der B\u00f6sewicht zufrieden ist, dass sein apokalyptisches Vorhaben sein Weg in die gro\u00dfe weite Welt geschafft hat, verr\u00e4t er im Deal mit den Vernehmern seine Kollegen (oder war es sein Login-Code?). Ups. Hier ist der Clip<\/a>.<\/p>\n

Warum gef\u00e4llt mir diese Szene so? Da sie tats\u00e4chlich sehr gut eine der Methoden zum Erfassen von \u2026 zuvor unerkannten Cyberbedrohungen zeigt! Nat\u00fcrlich gibt es zahlreiche solcher Methoden, die sich abh\u00e4ngig vom Bereich der Anwendung, Effektivit\u00e4t, Ressourcenverwendung und anderen Parametern unterscheiden (ich schreibe<\/a>\u00a0hier regelm\u00e4\u00dfig \u00fcber sie). Aber eins sticht immer heraus:\u00a0Emulation<\/a>\u00a0(wor\u00fcber ich auch hier bereits\u00a0ausreichend<\/a> berichtet habe).<\/p>\n

Wie im Film MI<\/em> startet ein Emulator das untersuchte Objekt in einer isolierten, k\u00fcnstlichen Umgebung, in der es seine B\u00f6sartigkeit zeigen kann.<\/p>\n

Aber dieser Ansatz hat einen bedeutenden Nachteil: die Umgebung ist k\u00fcnstlich. Der Emulator tut sein Bestes, damit die k\u00fcnstliche Umgebung einer realen Betriebssystemumgebung so \u00e4hnlich wie m\u00f6glich sieht, aber immer intelligentere Malware schafft es dennoch, sie von einer realen Umgebung zu unterscheiden. Dann bemerkt der Emulator, dass die Malware ihn erkennt und gruppiert seine Emulation neu und verbessert diese usw. in einem nicht endenden Kreislauf, der regelm\u00e4\u00dfig Schwachstellen eines gesch\u00fctzten Computers zeigt. Das grundlegende Problem ist, dass kein Emulator es bisher geschafft hat, das Ebenbild eines realen Betriebssystems zu sein.<\/p>\n

Auf der anderen Seite gibt es noch eine andere Option, um die Verhaltensanalyse von verd\u00e4chtigen Objekten anzugehen: auf einem realen<\/em>\u00a0Betriebssystem \u2013 auf einer virtuellen Maschine. Nun, warum nicht? Wenn es dem Emulator nicht gelingt, dann soll es doch eine reale, allerdings virtuelle Maschine probieren! Es w\u00e4re ein ideales \u201eVerh\u00f6r\u201c: ausgef\u00fchrt in einer realen Umgebung und keiner k\u00fcnstlichen, aber ohne reale negative Konsequenzen.<\/p>\n

Wenn sie von diesem Konzept h\u00f6ren, k\u00f6nnten einige vorschnell die Frage stellen, warum darauf bisher keiner gekommen ist. Denn schlie\u00dflich ist Virtualisierung schon seit 1992 ein technischer Standard. Nun, es stellt sich heraus, dass das nicht so einfach ist.<\/p>\n

Zun\u00e4chst einmal ist die Analyse von verd\u00e4chtigen Objekten in einer virtuellen Maschine ein ressourcenintensiver Prozess, der nur f\u00fcr schwere Sicherheitsl\u00f6sungen auf Unternehmensklasse geeignet ist, bei denen das Scannen sehr intensiv sein muss, sodass es absolut keine B\u00f6sartigkeit durch den Schutz schafft. Bedauerlicherweise ist diese Technologie f\u00fcr Heimcomputer (ganz zu schweigen von Smartphones) (noch) nicht geeignet.<\/p>\n

Zweitens gibt es so etwas eigentlich schon. Tats\u00e4chlich verwenden wir bereits diese Technologie intern hier in der\u00a0K<\/em>ompany f\u00fcr interne Untersuchungen. Aber was marktf\u00e4hige Produkte angeht, sind bisher noch nicht so viele erh\u00e4ltlich. Die Konkurrenz hat bereits \u00e4hnlich Produkte ver\u00f6ffentlicht, aber deren Effektivit\u00e4t l\u00e4sst so einiges zu w\u00fcnschen \u00fcbrig. Grunds\u00e4tzlich sind solche Produkte nur auf das Sammeln von Logs und grundlegende Analysen beschr\u00e4nkt.<\/p>\n

Drittens ist das Starten einer Datei auf einer virtuellen Maschine nur der Beginn eines sehr langen und schwierigen Prozesses. Denn schlie\u00dflich ist das Ziel dieser Aufgabe, dass die B\u00f6sartigkeit eines Objekts sich von alleine zeigt und daf\u00fcr braucht es einen intelligenten Hypervisor, Verhaltensprotokollierung und Analyse, konstante Feinabstimmung der Vorlagen von gef\u00e4hrlichen Aktionen, Schutz vor Antiemulationstricks, Ausf\u00fchrungsoptimierung und vieles mehr.<\/p>\n

Ich kann hier ohne falsche Bescheidenheit behaupten, dass wir da ganz weit voraus sind; und das weltweit!<\/p>\n

K\u00fcrzlich wurde uns ein US-Patent gew\u00e4hrt (US10339301<\/a>), das die Erzeugung einer geeigneten Umgebung f\u00fcr eine virtuelle Maschine zum Ausf\u00fchren von tiefgreifender, schneller Analyse von verd\u00e4chtigen Objekten abdeckt. Und so funktionierts:<\/p>\n