Sicherheitsanbieter investieren in fortschrittliche Malware-Replikationsmechanismen, um das Verhalten realer Schadsoftware in isolierten Umgebungen zu analysieren. Aber was lernen wir durch die Analyse von Daten einer Malware, ohne dass diese ausgeführt wird oder mit einem Command-and-Control-Server (C&C) kommuniziert?
ESET-Sicherheitsforscher Jakub Souček erklärte auf der ESET Technology Conference 2024 die Vor- und Nachteile von Botnet-Tracking und Malware-Replikation. Als Beispiel diente der Grandoreiro-Banking-Trojaner. Die jährliche Konferenz bietet Einblicke in aktuelle ESET-Forschungsergebnisse und Technologien. Weitere Details zur Beteiligung von ESET an der Grandoreiro-Disruption finden Sie in unserem Blogartikel.
ESET-Tracking-Systeme: Einblicke in Malware ohne Ausführung
Für das sogenannte Malware-Tracking entwickeln Forscher ein spezielles Programm (Parser) für die jeweilige Malware-Familie. Diese Schadsoftware dient lediglich als Eingabe für das Programm. Der Parser nutzt heuristische Ansätze, Code-Muster und Analysen, um Informationen aus einer Malwareprobe zu extrahieren. Dabei läuft die Malware nicht und kommuniziert auch nicht mit einem Command-and-Control-Server. Zusätzlich kann das System C&C-Protokolle emulieren, um weitere Daten direkt von den Servern zu gewinnen.
„Das Botnet-Tracking hat sich bei ESET in den letzten Jahren als äußerst wertvoll erwiesen“, sagte Souček.
ESET-Forscher setzten dieses Verfahren unter anderem bei der Bekämpfung von Trickbot ein. Dieses Botnet infizierte zwischen 2016 und 2020 über eine Million Geräte. Ähnliche Erfolge gab es bei Emotet sowie bei diversen Infostealern und Remote-Access-Trojanern (RATs).
Ziele des ESET-Tracking-Systems
1. Extraktion von C&C-Domains und IP-Adressen: Diese werden automatisch blockiert. Durch die Emulation von Netzwerkverkehr können zudem weitere Daten gesammelt werden.
2. Extraktion von Schadsoftware-Payloads: Eingebettete und heruntergeladene Payloads dienen als Grundlage für automatische Erkennungsmechanismen.
3. Individuelle Datenauswertung: Dazu gehören Konfigurationen für Domain-Generierungs-Algorithmen (DGA), alternative C&C-Server, Mutex-Namen und Lizenz-IDs.
4. Spezifische Informationen zu Banking-Trojanern: Zum Beispiel Listen der angegriffenen Banken.
Vorteile und Nachteile des Botnet-Trackings
Vorteile:
- Vollständige Kontrolle über die Schadsoftwareproben.
- Keine Gefahr einer realen Kompromittierung.
- Anti-Emulations-Techniken sind wirkungslos.
- Hohe Verarbeitungsgeschwindigkeit, abhängig von der Komplexität des Parsers.
Nachteile:
- Starker Schutz der Schadsoftware erschwert die Analyse.
- Häufige Code-Änderungen erfordern hohen Wartungsaufwand.
- Das Setup ist zeitaufwendig.
„Zusammenfassend eignet sich Tracking hervorragend zur Analyse großer, stabiler Botnets, wenn langfristige Daten benötigt werden“, fasste Souček zusammen.
Was ist mit Malware-Replikation?
Die Malware-Replikation nutzt absichtlich infizierte Maschinen, um das Verhalten von Schadsoftware zu beobachten. Dabei wird idealerweise eine Verbindung zu einem C&C-Server hergestellt, um deren Kommunikation zu analysieren. Dies kann zusätzliche Payloads, Plugins oder Zielinformationen, beispielsweise bei Banking-Trojanern, aufdecken.
Vorteile:
- Schnelles und einfaches Setup.
- Wenig Wartung erforderlich.
- Schutzmechanismen wie Virtualisierung oder starke Verschleierung können ignoriert werden.
Nachteile:
- Schadsoftware kann lange auf eine C&C-Verbindung warten, was Ressourcen verschwendet.
- Netzwerkkommunikation ist oft schwer zu entschlüsseln.
- Die Umgehung von Sandbox-Erkennungsmethoden ist komplex und zeitaufwendig.
„Kurz gesagt, die Replikation eignet sich besonders bei unbekannter Schadsoftware, bei der keine Langzeitdaten benötigt werden“, erklärte Souček.
Tracking vs. Replikation: Was ist besser?
Am Beispiel von Grandoreiro wird deutlich, dass Malware-Tracking Vorteile gegenüber der Replikation bietet. Dennoch sind beide Ansätze notwendig, um das komplexe Bedrohungsumfeld abzudecken.
ESET kombiniert diese Ansätze in einer mehrschichtigen Strategie, die dem Prinzip „Prevention First“ folgt. Ziel ist es, Schadsoftware bereits vor einem Angriff zu stoppen. Dazu hat ESET Lösungen entwickelt, die die Angriffsfläche (d. h. mögliche Angriffspunkte) minimieren:
1. Anti-Phishing: Blockiert schädliche Webseiten, die Phishing-Inhalte verbreiten.
2. Reputation & Cache: Überprüft Dateien oder URLs anhand bekannter Datenbanken, bevor eine Analyse erfolgt.
3. ESET DNA Detections: Analysiert Code tiefgreifend, um neue und bekannte Malware zu erkennen.
4. ESET Botnet Protection: Identifiziert und blockiert schädliche Kommunikation.
5. ESET LiveGrid: Analysiert Zero-Day-Bedrohungen in einer Cloud-basierten Umgebung und liefert Ergebnisse global in Minuten.Fazit
Das Malware-Tracking ist ein unverzichtbares Werkzeug für ESET-Forscher. Es ergänzt die Malware-Replikation, die bei unbekannter Schadsoftware hilfreich ist. Beide Ansätze sind essenziell für eine umfassende Sicherheitsstrategie. ESET setzt auf KI, innovative Technologien und menschliche Expertise, um Partnern und Strafverfolgungsbehörden erstklassige Sicherheitslösungen zu bieten.