F

Umgehung der Sandbox: Wie man getarnte Malware entdeckt

Malware nutzt Algorithmen wie DGA, um sich erfolgreich zu tarnen und Sandboxes zu umgehen. Unser Experte erklärt, wie Sie sich schützen können.

Einigen Malware-Typen sagt man nach, dass sie über Tarn-Mechnanismen verfügen, um eine Sandbox zu umgehen. Dazu gehört auch der kürzlich entdeckte DGA.Changer. Können Sie bitte erklären, was genau getarnte (cloaked) Malware ist und wie die Schadsoftware Sandboxes umgehen kann? Welche anderen Security-Mechanismen sollte mein Unternehmen nutzen, um getarnte Malware zu erkennen?

Malware, die DGA (Domain-Generation Algorithm) nutzt, um die Command&Control-Infrastruktur (C&C) zu identifizieren, hat im letzten Jahr zugenommen. In einem kürzlichen veröffentlichtem Blog-Eintrag von Seculert steht, dass die Malware DGA.Changer lediglich ein Downloader ist, der andere Malware installiert. Diese wird dann benutzt, um das System weiter zu identifizieren. Die einzigartige Funktion von DGA.Changer ist allerdings der Tarn-Mechanismus, um nicht erkannt zu werden und die Malware-Analyse zu verlangsamen. Der Schadcode kann Befehle von seinem C&C-Server erhalten, um den DGA-“Seed“ zu ändern, mit dem er die zufälligen Domänen generiert.

Generiert ein Algorithmus die gleichen Domänen-Namen auf allen Systemen, kann das von einer Sandbox erkannt werden. Als Folge würde das als verdächtiges Muster eingestuft und die Malware in Quarantäne gesteckt. Wenn sie ihren Seed auf Anfrage ändert, wird sie möglicherweise nicht entdeckt und umgeht somit die Sandbox. Die Malware kommuniziert dann plötzlich nicht mehr mit den bekannten Domänen, die als bösartig eingestuft sind.

Unternehmen können Malware entdecken, die DGA verwendet, indem sie die DNS-Anfragen überwachen. Weiterhin hält man am besten Ausschau nach Lookups im Hinblick auf nicht existierende Domänen-Namen oder nach solchen, die sehr ungewöhnlich sind. Zum Beispiel sind hier Domänen gemeint, auf die noch niemals zuvor zugegriffen wurde. Die Malware könnte also von einer netzwerkbasierten Anti-Malware-Appliance erkannt werden. Auch das Überwachen der DNS-Logs nach fehlgeschlagenen Lookups ist eine Möglichkeit. Fragt ein Endpunkt-Gerät eine anormale Anzahl an Domänen in einer sehr kurzen Zeitspanne ab, sollte man diesen ebenfalls untersuchen. Das könnte ein Indiz sein, dass das Endgerät kompromittiert wurde.

Artikel wurde zuletzt im Juli 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close