Weissblick - Fotolia

F

Wie kann man Makroviren abwehren, die Verschleierungs-Taktiken nutzen?

Die Autoren von Makroviren geben sich Mühe, dass ihr Schadcode auf Testsystemen unerkannt bleibt. Die Erkennung verlagert sich dann auf Endpunkte.

Forscher bei SentinelOne Inc. haben dokumentenbasierte Makroviren gefunden, die sich gegebenenfalls durch Untätigkeit verbergen, um der Erkennung in Sandbox-Testumgebungen oder in virtuellen Maschinen zu entgehen. Zudem überprüft die Malware die IP-Adresse des betreffenden Systems und gleicht diese mit einer Blacklist der IP-Adressen von Sicherheitsfirmen ab. Bei Übereinstimmung wird die Malware nicht ausgeführt. Wie können Unternehmen Makroviren begegnen, die diese Art der Verschleierungstaktiken anwenden?

Prinzipiell stehen Sicherheitsforscher vor dem Problem, Software und Malware zu testen und untersuchen, ohne dass produktive Systeme, echte Live-Daten oder Benutzer davon betroffen sind. Wird hierfür ein tatsächlich infiziertes Endanwendersystem genutzt, besteht ein erhöhtes Risiko für reale Daten und Systeme. Ein echtes Endanwendersystem bringt meist zusätzliche Herausforderungen mit sich und verfügt nicht über die notwendigen Werkzeuge, etwa zur Untersuchung von Speicherinhalten oder Debugger.

Dabei ist es notwendig, den Speicherinhalt zu überwachen und zu untersuchen. Zudem muss man den potenziell bösartigen Prozess im Auge behalten, um festzustellen, welche weiteren Aktionen dieser auslösen wird. Nur damit ist es möglich, die Malware zu erkennen, entsprechend zu entfernen und weiteren Schaden abzuwenden. Automatische Analysen sind auf reellen Endanwendersystemen gleichfalls nur schwer möglich. Aus den genannten Gründen setzen Sicherheitsforscher und die Anbieter von Sicherheitslösungen auf Testsysteme.

Wie die Forscher von SentinelOne Inc. gezeigt haben, sind die Malware-Autoren durchaus in der Lage, Testsysteme zu erkennen. Gegebenenfalls zeigt sich die Malware dann gar nicht so bösartig. Und es hat sich herausgestellt, dass sich nur schwer vorhersagen lässt, wie sich die Malware verhält.

Malware checkt die Umgebung

Dafür verwendet die Makro-Malware eine Verschleierungstechnik, die beispielweise beim Öffnen eines Microsoft-Word-Dokumentes überprüft, ob mindestens drei andere Word-Dateien schon mal geöffnet wurden. Dies um festzustellen, ob es sich um ein echtes System oder eine Sandbox-Umgebung beziehungsweise eine virtuelle Maschine handelt. Zudem überprüft die Malware über Informationen der IP-Adresse, ob sie sich auf einer virtuellen Maschine befindet. Wird die eigentliche IP-Adresse mit einer Sicherheitsfirma in Verbindung gebracht, bleibt der Schadcode untätig, um nicht aufzufallen.

Sowohl bei Tabellenkalkulationen als auch bei Textverarbeitung ist der Einsatz von Makros in Unternehmen nun meist unabdingbar. Sei es, um komplexe Berechnungen in Microsoft Excel durchzuführen, oder sich wiederholende Aufgaben zu erledigen. Per Makro lassen sich aber auch weniger gut gemeinte Aktionen durchführen, wie etwa das Herunterladen und Ausführen von Schadcode.

Die aktuellen Abfrageroutinen der Malware zeigen, welche Anstrengungen Malware-Autoren unternehmen, um die Analyse und das Entdecken von Makroviren zu erschweren. Dass die Schadsoftware es den Sicherheitsforschern schwerer macht, diese zu analysieren, heißt nicht, dass diese sich nicht zuverlässig von Endanwendersystemen entfernen ließe.

Hierfür ist eine Sicherheitssoftware auf dem Endpunkt notwendig, die das bösartige Verhalten der Schadsoftware erkennt und entsprechende Änderungen aufzeichnet. Die Malware muss noch auf das Zielsystem gelangen, dort können dann die Werkzeuge der Sicherheitsforscher zum Einsatz kommen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware und Makroviren: Microsoft Windows und Office schützen

System und Anwendungen gegen Attacken schützen

Ransomware mit alternativen Ansätzen begegnen

Wie Sandboxing und Container gegen Malware eingesetzt werden

Artikel wurde zuletzt im März 2017 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close