Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

Transkript

1 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr 1 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

2 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr Unternehmen sehen sich einer wachsenden und immer komplexeren Bedrohungslage gegenüber, und aktuelle Sicherheitsfunktionen können nicht Schritt halten. Neue Bedrohungen überwiegen die bekannten: 70 bis 90 Prozent der Malware-Varianten werden zielgerichtet für ein bestimmtes Unternehmen erstellt1 und mit signaturbasierten Technologien nicht erkannt. Die mit begrenzten Ressourcen ausgestatteten Sicherheitsteams geraten dadurch in Not sie sind ausschließlich damit beschäftigt, neue Eindringungsversuche in die Endgeräte des Unternehmens zu beseitigen. Daher ist ein neuer Ansatz nötig, damit die Teams die Brandherdbeseitigung hinter sich lassen und stattdessen strategischen Schutz bereitstellen können. Dieser Ansatz muss die Möglichkeit bieten, die meisten neuen Zero-Day-Bedrohungen aus dem Internet abzuwehren, bevor diese ihr Ziel erreichen. Neu aufkommende Bedrohungen erfordern einen neuen Schutzansatz Aktuelle Web-Browser-Umgebungen verfügen über leistungsstarke Skriptfunktionen, die durch dynamische Web-Content-Generierung vielseitige, benutzerfreundliche und anpassbare Surferlebnisse ermöglichen. Leider schafft das eine Umgebung, für die Cyber-Kriminelle hervorragend Web-Skripts erstellen können, die scheinbar harmlos sind, aber böswilligen Code zum Infizieren des Endgeräts enthalten. Böswilliger JavaScript-Code kann das Endgerät ausspionieren, die installierten Browser identifizieren und feststellen, welche Programme (z. B. Adobe Reader, Flash Player oder.net Framework) mit welchen Versionen bzw. Patches installiert sind. Auf diese Weise können die Angreifer bestimmen, mit welchen Schritten sie die Kontrolle über das Endgerät erlangen können. Die Absicht von böswilligem JavaScript-Code ob dynamische Veränderungen während der Browser- Ausführung oder schnelle Änderungen auf Server-Seite (per Polymorphismus) bleibt aktuellen Sicherheitstechnologien häufig verborgen. Eine einfache Analyse von JavaScript-Code sowie anderem schädlichen Code auf bekannte Muster kann die böswillige Absicht dieser verschleierten Skripts nicht offenlegen. Daher ist ein anderer Ansatz nötig, um die wahre Absicht aktiver Web Inhalte zu erkennen. Wichtige Funktionen Umfassende Echtzeit-Emulation aktiver Web Inhalte Emulation ausführbarer Microsoft Windows-Dateien Generisches Entpacken verschleierter Web-Inhalte Präventive Verhaltens erkennung von Heap Spraying-Angriffen und Flash-Exploits Präventive Erkennung von PDF- Malware und Scareware (FakeAV) Integration von McAfee Advanced Threat Defense für tiefgehende Malware Analysen 2 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

3 Auch Exploit-Toolkits haben eine neue Entwicklungsstufe erreicht und erschweren daher die Erkennung neuer Bedrohungen. Diese Toolkits können die meisten Sicherheits technologien wie herkömmliche signaturbasierte Techniken und Code-Analysen umgehen. Sicherheitsteams müssen in der Lage sein, das Verhalten von Exploit-Toolkits, Zero-Day-Bedrohungen und hochentwickelter Malware proaktiv zu identifizieren, damit diese ihr eigentliches Ziel nicht erreichen. Zusätzlich zu den Versions-Updates wird die McAfee Gateway Anti-Malware Engine regelmäßig durch die Machine Learning-Systeme von McAfee aktualisiert, wobei die Erkennungslogik des Moduls trainiert wird, um die Klassifizierung zu verbessern. Die Updates werden ohne Unterbrechung der Modulaktivitäten übertragen, um die aktuellsten Daten zur Erkennung neuester Bedrohungen zur Verfügung zu stellen. Echtzeit-Emulation des Verhaltens von Web Inhalten Die McAfee Gateway Anti-Malware Engine ist die branchenweit erste verhaltensbasierte Emulationstechnologie für Web-Inhalte, die die folgenden Aufgaben inline durchführt, bevor der Code vollständig übertragen ist und ein Endgerät identifizieren kann: Erkennung von Zero-Day-Angriffen durch die sichere Emulation von Code, nicht nur durch das Scannen des Skripttexts Emulation der Browser-Umgebungen unter Einhaltung von ECMAScript, W3C DOM sowie weiterer Standards Kategorisierung der Browser-Aktivitäten im simulierten Browser-Speicher, um verdächtiges Verhalten wie Heap Spraying zu erkennen, das typischerweise als Übertragungsmethode für die endgültigen Exploits angewendet wird Kontinuierlicher Austausch von Zero-Day-Erkenntnissen zwischen anderen McAfee-Kunden über McAfee Global Threat Intelligence (McAfee GTI) und Nutzung der von McAfee GTI erfassten Daten zur Erkennung neuer Verhaltensweisen von Bedrohungen Sprachenanalyse Sprachenanalyse Sprachenanalyse Gemeinsamer Bytecode Virtuelle Maschine Virtueller Browser-Speicher Abbildung 1. Browser-Emulation und Verhaltensprofile vereinfachen die Bereitstellung von Schutz vor aktuellen Web-Angriffen. In den folgenden Abschnitten erhalten Sie detaillierte Informationen zu ausgewählten aktuellen Anwendungsszenarien für Unternehmensbedrohungen und zu den Methoden, mit denen McAfee Gateway Anti-Malware Bedrohungen erfolgreich abwehrt. Internet DOM-Emulator DOM-Emulator DOM-Emulator 3 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

4 Anwendungsszenario 1: Emulation ausführbarer Windows-Dateien Wenn Benutzer neue Software-Pakete für ihre Windows-Desktop-Umgebung herunterladen, werden diese Downloads von McAfee Gateway Anti-Malware überprüft. Mithilfe der leistungs starken Intel- Technologie für CPU-Emulationen untersucht McAfee Gateway Anti-Malware die Download-Datei und simuliert den wahrscheinlichsten Ausführungspfad zur Laufzeit lange bevor das Paket den Desktop-PC des Benutzers erreicht. Diese Vorgehensweise bietet Schutz vor Zero- Day-Bedrohungen wie Spyware, Scareware (FakeAV) und Ransomware-Varianten wie CryptoLocker und Locky. Anwendungsszenario 2: Entpacken von verschleierten oder polymorphen Web Bedrohungen Aktuelle Exploit-Toolkits wie das berüchtigte Blackhole verwenden hochentwickelte Verschleierungs techniken, bei denen ein Teil des Skripts verschleiert wird und ausschließlich zur Laufzeit über das DOM (Document Object Model) des Browsers abgerufen werden kann. Dieser Ansatz entwickelt sich gerade zum Quasi- Standard für Exploit-Toolkits. Dies ist ein Beispiel für einen typischen verschleierten Blackhole-Exploit, bei dem der böswillige Schadcode in mehrere <div>-elemente des HTML-Dokuments aufgeteilt ist (siehe Abbildung 3). Das Skript greift auf die <div>-elemente zu und nutzt dabei die Funktion getelementsbytagname im DOM des Browsers. Eine Schleife durchläuft diese <div>-knoten, verknüpft die versteckten Skriptteile und speichert den gesamten Exploit-Code in einer Variablen. Abbildung 2. Der Zeus-Kennwortdieb (auch als Zbot bezeichnet) wird in der McAfee Gateway Anti-Malware-Emulations umgebung ausgeführt und ruft gerade die Windows-Systemfunktion VirtualProtect auf. (Diese Visualisierung basiert auf einem Engineering-Frontend von McAfee Gateway Anti-Malware.) 4 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr Abbildung 3. Die oberste Verschleierungsebene einer Blackhole- Malware-Variante: Böswillige Schaddaten werden verschleiert und über mehrere <div>-elemente verteilt.

5 Da die McAfee Gateway Anti-Malware Engine sowohl die Skriptsprache als auch die Browser-Funktionen zuverlässig emuliert, kann sie solche hochentwickelten Verschleierungstechniken entdecken. Der Emulator entpackt generisch die oberste Verschleierungsebene, um die folgenden böswilligen Blackhole-Code-Schnipsel aufzudecken (siehe Abbildung 4). Anwendungsszenario 3: Zero-Day-Verhaltenserkennung von Heap Spraying-Angriffen, Flash Exploits uvm. Die Emulation untersucht auch den simulierten Browser- Speicher, um verdächtige Arbeitsspeicher manipulationen aufzudecken. Heap Spraying-Buffer Overflows sind eine solche verbreitete generische Technik zur Ausnutzung von Browser-Schwachstellen. Da es für Angreifer schwierig ist eine Schwachstelle auszunutzen, um auf diese Weise ihren Code die Kontrolle übernehmen zu lassen, verbessert Heap Spraying die Chance auf eine erfolgreiche Remote- Code-Ausführung erheblich, da der gesamte Browser- Arbeitsspeicher mit Angriffscode geflutet wird. Abbildung 4. Die zuverlässige Emulation entpackt generisch die Verschleierungsebenen und deckt die eigentlichen Schaddaten auf. Diese Blackhole-Variante überprüft den installierten Flash Player auf eine angreifbare Version und nutzt anschließend eine Remote-Code-Ausführungsschwachstelle in diesem Player-Plug-In aus, um den Maschinencode aus der Funktion getshellcode() auszuführen. Der McAfee Gateway Anti Malware- Emulator simuliert weiterhin diese Ebene der Skriptcode- Ausführung, um zuverlässig und generisch den Remote- Code-Exploit in dieser Variante zu erkennen. Da der Angreifer nicht vorhersagen kann, an welcher Adresse sein Code abgelegt wird, werden so genannte NOP-Slides (No-Operation Slides bzw. NOP-Rutschen) verwendet. Wenn der Heap Code an einer zufälligen Speicheradresse ausgeführt wird, trifft er wahrscheinlich auf eine NOP Anweisung und rutscht abwärts direkt zum Shellcode. Abbildung 5 zeigt einen Speicherbereich vor und nach einer Heap Spraying-Veränderung. Abbildung 5. Heap Spraying-Angriff auf den Browser-Speicher mit NOP-Slides und Shellcode. 5 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

6 Die McAfee Gateway Anti-Malware Engine erkennt dieses Verhalten und findet daher Heap Spraying-Angriffe auch ohne Kenntnis der eigentlichen Angriffsimplementierung oder Schwachstelle, sodass die Benutzer-PCs geschützt werden. Die verhaltensbasierte Exploit-Erkennung hilft dabei, verdächtige Speichermanipulationen oder -nutzungen innerhalb interaktiver Web-Inhalte zu erkennen, beispiels weise bei Flash-Videos. Kurz nachdem im Sommer 2015 die Gruppe Hacking Team selbst gehackt und ihre Zero-Day-Exploits öffentlich wurden ( nahmen die wichtigsten Exploit-Toolkits (z. B. Metasploit, Neutrino oder Angler) die (Flash-)Schwachstellen in ihre Frameworks auf. Ein typisches ausgenutztes Flash-Video enthält dann beispiels weise ActionScript-Code zum Herunterladen von Schaddaten, Dekodieren von x86- Shellcode (zu den Verschleierungs techniken gehört hier RC4-Verschlüsselung) und Auslösen einer Schwachstelle wie CVE Use-After-Free, um den x86- Shellcode auszuführen. Anwendungsszenario 4: Erkennung von PDF- Malware und Scareware (FakeAV oder FakeAlert) Die Funktionen von Adobe Reader stellen IT-Sicherheitsexperten häufig vor Probleme, da sie immer häufiger von böswilligen Akteuren missbraucht werden. Aufgrund der weiten Verbreitung von Adobe Reader sowie seiner zahlreichen aktiven Inhaltsfunktionen ist diese Plattform für Angreifer attraktiv. Zur Abwehr dieser Bedrohung simuliert McAfee Gateway Anti-Malware mithilfe der eigenen Emulationstechnologie die JavaScript-Ausführung von Adobe Reader und analysiert den simulierten Arbeitsspeicher auf Buffer Overflow-Angriffe. Anschließend werden die Verhaltens informationen mit weiteren geometrischen und semantischen Erkenntnissen über das PDF-Dokument verknüpft, um die potenzielle Bedrohungsstufe des Dokuments zuverlässig zu bestimmen. Abbildung 7. Verschleierter Code, der sich in einem PDF Dokument verbirgt. Abbildung 6. Exploit für CVE , der die als GIF-Bild getarnten Schaddaten herunterlädt. 6 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

7 Abbildung 7 zeigt ein böswilliges PDF-Dokument, in dem der Exploit-Code in einem separaten Stream-Objekt neben dem Skript-Entpack-Code verborgen ist. Der JavaScript- Code der PDF-Datei greift auf diese Daten zu und dekodiert sie mithilfe der Funktion String.fromCharCode. Schließlich wird der dekodierte Exploit-Code in einer Variablen namens buf gespeichert, die mithilfe der Adobe Reader-Funktion eval() ausgeführt wird. Einige Exploit-Toolkits (z. B. ElFiesta) erzeugen jedes Mal, wenn der Benutzer über den Web-Link auf das Dokument zugreift, ein neues PDF-Dokument auf dem Web-Server ( Server-seitiger Polymorphismus ). Abbildung 8 zeigt Server-seitigen PHP-Code, der auf dem Web-Server des Toolkits ausgeführt wird und auf Anfrage PDF-Dateien generiert. Da jede PDF-Datei einmalig ist und deshalb auch eine einmalige Signatur besitzt, ist es schwer (wenn nicht unmöglich), sich ausschließlich auf signaturbasierte Erkennung zu verlassen. Diese raffinierte Malware erfordert Erkennungstechnologien, die sowohl generisch als auch präventiv sind. McAfee Gateway Anti-Malware nutzt sowohl generische Entpacktechniken als auch präventive Verhaltensemulation, um aktuelle Web-Bedrohungen abzuwehren. Zur Verbesserung der Genauigkeit ergänzt McAfee die Verhaltensinformationen mit geometrischen Eigenschaften des untersuchten Dokuments. Beispiel: Durch das einfache Zählen verdächtiger Fragmente überall in einem Dokument (eine geometrische Funktion), einmal vor der generischen Entschleierung und einmal danach (Auswirkung der Verhaltensanalyse), wird wie erwartet die verbreitete Nutzung der Verschleierung in böswilligen (rote Punkte in Abbildung 9) im Vergleich zu legitimen Dokumenten (grüne Punkte) deutlich. Abbildung 8. Der PHP-Code des ElFiesta-Toolkits zum Generieren neuer PDF-Dateien auf Anfrage. Abbildung 9. Visuelle Darstellung der Verbreitung von Malware mit verschleierten böswilligen Fragmenten. 7 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

8 FakeAV-Scareware-Bedrohungen (Abbildung 10) werden ebenfalls durch die Kombination von Verhaltens- und geometrischer Analyse erkannt. Da FakeAV-Malware- Familien meist bekannte und vertrauenswürdige Benutzeroberflächen kopieren, sehen ihre Binärdateien häufig legitimer Software ähnlich, was die zuverlässige Erkennung erschwert. Dank der Kombination aus Verhaltens- und geometrischer Analyse kann die McAfee Gateway Anti-Malware Engine dieses Problem überwinden und solche Malware präzise aufspüren sowie blockieren. Abbildung 10. FakeAV und Scareware, die signaturbasierte Erkennungsmethoden vor Probleme stellen, werden noch vor dem Erreichen des Endgerätesystems entdeckt und blockiert. Zusammenfassung McAfee Gateway Anti-Malware Engine ist eine leistungsstarke Inline-Technologie zum Schutz vor aktuellen Bedrohungen, die über HTTP- und HTTPS- Kanäle übertragen werden. Dadurch erhalten Sie bisher unerreichte Zuverlässigkeit bei der Erkennung von Web- Exploits und Zero-Day-Bedrohungen sowie Schutz vor gezielten Angriffen. Diese Technologie ist Bestandteil folgender Lösungen: McAfee Web Protection: Dieses Vorzeige-Produkt ist ein sicheres Web-Gateway, das alle Geräte, Benutzer und Standorte vor raffinierten Bedrohungen aus dem Internet schützt. McAfee Gateway Anti-Malware Engine stammt ursprünglich aus dieser Lösung und bietet vollständigen Schutz vor böswilligen Dateien und Web- Inhalten. McAfee Web Protection vereint die lokale Lösung McAfee Web Gateway mit dem McAfee Web Gateway Cloud Service. McAfee Network Security Platform: Dieses Eindringungsschutzsystem der nächsten Generation bietet nicht nur Signaturabgleich, sondern auch mehrstufige, signaturlose Technologien, die vor völlig neuartigen Bedrohungen schützen. Von McAfee Network Security Platform erkannte Dateien werden von der McAfee Gateway Anti-Malware Engine analysiert. McAfee Advanced Threat Defense: Diese Lösung bietet die integrierte Erkennung hochentwickelter Bedrohungen zum besseren Schutz von der Netzwerkperipherie bis zum Endgerät. McAfee Gateway Anti-Malware Engine kommt noch vor der gründlichen statischen Code- Überprüfung und der dynamischen (Malware-Sandbox-) Analyse zum Einsatz, die den Zero-Day-Schutz vor hochentwickelten Angriffen verbessern, insbesondere vor Angriffen, die Sandbox-Umgehungstechniken nutzen. Weitere Informationen zur Technologie von McAfee Gateway Anti-Malware erhalten Sie unter web-protection.aspx. 1. Verizon-Untersuchungsbericht zu Datenkompromittierungen ( 8 Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr

9 Informationen zu McAfee McAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheitsunternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber- Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle. Ohmstr Unterschleißheim Deutschland McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright 2017 McAfee, LLC. 1763_0916 SEPTEMBER Keine Signatur erforderlich: Die Vorteile der Emulation für die Malware-Abwehr