Viele Anwender kennen dieses Problem: Nach dem Download eines Tools klickt man doppelt auf die EXE-Datei, um das Programm auszuführen. Doch anstatt des Startbildschirms erscheint ein Fenster mit blauem Grund und erklärt, dass der Computer durch Windows geschützt wurde und der Windows Defender Smartscreen den Start der Anwendung verhindert habe.
Zwar lässt sich das Tool dann über "Weitere Informationen" trotzdem starten, wenn man glaubt, dass es sich um einen Fehlalarm handelt. Doch es bleibt die Unsicherheit, ob es nicht vielleicht tatsächlich eine Schadsoftware ist, die man da gerade gestartet hat.
Eine Lösung bieten in diesem Fall Sandboxes, also Sandkästen, im Internet. Sie erzeugen eine virtuelle, nach außen abgeschirmte Umgebung, in die Sie Ihre Dateien hochladen können. Nach dem Start eines Programms oder auch dem Öffnen eines Office-Dokuments können Sie live verfolgen, was passiert. Falls es sich tatsächlich um einen Virus handelt, können Sie zuschauen, wie er das virtuelle System infiziert, darin Änderungen vornimmt und anschließend beispielsweise vorhandene Dokumente verschlüsselt.
Da die Viren-Software aus der Sandbox nicht entkommen kann, kann sie auch keinen Schaden anrichten. Sandboxes nehmen aber auch URLs entgegen und untersuchen die Websites auf verdächtiges Verhalten und mögliche Schadsoftware.
Dateien und Websites analysieren mit der Online-Sandbox Any.run
Die im Internet funktionierende Sandbox Any.run bietet kostenlose Malware-Überprüfungen für Privatpersonen an, als Betriebssystem steht allerdings in der kostenlosen Version nur die 32-Bit-Variante von Windows 7 zur Verfügung. Außerdem verfolgt der Dienst die Aktionen des hochgeladenen Programms oder der Website lediglich für 60 Sekunden, und die Dateien dürfen maximal 16 MByte groß sein.
Rufen Sie die Website https://app.any.run auf. Klicken Sie links oben auf "New task" und klicken Sie im folgenden Fenster auf "Register", um sich zu registrieren und anschließend anzumelden. Nach einem erneuten Klick auf "New task" können Sie eine URL eingeben oder eine Datei hochladen. Achten Sie darauf, dass Sie oben den "Pro mode" aktiviert haben. Dann können Sie einstellen, von wo aus die Datei gestartet werden soll.
Der voreingestellte Temp-Ordner ist in den meisten Fällen eine gute Wahl. Bei einer URL wählen Sie hingegen den gewünschten Browser aus. Den voreingestellten Internet Explorer sollten Sie gegen Google Chrome, Mozilla Firefox oder Opera auswechseln.
Unter "Network" stellen Sie mit einem Häkchen vor "Fake net" ein, ob der Test über ein virtuelles Netzwerk erfolgen soll. Mit der Option "Route via TOR" lassen Sie sämtliche Verbindungen nach außen über das anonyme Tor-Netzwerk laufen. Die weiteren Einstellungen können Sie übernehmen - viele davon sind in der kostenlosen Version ohnehin nicht veränderbar. Klicken Sie dann auf "Run a public task". Beachten Sie, dass Dokumentdateien etwa für Word oder Excel nach dem Hochladen für jedermann einsehbar sind.
Any.run verfolgt nun eine Minute lang die Aktivitäten eines Programms oder Makros. Oben im Hauptfenster sehen Sie die Veränderungen auf dem Windows-Desktop, darunter protokolliert die Software die HTTP-Aufrufe, die Internetverbindungen, die DNS-Abfragen und schließlich die erkannten Bedrohungen, die von dem Tool oder der Website ausgehen. Links können Sie umschalten zwischen Datei-, Netzwerk- und Debug-Aktivitäten.
Auf der rechten Seite sehen Sie die Prozesse, die das Programm oder die Website ausgelöst hat. Interessante Einblicke vermittelt ein Klick auf den Button "IOCs": Die "Indicators of Compromises" fassen die wichtigsten Aktivitäten in einer Liste zusammen. Mit "Malconf" erreichen Sie eine Übersicht eventueller Malware-Aktionen, mit "Restart" können Sie die Überprüfung wiederholen.
Um die hochgeladenen Dateien beziehungsweise die angegebenen Websites in einer anderen Betriebssystemumgebung als Windows 7 32 Bit überprüfen zu können, benötigen Sie einen kostenpflichtigen Account zum Preis ab 109 Euro pro Monat.
Lokale Alternativen zu Online-Sandboxes Die Online-Angebote haben den Nachteil, dass Sie eventuell vertrauliche Daten hochladen und für andere Benutzer einsehbar machen müssen. Um das zu vermeiden, bieten sich Ihnen zwei Alternativen an: Sandboxie und virtuelle Maschinen. Sandboxie Plus ist ein kostenloses Open-Source-Programm, mit dem Sie auf Ihrem Rexhner eine eigene Sandbox einrichten. Dort können Sie beliebige Windows-Anwendungen installieren und überprüfen. Die Sandbox verfügt über ein eigenes Dateisystem und eine eigene Registry, so dass sich Änderungen nicht auf Ihre Windows-Installation auswirken. Noch besser ist die Einrichtung einer virtuellen Maschine. Während Sandboxie lediglich einzelne Anwendungen von der Außenwelt abschirmt, läuft in einer virtuellen Maschine ein kompletter virtueller PC, inklusive eigenem Festplattenspeicher und RAM. Das hat den Vorteil, dass Sie in der virtuellen Maschine nahezu beliebige Betriebssysteme einrichten können. Tipps zu Virtualbox finden Sie hier. |
Kostenlose Überprüfungen mit Hybrid Analysis
Hybrid Analysis ist die wohl bekannteste Online-Sandbox für die Untersuchung von verdächtigen Dateien und Websites. Das Angebot richtet sich an die Open-Source-Community und ist kostenlos. Es basiert auf der kommerziellen Falcon-Sandbox von Crowdstrike, die für Hybrid Analysis leicht abgespeckt wurde.
Die Software bietet einen hohen Funktionsumfang: Sie öffnet Windows- und Office-Dateien in einer Vielzahl von Formaten und bietet als Betriebssysteme die 32- und 64-Bit-Versionen von Windows 7, Windows 10 64 Bit, Ubuntu Linux 16.04 und 20.04 sowie Android an. Außerdem gibt es als Option einen "Quick Scan", der die Dateien zur Untersuchung an Virustotal, an Crowdstrike Falcon Static Analysis, an die Virustotal-Alternative Metadefender und an die Website-Sandbox https://urlscan.io schickt. Wenn es darum geht, nur schnell eine einzelne Datei oder Website zu scannen, sollten Sie dieser Option den Vorzug geben. Denn Hybrid Analysis ist häufig überlastet, eigene Analysen durch die Sandbox dauern in der Regel mehrere Minuten.
Sobald die Analyse abgeschlossen ist, kategorisiert die Software die Datei oder URL als "Malicious" (bösartig), "Suspicious" (verdächtig) oder "Informative" (neutral). Ein Klick auf das Ergebnisfenster liefert anschließend umfassende Detailinformationen zum Verhalten, zum Inhalt, dem Copyright, zu Netzwerkabfragen oder auch zum HTTP-Traffic. Außerdem können Sie Screenshots von den Aktivitäten innerhalb der Sandbox abrufen.
Ebenso wie die anderen Dienste in dieser Übersicht macht auch Hybrid Analysis die Inhalte der hochgeladenen Dateien für andere Benutzer sichtbar. Denken Sie daran, bevor Sie vertrauliche Dokumente für eine Überprüfung hochladen.
Schnelle Datei- und URL-Analysen mit Intezer Analyze
Im Vergleich mit Any.run und Hybrid Analyzer liefert Intezer Analyze deutlich weniger Informationen über die hochgeladene Datei oder die untersuchte Website. Man erfährt weder, welches Betriebssystem in der Sandbox eingesetzt wird, noch gibt es Bilder oder Auflistungen der Aktionen, die ein Programm oder eine Website in der virtuellen Umgebung ausgeführt haben.
Der Dienst arbeitet im Vergleich mit anderen Kandidaten in dieser Übersicht recht schnell, eine Analyse dauert nur etwa eine Minute. Anschließend erfahren Sie, ob die Datei oder Website bösartig oder harmlos ist; Entwickler bekommen zusätzlich umfangreiche Informationen zum Code der Datei. Hochladen lassen sich ausführbare Files genauso wie Office-Dokumente. Während einer zweiwöchigen Testphase ist der Dienst kostenfrei und unbegrenzt nutzbar. Anschließend kostet die Pro-Version ab 200 US-Dollar pro Monat, die Free-Version erlaubt bis zu zehn Scans pro Monat.
Ausführliche Infos über Websites mit den Dienst urlscan.io
Die bereits erwähnte Website-Sandbox urlscan.io bietet keine Analyse von Programmen oder Dateien, sondern hat sich auf die Untersuchung von Websites spezialisiert. Nach Eingabe einer URL können Sie wählen, von welchem Land aus die Analyse gestartet und welcher Browser verwendet werden soll. Nach einigen Sekunden listet der Dienst umfangreiche Daten zu der Site auf und weist auf verdächtige Aktivitäten hin. Das geht meist recht flott. In der kostenlosen Version sind nur öffentliche Scans möglich, bei denen die untersuchte Webadresse für alle Nutzer sichtbar ist.
Anwendungen mit integrierter Sandbox Um die Sicherheit zu erhöhen und die Ausbreitung von Schadsoftware zumindest zu erschweren, haben einige Software-Hersteller ihre Produkte mit eingebauten Sandboxes versehen. Das gilt in erster Linie für die Browser: Sowohl die auf Chromium basierenden Browser wie Google Chrome, Opera und Microsoft Edge als auch Mozilla Firefox nutzen die Sandbox-Technik, um die einzelnen Tabs in voneinander getrennten Prozessen laufen zu lassen. Damit soll ein Überspringen von Malware auf interne HTML-Seiten verhindert werden. Im Task-Manager von Windows können Sie erkennen, dass etwa Chrome teilweise Dutzende von Prozesse startet. Darüber hinaus haben die Browser-Hersteller noch eine Reihe weiterer Sandboxes entwickelt. So arbeitet Chrome seit 2021 mit einer Privacy Sandbox, die bei entsprechender Einstellung einen Abruf und eine Auswertung von Third-Party-Cookies unmöglich macht. Firefox verfügt hingegen über eine Technik namens Rlbox, die einige Nachteile der klassischen Browser-Sandboxes wie den hohen Speicherbedarf der einzelnen Prozesse ausgleicht. Am weitesten geht jedoch Microsoft Edge: Der Browser startet auf Wunsch ein Fenster komplett in einer abgeschotteten Umgebung. Dazu müssen Sie zunächst in der Systemsteuerung unter „Programme und Features –› Windows-Features aktivieren oder deaktivieren“ vor die Option „Microsoft Defender Application Guard“ ein Häkchen setzen, mit „OK“ bestätigen und Windows neu starten. Achtung: Diese Option ist nur in den Pro- und Enterprise-Versionen von Windows 10 und 11 enthalten. Danach finden Sie in Edge rechts oben im Drei-Punkte-Menü den Eintrag „Neues Application Guard-Fenster“. Damit öffnen Sie den Browser in einer Sandbox, aus der nichts entkommen kann. Wenn Sie damit eine mit Malware verseuchte Seite im Internet öffnen, kann die Schadsoftware nicht auf Ihren PC überspringen. Mit dem Schließen des Edge-Fensters löschen Sie auch die Malware. Schließlich enthält auch der Acrobat Reader eine Sandbox, die verhindert, dass schädliche Inhalte von einem PDF auf den Rechner gelangen. Die Sandbox ist bereits in der Voreinstellung aktiv, Sie finden die Funktion unter „Bearbeiten –› Einstellungen –› Sicherheit (erweitert)“. Im geschützten Modus der Sandbox von Acrobat, kann in PDF-Dokumente eingebettete Malware weder Anwendungsdateien ausführen noch in die Systemverzeichnisse von Windows oder in die Registry schreiben. Mit der Option „Dateien mit potenziell unsicherem Ursprung“ schränken Sie bei Files aus unsicheren Quellen zusätzlich die Bedienelemente des Reader ein. Er kann dann zwar PDFs anzeigen, viele weitere Funktionen sind jedoch deaktiviert. Außerdem zeigt er bei verdächtigen Files eine Warnung an. |
(PC-Welt)