Effektive Malware-Jagd dank Virtualisierung

In den oben aufgeführten Fällen kann uns die Virtualisierung helfen. Solange wir es nicht mit einer Schadsoftware zu tun haben, die sich absichtlich anders verhält, wenn sie in einer virtualisierten Umgebung (zum Beispiel VMware, Xen, VirtualBox) aktiviert wird, arbeiten wir mittlerweile am liebsten mit sogenannten Software-Computern, die einige Vorteile bieten:

• Ein physikalischer PC kann nun viele verschiedene Starting Images ausführen, um Malware auszuprobieren.

• Mehrere Malware Samples können gleichzeitig analysiert werden, indem mehrere virtuelle PCs zum Einsatz kommen.

• Virtual Disk Images sind als normale Dateien gespeichert und können so sehr einfach gesichert oder wiederhergestellt werden.

Vor allem der letzte Punkt ist extrem hilfreich, um Veränderungen im System festzustellen, da wir den Zustand des Disk Images vor und nach der Malwareattacke vergleichen können. Der Abgleich erfolgt dabei über den Hauptcomputer selbst während der virtuelle PC gestoppt ist. Auf diese Weise verhindern wir, dass die Malware sich auf dem befallenen Rechner mit falschen Ergebnissen "verstecken" kann. Augenzwinkernd sprechen wir hier von Anti-Anti-Virus.

Auf jeden Fall bekommen wir mit diesem Vorgehen letztendlich eine sehr detaillierten Sektor-Level-Snapshot von allen Einzelheiten, die sich im Virtual Disk Image geändert haben. Dazu gehören Daten, die auf Temporary- und Swap-Files, Boot- und Partitionssektoren oder sogar offiziell ungenutzte Bereiche der Festplatte geschrieben wurden. Diesen Trick nutzen einige Rootkits mit großem Erfolg aus. Sie implementieren eine proprietäres Filing System und verstecken es in den leeren Sektoren der Festplatte. Dort können die bösen Buben nun in aller Seelenruhe Programme, Daten und Konfigurationsdateien speichern, die alle nahezu unsichtbar für das Betriebssystem sind. Der Sektor-Level-Report zeigt glücklicherweise auch genau diese Bereiche außerhalb des Betriebssystem-Aktionsradius‘ an und lässt uns verdächtige Aktivitäten aufdecken.