Sicherheit in virtuellen Systemen

Sicherheit in virtuellen Systemen

Artikel erschienen in IT Magazine 2008/13

Viren unterscheiden reale und virtuelle Umgebungen

Für Viren-Analysten gehörten bislang virtuelle Maschinen zu den wichtigsten Werkzeugen. Damit sie sich über mögliche Folgen einer Infektion keine Sorgen machen mussten, wurden sämtliche Viren in virtuellen Umgebungen ausgeführt und untersucht. Der Analyst kann hierdurch die Viren im Labor auf ihr Verhalten hin detailliert studieren. Da es nicht möglich ist, den Virus einfach zu disassemblieren und so seine Bauanleitung zu studieren, ist ein praktischer Test unumgänglich.


Zahlreiche Malware-Programme sind heute aber in der Lage, zwischen realen und virtuellen Umgebungen zu unterscheiden. Merkt ein Virus, dass er sich in einer virtuellen Umgebung befindet, dann stellt er sich komplett tot, um so dem Analysten keinerlei Anhaltspunkte zu geben. Die Programmier der Viren sehen es quasi als einen Wettbewerb, dem Anti-Viren-Fachmann einen Schritt voraus zu sein, und setzen sehr viel daran, diesen auszutricksen.


Es kommt hinzu, dass die Schwelle für ein Virus, eine virtuelle Umgebung zu detektieren, sehr tief ist. Die virtuelle Umgebung lässt sich sehr leicht anhand zahlreicher spezifischer Registry Keys ermitteln. Auch wenn ein cleverer Viren-Analyst diese wohlbekannten Keys aus der Registry löscht, wird ein moderner Virus nicht einfach darauf reinfallen, sondern ein System anhand der Hardwareausstattung, welche in virtuellen Umgebungen mehr oder weniger immer dem gleichen Schema entspricht, identifizieren.


Gezielte Angriffe werden bald Tatsache sein

Es ist eine Tatsache, dass immer mehr Malware diesen Schutzmechanismus beinhaltet, andererseits wird heute in der IT-Welt immer mehr und schneller virtualisiert, da ein hoher Kostendruck vorhanden ist. Man darf daher davon ausgehen, dass bald eine Trendwende einkehrt und sich die Malware dann nicht mehr vor virtuellen Umgebungen tarnen, sondern diese gezielt angreifen wird; ein Umstand der sich positiv auswirkt, da sich die Antiviren-Hersteller etwas einfallen lassen müssen.


Das SANS Internet Storm Center schlug diesbezüglich sogar schon vor, den umgekehrten Weg zu gehen: Anstatt virtuelle Systeme real aussehen zu lassen, sollte man reale Systeme als virtuell maskieren, so dass eventuell zur Ausführung gelangte Malware doch passiv bleibt.


Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER