Malware-Grundlagen: Umgehung des Dateisystems – nur im Speicher und in der Registrierung

Die Erkennung von Malware ist am einfachsten, wenn die Malware auf die Festplatte geschrieben wird oder sich in der Übertragung befindet, da sowohl das Dateisystem als auch der Netzwerkverkehr einfach zu beobachten und die Dateien auf das Vorhandensein von Malware zu überprüfen sind. Mit Ausnahme von Implantaten ist es schwierig, Scans des Netzwerkverkehrs zu vermeiden, das Dateisystem kann jedoch einigermaßen umgangen werden. Um dies zu erreichen, gibt es verschiedene Techniken unterschiedlicher Komplexität.

Zwei dieser Techniken – ausschließlich speicherbasiert und registrierungsbasiert – werden oft als „dateilose“ Malware bezeichnet, was fast genauso eine falsche Bezeichnung wie „serverlos“ ist, aber dennoch ein häufig verwendeter Klassifizierungsbegriff ist, den man kennen sollte. Während „serverlose“ Malware immer noch auf Servern ausgeführt wird, nur nicht auf solchen, die der Benutzer bereitstellen muss, bezieht sich „dateilos“ darauf, dass der Speicherort der Malware selbst nicht Teil des Standarddateisystems ist (oder eine Abstraktionsebene zwischen dem Malware-Artefakt und dem Dateisystem aufweist). Bei „dateiloser“ Malware handelt es sich immer um Dateien in dem Sinne, dass das Malware-Artefakt technisch gesehen eine Datei ist, die ursprüngliche Infektionsmethode mit ziemlicher Sicherheit in Form einer Datei vorliegt und sich die Malware mit Ausnahme von Nur-Speicher-Varianten in irgendeiner Form auf der Festplatte befindet.

Wie ausschließlich speicherbasierte und registrierungsbasierte Malware der Erkennung entgeht

Reine Speicher-Malware wird, wie der Name schon sagt, in den Arbeitsspeicher geladen und nicht auf der Festplatte gespeichert, indem bösartiger Code in einen bereits laufenden Prozess eingeschleust wird. Da sich die Malware nicht aus dem Nichts im Speicher materialisieren kann, muss die Malware in irgendeiner Form als Datei geladen und ausgeführt werden. Dies macht es jedoch für Anti-Malware-Software schwieriger, die endgültige Nutzlast zu erkennen, da das Scannen des Arbeitsspeichers eine gewaltige Aufgabe sein kann, da er sich schnell und ohne Benachrichtigungssystem ändert, während das Aktualisieren von Dateien auf der Festplatte Benachrichtigungen erzeugt, die Anti-Malware-Software nutzen kann.

Der größte Nachteil dieser Umgehungstechnik ist jedoch, dass der Speicher bei einem Systemneustart gelöscht wird und die Malware somit nicht mehr existiert, es sei denn, es gibt ein System, mit dem sie wieder in den Speicher gebracht werden kann, was den Zweck des Versteckens im Speicher zunichte machen kann. Natürlich könnte dies auch ein Vorteil sein, wenn das Ziel der Malware nicht langfristig ist, denn ein Neustart löscht Malware-Artefakte, während das einfache Löschen einer Datei Reste der ursprünglichen Datei zurücklässt (wie im Artikel über Deleter beschrieben).

Die Windows-Registrierung ist im Wesentlichen ein Schlüsselwertspeicher (eine Art Datenbank). Sie speichert normalerweise Informationen über Benutzereinstellungen und Variablen, die vom Betriebssystem und der installierten Software verwendet werden. Technisch gesehen kann jedoch alles, was dem Speicherformat entspricht, in der Registrierung gespeichert werden, einschließlich Malware. Indem sie Malware in der Registrierung statt im Dateisystem speichern, können Angreifer Anti-Malware-Lösungen umgehen, die die Registrierung nicht auf diese Technik überprüfen. Die Registrierung selbst wird zwar immer noch als Datei auf der Festplatte gespeichert, aber es gibt eine zusätzliche Abstraktionsebene, wenn Malware in der Registrierung und nicht direkt im Dateisystem gespeichert wird. Diese Payload kann dann so eingestellt werden, dass sie beim Systemstart gestartet wird.

Verwenden der vom System bereitgestellten Tools zum Verstecken

Um die Erkennung noch weiter zu erschweren, nutzt Malware, die nur im Arbeitsspeicher und in der Registrierung gespeichert ist, in der Regel so weit wie möglich die vom Betriebssystem bereitgestellten Tools – dies wird als „living off the land“ bezeichnet. Dadurch wird die Menge an tatsächlichem Code – und insbesondere an Code, der leicht als bösartig zu erkennen ist – reduziert, der durch Signaturen und statische Analysen entdeckt werden kann. Eine einfache Hintertür erfordert zum Beispiel nur das Öffnen eines Ports, was bei legitimer Software üblich ist und von Betriebssystemen über Netzwerkbibliotheken bereitgestellt wird.

Die ausschließliche Verwendung systemeigener Tools und Funktionen kann die Möglichkeiten etwas einschränken, insbesondere bei Linux, wo verschiedene Distributionen möglicherweise nicht so viele Bibliotheken standardmäßig mitliefern. Windows verfügt jedoch über eine Vielzahl von Bibliotheken, die von Software (und Malware) genutzt werden können, ohne dass Sie sich Gedanken darüber machen müssen, ob eine bestimmte Bibliothek entweder vom Betriebssystem selbst oder als Abhängigkeit von der auf dem System installierten Software installiert wurde oder nicht.

Das Verstecken von Malware im Speicher oder in der Windows-Registrierung kann eine sehr effektive Umgehungstechnik sein. Duqu 2.0 war beispielsweise ein speicherorientierter Wurm und Spyware, der zahlreiche Telekommunikationsunternehmen sowie ein Unternehmen, das Anti-Malware-Software herstellt, infizieren konnte. Durch das Verstecken von Malware „tiefer“ im System können Angreifer einige Anti-Malware-Lösungen leichter umgehen.

Der Arbeitsspeicher und die Windows-Registrierung sind jedoch immer noch Orte, auf die Anti-Malware-Software relativ leicht zugreifen kann, wenn sie dafür programmiert ist (insbesondere die Registrierung). Noch ausgefeiltere Arten der Malware-Umgehung dringen noch tiefer in das System ein, was im zweiten Teil der Dateisystem-Umgehung behandelt wird.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.