Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Beispiele --

 

1. Beispiel: Gefahren durch laufzeitkomprimierte oder verschlüsselte Malware

Um zu demonstrieren, dass es sich bei der Tarnung von Trojanern (oder sonstiger Malware) durch Packer und Crypter keineswegs nur um ein theoretisches Problem handelt, wird nachfolgend ein bekannter und in der Praxis weit verbreiteter Trojaner namens Optix Lite 0.4 vor einem AV Scanner getarnt. Diese Vorgehensweise wird in der Praxis bereits seit Jahren angewandt.

Das erste Foto zeigt, wie komfortabel und einfach ein solcher Crypter zu bedienen ist. Es dauert wirklich nur einige Sekunden, einen vorhandenen Trojaner zu tarnen.

 

 

Das zweite Foto zeigt das Ergebnis. Den unverschlüsselten und den verschlüsselten Trojaner.

 

 

Die nachfolgenden Fotos demonstrieren, dass ein weit verbreiteter AV Scanner beim Scannen der Dateien ("On-Demand-Scanning") nur den unverschlüsselten, nicht aber den gecrypteten Trojaner erkennt.

 

 

 

Es nutzt übrigens in vielen Fällen auch nicht, den sog. permanenten "Wächter", "Monitor" oder "On-Access-Scanner" eines AV/AT Programmes (im Beispiel: Norton AutoProtect) zu aktivieren. Selbst dann wird der verschlüsselte Trojaner nicht erkannt. Nicht beim Ausführen der Datei. Und auch nicht, wenn sich der Trojaner nach dem Ausführen im Arbeitsspeicher des Computers einnistet und dort sein Unwesen treibt. Nachfolgender Screenshot demonstriert dies anhand des Trojaners Bionet 3.18. Der Wächter verhindert nur den Start der ungepackten Datei. Der mit UPX gepackte Trojaner konnte dagegen unbehelligt ausgeführt werden und befindet sich bereits im Speicher ...

 

Merke: Ein gepackter oder verschlüsselter Trojaner wird in der Regel nur von solchen Scannern zuverlässig erkannt, die eine Unpacking Engine oder eine vergleichbar leistungsfähige Technologie besitzen (siehe nachfolgend).




2. Beispiel: Gefahren aufgrund von Designschwächen

Um Zeit zu sparen, durchsuchen AV/AT Scanner häufig nur bestimmte Teile einer Datei. Einige Scanner ermitteln beispielsweise zuerst den sog. Entry Point (d.h., diejenige Stelle innerhalb einer Datei, an welcher der ausführbare Code beginnt) und führen dann den Signaturvergleich innerhalb einer (relativ) bestimmten Distanz vom Entry Point durch. Bei dieser Vorgehensweise handelt es sich um einen schweren Designfehler, da es Angreifern mit Hilfe eines sog. PE Editors in Sekundenschnelle gelingt, den Entry Point einer Datei zu verschieben. Durch ein solches Verschieben des Entry Point wird die Funktion eines Schadprogrammes häufig nicht beeinträchtigt. Der Scanner führt den Signaturvergleich aber nunmehr an der falschen Stelle durch und erkennt das Schadprogramm deshalb nicht mehr.

Nachfolgender Screenshot zeigt, wie einfach es ist, den Entry Point des bekannten Trojaners Bionet 3.18 von 9F20C zu 9F20D zu verschieben:



Der neue Entry Point wird einfach mittels eines PE Editors festgelegt.

Bereits diese geringfüge Manipulation führt dazu, dass ein bekannter Scanner das Schadprogramm (im Gegensatz zur Originalvariante) nicht mehr erkennt:




Merke: Kenne Deinen Scanner und wisse um seine Schwächen. Verlasse Dich nicht nur auf einen einzigen Scanner, auch wenn Dir die Hersteller anderes einreden wollen.







Letztes Update: Januar 2005