thesis - Universität Innsbruck

 Evaluation verschiedener Malware-­‐Analyse-­‐Sandboxen Simon Gredler [email protected] 17/06/2012 Betreuer: Dr. Michael Breu | Inhaltsverzeichnis Inhaltsverzeichnis I. Einleitung .......................................................................................................................................... 4 i. Danksagung ................................................................................................................................... 5 ii. Motivation ................................................................................................................................... 6 iii. Ziel .............................................................................................................................................. 7 II. Begriffserklärung ............................................................................................................................. 8 i. Sandbox ........................................................................................................................................ 8 ii. Virtuelle Maschine ....................................................................................................................... 8 iii. Vor-­‐ und Nachteile einer Sandbox .............................................................................................. 8 iv. Malware ...................................................................................................................................... 9 Einige Typen von Malware ............................................................................................................ 10 Malwareerkennung ....................................................................................................................... 12 III. AV-­‐Comparatives.org ................................................................................................................... 13 IV. Kriterienkatalog ............................................................................................................................ 14 i. Typ .............................................................................................................................................. 14 ii. Lizenz ......................................................................................................................................... 15 iii. Kosten ....................................................................................................................................... 15 iv. Funktionalität ............................................................................................................................ 16 v. Logging ....................................................................................................................................... 16 vi. Management ............................................................................................................................ 17 vii. Einsatzgebiet ............................................................................................................................ 17 V. Samples ......................................................................................................................................... 18 VI. Sandboxen .................................................................................................................................... 19 i. GFI Sandbox ( früher CWSandbox) .............................................................................................. 19 ii. PC Tools -­‐ ThreatExpert ............................................................................................................. 22 iii. ValidEdge .................................................................................................................................. 25 iv. Anubis ....................................................................................................................................... 29 v. Norman Malware Analyzer G2 ................................................................................................... 32 vi. Buster Sandbox Analyzer .......................................................................................................... 36 vii. Zero Wine Tryouts ................................................................................................................... 40 viii. Weitere Sandboxen ................................................................................................................ 42 i. Minibis .................................................................................................................................... 42 ii. Xandora .................................................................................................................................. 43 iii. Cuckoo .................................................................................................................................. 44 2 | Inhaltsverzeichnis iv. Joe Sandbox .......................................................................................................................... 46 VII. Funktionalitäten .......................................................................................................................... 47 VIII. Schlussfolgerung ........................................................................................................................ 54 Payware: ........................................................................................................................................... 54 Freeware: .......................................................................................................................................... 57 Payware vs. Freeware ....................................................................................................................... 60 IX. Literaturverzeichnis ...................................................................................................................... 61 3 | Einleitung I.
Einleitung Die vorliegende Bachelorarbeit befasst sich mit der Evaluierung von Malware-­‐Analyse Sandboxen. Diese Art von Sandboxen werden eingesetzt um eine abgesicherte Umgebung zu schaffen, in der es möglich ist, jegliche Art von Malware auszuführen und zu analysieren, ohne dass dabei Schaden am Host-­‐System angerichtet werden kann, da die Sandbox gegenüber dem restlichen System abgeschirmt ist. In dieser Ausarbeitung werden verschiedene Malware-­‐Analyse Sandboxen getestet und deren Evaluierung nach einem Kriterienkatalog bewertet. 4 i.
| Einleitung Danksagung Ich bedanke mich bei meinem Betreuer Dr. Michael Breu, für seine Hilfe, Motivation und Feedback. Des Weiteren bedanke ich mich bei dem Team von AV-­‐Comparatives, die mich während meiner Arbeit betreut haben. Speziell Andreas Clementi und Peter Stelzhammer, die mich mit hilfreichen Informationen unterstützten und mein Interesse an Malware und deren Analyse weckten. Großer Dank gebührt auch meinem Vater, der mich immer unterstützt hat. 5 ii.
| Einleitung Motivation Aufgrund der rasanten Entwicklung des Internets und der ständig steigenden Zahl der Internetbenutzer kam es in den letzten Jahren zu einem enormen Anstieg von Software, welche mit dem Zweck realisiert wurde Schaden anzurichten. Im Jahre 2007 wurden ca. 15.000 neu Samples pro Tag registriert. Im Jahre 2010 hingegen waren es bereits 60.000 neue Samples pro Tag [SOP10]. Diese rasant ansteigende Zahl verdeutlicht die Notwendigkeit einer Möglichkeit Samples in einer abgesicherten Umgebung analysieren zu können, um ihr Verhalten zu beobachten und entsprechende Gegenmaßnahmen ergreifen zu können. Ausgangspunkt dieser Bachelorarbeit sind verschiedene Sandboxen, welche analysiert und bewertet werden. 6 iii.
| Einleitung Ziel Ziel dieser Arbeit ist eine qualitative und objektive allgemeine – sowie Funktionsanalyse folgender Malware-­‐Analyse-­‐Sandboxen: GFI Sandbox, PC Tools ThreatExpert, ValidEdge, Anubis, Norman Sandbox, Buster Sandbox Analyzer, Joe SandBox, Minibis, Cuckoo und Xandora. Die eben genannten Produkte decken ein breites Spektrum der derzeit am Markt verfügbaren Analyse-­‐Sandboxen ab, und liefern somit eine gute Basis zur Analyse und Bewertung nach einem speziell erstellten Kriterienkatalog. Des Weiteren soll die Frage geklärt werden, ob frei zugängliche Software mit kommerziellen Produkten mithalten oder sogar konkurrieren kann. 7 II.
| Begriffserklärung Begriffserklärung i.
Sandbox Eine Sandbox ist eine Software, welche abgeschirmt auf einem Computersystem installiert wird und unabhängig vom darüber liegenden Betriebssystem Aufgaben ausführt. Zu den Einsatzgebieten von Sandboxen zählen das Testen von Software, die Generierung von Spieleebenen/Welten und die Ausführung von möglichen infizierten Programmen, um deren Auswirkung auf Dateien und das System zu prüfen. Aufgrund der kompletten Abschirmung gegenüber dem Betriebssystem kann ein mögliches infiziertes Programm keinen Schaden außerhalb der Sandbox anrichten. Somit wird es ermöglicht Aktivitäten und Auswirkung ohne Risiko zu beobachten, zu analysieren und auszuwerten. [MAC11] ii.
Virtuelle Maschine Eine virtuelle Maschine ist eine Software, welche ein komplettes Hardware System emuliert. Innerhalb einer virtuellen Maschine ist es möglich ein anderes Betriebssystem auszuführen. [MAC11] iii.
Vor-­‐ und Nachteile einer Sandbox Die Idee, Software innerhalb einer Sandbox auszuführen, ohne dass Schaden nach außen gelangen kann, sieht auf den ersten Blick sehr vielversprechend aus. Jede Sandbox ist jedoch auch selbst ein Computerprogramm, welches Systemdateien benötigt, um überhaupt laufen zu können. Sandboxie (http://www.sandboxie.com) lädt beim Start eine System Bibliothek‚ SbieDll.dll’. Diverse Malware-­‐Samples prüfen das System auf die Existenz dieser Datei. Falls diese vorhanden ist, erkennt die Malware, dass sie innerhalb von Sandboxie ausgeführt wird, und führt keine schädlichen Aktionen aus. Die Existenz der GFI-­‐Sandbox kann auf ähnliche Weise herausgefunden werden. Dazu untersucht die Malware die Windows Registry auf die Produkt-­‐
Identifikationsnummer der GFI Sandbox (7648-­‐644-­‐3177037-­‐23510)[PMA12]. Wird 8 | Begriffserklärung diese gefunden, weiß die Malware, dass sie innerhalb einer virtuellen Umgebung ausgeführt wird und stoppt auch hier jegliche schädliche Aktion. Somit kann nicht immer sichergestellt werden, dass Malware von Analyse-­‐Tools erkannt wird. iv.
Malware Malware kommt aus dem Englischen und ist die Kurzform für malicious Software. Dies ist eine Software, die dem Zweck dient – meist unbemerkte – Funktionen bzw. schädliche Funktionen auf einem Computer auszuführen. Ziel von Malware ist einerseits meist das Ausspähen von Daten und andererseits die Kontrollübernahme des Computers, wobei zweitens oft erstens inkludiert. Im täglichen Gebrauch wird meist der Begriff Virus um eine schädliche Software zu beschreiben verwendet, jedoch ist ein Virus eine spezielle Art von Malware und somit ist die Verwendung des Begriffes Virus heutzutage meist nicht korrekt. [PMA12] Hauptverwendungszwecke von Malware: −
Verwendung des Computers als Zwischenpunkt und Absender für Spam Nachrichten −
Hochladen von meist gestohlenen bzw. urheberrechtlich geschützten Dateien an Dritte −
Erzeugen von Botnetzen um DDoS (Distributed Denial of Service) Attacken ausführen zu können −
Stehlen von Informationen über den Computerbenutzer (Passwörter, Zugangsdaten, etc.) −
Schalten von ungewünschter Werbung direkt auf dem infizierten Rechner −
Abschalten von Firewalls und Antivirensoftware um erweiterten Zugriff zu bekommen −
usw. 9 | Begriffserklärung Einige Typen von Malware In diesem Abschnitt werden die am Häufigsten vorkommenden Typen von Malware beschrieben. [SZ03] [Kas08] [PMA12] Virus Ein Computervirus ist ein Programm, welches Dateien infiziert. Diese infizierten Dateien, werden anschließend weitergeleitet. Somit wird eine Verbreitung des Virus gewährleistet. Trojanisches Pferd Das Trojanische Pferd ist ein Programm, welches als ungefährlich, nützlich und harmlos getarnt ist, jedoch im Hintergrund schädliche Funktionen ausführt. Backdoor Als Backdoor wird ein schädlicher Code in einer Anwendung bezeichnet, welcher sich selbst auf einem System installiert, um dem Angreifer Zugriff zu verschaffen. Ein Backdoor öffnet eine Hintertür, durch die das System zugänglich wird. Spyware Als Spyware wird jene Software bezeichnet, die Daten eines Users ohne dessen Wissen an den Hersteller der Software oder an Dritte versendet. Adware Als Adware wird jener Teile einer Software bezeichnet, welcher unerwünscht Werbung -­‐ meist in Form von Pop-­‐ups -­‐ anzeigt. Sie Adware wird bei der Installation der Software vom Benutzer meistens nicht erkannt. Wurm Als Wurm wird jene Software bezeichnet, die sich selbst replizieret, selbst verbreitet, und sich meist über ein Netzwerk verteilt. Um sich zu verbreiten, ist im Gegensatz zu Viren ist hier meist keine Aktion des Benutzers erforderlich, da sich ein Wurm in der Regel selbst z.B. durch eigens generierte Email-­‐Nachrichten verbreitet. 10 | Begriffserklärung Rootkit Als Rootkit wird jene Software bezeichnet, die sich unbemerkt auf einem System installiert und dort Teile des Betriebssystems modifiziert. Die Ziele eines Rootkits sind zum einen Malware vor Antivirusprogrammen zu verbergen und zum anderen dem Angreifer Zugriff zum infizierten System zu beschaffen. 11 | Begriffserklärung Malwareerkennung Im Allgemeinen gibt es zwei verschiedene Hauptansätze um Malware zu erkennen. Untersuchung der Dateien, um mithilfe einer Datenbank bereits bekannte Malwaremuster zu erkennen (statisch) und die detaillierte Verhaltensuntersuchung einer Datei (dynamisch). Statische Analyse: Hierbei handelt es sich um die Analyse der Datei, ohne dass diese ausgeführt wird. Das Ziel dieser Analyse ist die Erkennung von Mustern, welche mit bereits vorhandenen verglichen und eingeordnet werden kann. Dies kann durch verschiedene Vorgehensweisen bewerkstelligt werden. Falls der Quellcode der Datei zur Verfügung steht, kann dieser auf Funktionen, die Speicher oder Registry Manipulationen durchführen, überprüft werden. Darüber hinaus bieten Analyse Tools die Funktion den Binärcode einer Datei zu analysieren und mit anderen zu vergleichen. Bei der Analyse von Malware ist zu bemerken, dass der Quellcode meist nicht zur Verfügung steht. Dynamische Analyse: Bei diesem Ansatz wird das Verhalten einer Datei zur Laufzeit auf Herz und Nieren geprüft. Versucht eine Datei beispielsweise ein auszuführendes Programm zu ändern, wird der Benutzer sofort alarmiert und um weitere Aktionen gefragt. Diese können das Löschen oder das Verschieben der Datei in Quarantäne sein. Die Dynamische Analyse setzt eine gesicherte Umgebung voraus, innerhalb der die Datei ausgeführt werden kann. Die meisten kommerziellen Analyse Tools unterstützen sowohl den statischen als auch den dynamischen Ansatz. 12 III.
| AV-­‐Comparatives AV-­‐Comparatives.org Eines der weltweit renommiertesten Antivirus Testcenter ist AV-­‐Comparatives, in Innsbruck -­‐ Österreich. Es handelt sich um eine gemeinnützige Organisation, die Antiviren Software testet und die draus resultierenden Resultate auf deren Homepage kostenlos zur Verfügung stellt und diese in Fachzeitschriften veröffentlicht. Die Produktevaluierung umfasst ein weites Spektrum an Tests, wie zum Beispiel Malware-­‐Erkennungstests, Heuristik Tests, Whole Product Dynamic Protection Test, Fehlalarm-­‐Tests, Performance Tests, Anti-­‐Phishing Tests und viele weitere. [AVC01] Durch die vielen unterschiedlichen Tests ist es möglich, die Qualität der einzelnen Produkte qualitativ und subjektiv auf die Einhaltung der Produktbeschreibung zu prüfen. Solche Tests sind nicht vom allgemeinen Computer Nutzer durchführbar, da zum einen die notwendige Ressourcen und zum anderen das notwendige Expertenwissen fehlt. Ich wurde bei meiner Arbeit von AV-­‐Comparatives unterstützt. Mir wurden alle notwendigen technischen Gerätschaften zur Verfügung gestellt. Zusätzlich erhielt ich Zugang zu diversen Malware Analyse Software. 13 IV.
| Kriterienkatalog Kriterienkatalog Der Kriterienkatalog spezifiziert die unterschiedlichen Analyse und Bewertungskriterien und dient als Grundlage der Untersuchung. Dieser bietet folgende Basispunkte und wird von den verschiedenen Produkten teilweise spezialisiert: i.
Typ Es gibt verschiedene Arten von Produkttypen, die dem Konsumenten zur Verfügung stehen. Appliance: Bei dieser Variante kann der Benutzer ein eigenständiges System erwerben, auf dem die vom Hersteller entwickelte Software installiert ist. Auf diesem System können alle gewollten Operationen und Aufgaben zur Beobachtung und Analyse von Software ausgeführt werden. Onlinelösung: Bei dieser Variante wird die zu analysierende Datei über eine Webseite hochgeladen und an den Hersteller weitergeleitet. In einer Sandbox erfolgt anschließend die Prüfung des übermittelten Samples. Nach Abschluss der Analyse erhält der Benutzer das Ergebnis meist via Email oder in Form einer Browserdarstellung. Diese Art der Überprüfung von einzelnen Samples ist in den meisten Fällen kostenlos, es kann jedoch unter Umständen relativ lange dauern, bis die Ergebnisse via E-­‐Mail eintreffen. Softwarelösung: Hierbei wird die Software auf einem bereits vorhandenen, nicht vom Hersteller konfigurierten Gerät installiert und ausgeführt. Die zu analysierenden Dateien werden innerhalb der Software meist in einer virtuellen Maschine (VM) ausgeführt und untersucht. 14 ii.
| Kriterienkatalog Lizenz Lizenzen gliedern Produkte in Share-­‐ und Freeware Produkte. Berücksichtigt werden außerdem, wie oft eventuell benötigte Lizenzen erneuert werden müssen. Kommerziell: Der Kunde muss eine Lizenz oder ein komplettes System erwerben, um Daten analysieren zu können. Die Kosten dafür sind sehr unterschiedlich und können mehrere € 10.000 in Anspruch nehmen. Freeware: Bei dieser Variante steht die komplette Funktionalität der Software kostenlos und uneingeschränkt zur Verfügung. Eventuell wird eine Registrierung vorausgesetzt um die nötige Software herunterzuladen oder um auf die Website und den Download zugreifen zu können. iii.
Kosten Bei kommerziellen Produkten (Payware) werden alle anfälligen Kosten aufgelistet. Diese beinhalten unter anderem die (einmalige) Anschaffung, Servicegebühren und etwaige Folgekosten. 15 iv.
| Kriterienkatalog Funktionalität Auf die Untersuchung der Funktionalität wird in dieser Arbeit das Hauptaugenmerk gelegt, denn dieser Punkt liefert eine detaillierte Aufschlüsselung über Funktionen und Operationen, die eine Analyse-­‐Software unterstützt. Es wird angenommen, dass sich Funktionalitäten von Free-­‐ und Payware Produkten teilweise enorm unterscheiden werden. Wichtige und grundlegende Funktionalitäten für Malware-­‐Analyse Software sind: −
Unterstützung von gängigen Dateiformaten −
Netzwerkaktivitäten überwachen −
Dateien, Prozesse, Registry überwachen Hierbei handelt es sich nur um einen kleinen Teil der möglichen Funktionen einer Analysesoftware. Im Verlauf dieser Arbeit werden wir für jedes Produkt unterschiedliche Funktionalitäten feststellen. Eine vollständige Auflistung aller Funktionalitäten der einzelnen Sandboxen befindet sich im Punkt Ergebnisse. v.
Logging Ein weiterer sehr wichtiger Punkt ist das Logging. Logging liefert die Auflistung und Auswertung der Resultate nach einer erfolgreichen Analyse. Hier spielt es eine wichtige Rolle, dass die zu untersuchenden Dateien richtig erkannt und eingeordnet, sowie ihre Aktivitäten benutzerfreundlich dargestellt werden. Logging beinhalten in den meisten Fällen folgende Punkte. −
generelle Information über die analysierte Software o
Datum, Zeit und Dauer der Analyse o
Art der Software (*.exe, *.docx, *.pdf, etc.) o
Hash Code der Datei Daraus resultiert ein genereller Überblick über die Datei. −
detaillierte Auflistung der Aktivitäten beim Ausführen der Software o
Werden Dateien gelöscht, geändert oder verschoben? 16 o
| Kriterienkatalog Werden Windows Registry Einträge gelöscht, erstellt oder manipuliert? o
Werden neue Prozesse gestartet? o
Auflistung der Speicheraktivitäten o
Netzwerkaktivitäten Den soeben beschriebenen Idealen bzw. vollen Report liefern meist nur kommerzielle Produkte. Freeware Produkte stellen meist eine Auswertung mit deutlich weniger Details zur Verfügung. Solch eine Auswertung beinhaltet meist Informationen darüber, dass Aktivitäten vorhanden sind. Diese liefern meist keine spezifischen Informationen, was genau geschieht. vi.
Management Das Management beinhaltet Punkte und Aspekte, welche die Bedienung und Handhabung für den Benutzer wiederspiegeln. Berücksichtigt werden unter anderem: −
Struktur und Anordnung der Bedienelemente (Benutzeroberfläche) −
Aufwand der Bedienung (Starten der Analyse) −
Lesbarkeit und Verständlichkeit der Resultate −
Administrative Tätigkeiten (Wartung, Updates, etc.) Auch hier handelt es sich nur um eine generelle Differenzierung, welche dann für jedes Produkt speziell untersucht und gegebenenfalls erweitert werden. vii.
Einsatzgebiet Das Einsatzgebiet liefert Details über Zielgruppen der einzelnen Produkte. Differenziert wird hier in private und gewerbliche Anwender. Eine Kombination aus beiden ist möglich. Der teilweise enorme Kostenaufwand spielt jedoch meiste eine große Rolle. 17 V.
| Samples Samples In diesem Abschnitt werden alle die von mir verwendeten Samples aufgelistet und deren Verhalten kurz beschrieben. a. 3f9bded6bd140cdfffb6ce246690eb71.EXE Hierbei handelt es sich um einen Wurm, der den Abgesicherten Modus eines Windows Betriebssystems deaktiviert und mit verschiedenen Servern kommuniziert und Dateien austauscht. b. 6e4ecc96a88e36c9ec12d4b500aef331.EXE Hinter dieser Datei versteckt sich ein Trojaner, der einen Windows-­‐Registry Eintrag erstellt, damit er automatisch beim Einschalten des Systems gestartet wird. 18 VI.
i.
| Sandboxen Sandboxen GFI Sandbox ( früher CWSandbox) GFI Sandbox – früher CWSandbox – ist ein Malware-­‐Analyse-­‐Tool der Firma GFI (früher Sunbelt). GFI bietet zusätzlich zu einer Hardwarelösung eine kostenlose Onlineanalyse aller gängigen Dateitypen an. Die GFI-­‐Sandbox wird im Allgemeinen von Finanz-­‐, Regierungs-­‐ und Militärpartnern genutzt. Aus Kostengründen ist eine Verbreitung bei Klein-­‐ bzw. Mittelunternehmen meist nicht möglich. Typ: Die GFI-­‐Sandbox verfügt über eine Appliance-­‐Lösung, eine Virtual Maschine und eine Onlinelösung. Lizenz: Hier handelt es sich um ein kommerzielles Produkt, kombiniert mit einem kostenlosen Onlineanalyseservice Kosten: Die Lizenzgebühr startet für die Basisversion bei ca. € 15.000 pro Jahr. Funktionalität: Die GFI-­‐Sandbox unterstützt alle notwendigen Funktionen für eine vollständige Analyse. Logging Die GFI Sandbox verfügt über die Funktion einzelne Dokumente in allen gängigen und ausführbaren Formaten online hochzuladen und zu analysieren. Dieser Service steht allen Nutzern kostenlos zur Verfügung und ist unter folgender Adresse erreichbar http://www.threattrack.com. (Stand Mai 2012) Die Appliance Version bietet die Möglichkeit bis zu 500 Samples via FTP Upload zu analysieren. 19 | Sandboxen Das Ergebnis wird bei der Onlinelösung in relativ kurzer Zeit via Email übermittelt. Bei der Appliance Version steht das Ergebnis sofort nach abschließen der Analyse zur Verfügung. Getestet habe ich sowohl die Online als auch die Appliance Version mit dem Sample 3f9bded6bd140cdfffb6ce246690eb71.EXE und erhielt folgendes Ergebnis: Das Ergebnis der Analyse ist ein 22 seitiger Bericht, welcher nur in PDF Format vorliegt, beginnend mit einer Zusammenfassung der Analyse. Hierbei erhält der Benutzer einen kurzen Überblick über diese, beispielsweise allgemeine Dateiinformationen und eine Grafik, die das Verhalten des Samples sehr anschaulich repräsentiert. Abbildung 5.1: Verhaltensanalyse der GFI – Sandbox Anschließend werden alle Windows Registry Zugriffe der einzelnen Prozesse aufgelistet. Bei dem analysierten Sample erstreckt sich die Zugriffsliste über 14 Seiten. Die GFI Sandbox unterteilt die Zugriffe in erstellte, gelöschte und geänderte Keys. Anknüpfend werden alle Netzwerkaktivitäten beschrieben, welche bei diesem Sample leider nicht stattgefunden haben. Bei Netzwerkaktivitäten wird in allgemeine Netzwerkaktivitäten (allgemeine Auflistung aller Prozesse, die eine Netzwerkaktivität verursachen), Netzwerkverkehr (Angabe der Remote und Local IP – alle Kommunikationspartner) und DNS-­‐Anfragen (Auflistung der Prozesse, die eine DNS Anfrage starten) unterschieden. 20 | Sandboxen Der GFI Bericht endet mit einer umfangreichen Auflistung der Aliase des untersuchten Samples von verschiedenen Antiviruscannern. Abbildung 5.2: Ausschnitt der verschiedenen AV-­‐Scannern und deren Resultate Fazit: Die GFI-­‐Sandbox lieferte ein korrektes Ergebnis mit allen wichtigen Verhaltensangaben. Der Bericht beinhaltete jedoch keine allgemeine Einschätzung über die Gefahrenstufe bzw. Beschreibung des Verhaltens. Somit kann es für Laien zu einer Fehl – bzw. Falschinterprätation der Analyse kommen. Anzumerken ist noch, dass ich teilweise Wartezeiten bis zu 48 Stunden in Kauf nehmen musste, bis ich ein Ergebnis via Mail erhalten habe. 21 ii.
| Sandboxen PC Tools -­‐ ThreatExpert ThreatExpert ist ein Onlineanalysetool, und wurde von PC Tools entwickelt. Zusätzlich bietet der Hersteller verschiedene Softwarelösungen, die den Bereich Malware -­‐ und Speicheranalyse abdecken. Das Online Analyse Tool steht den Benutzern kostenlos und ohne Registrierung zur Verfügung. Typ: ThreatExpert ist eine ausschließliches Onlineanalysetool, welches unter http://www.threatexpert.com zu erreichen ist. Auf dieser Onlineplattform können die zu untersuchenden Dateien einfach und unkompliziert hochgeladen werden. Lizenz: Hierbei handelt es sich um ein Kostenloses Web – Analysetool Kosten: Es fallen keine Kosten an. Funktionalität: ThreatExpert unterstützt alle wichtigen Funktionalitäten, die für eine vollständige Analyse erforderlich sind. Logging Auf ThreatExpert habe ich das Sample 3f9bded6bd140cdfffb6ce246690eb71.EXE übermittelt. Unmittelbar nach Beendigung des Upload Vorganges erhielt ich die Antwort, dass die übermittelte Datei nicht erkannt werden konnte. Fünf weitere Versuche lieferten dasselbe Ergebnis. Anschließend habe ich alle in Punkt 4 beschriebenen Samples hochgeladen. Das Ergebnis war mehr als überraschend und frustrierend zugleich – kein einziges Sample konnte erkannt und analysiert werden. Nach zwei tägiger Wartezeit, um ein Fehlverhalten des Systems ausschließen zu können, lud ich das Sample erneut hoch und erhielt nach sehr kurzer Zeit folgendes Ergebnis in MHTML Format. 22 | Sandboxen Abbildung 5.3: Allgemeine Informationen des übermittelten Samples Abbildung 5.4: Mögliche Gefahren, die vom Sample ausgehen Hier muss positiv angemerkt werden, dass die Beschreibung der möglichen Gefahren für den Laien sehr gut verständlich ist, und sich der Benutzer somit ein Bild von diesen machen kann. 23 | Sandboxen Einsatzgebiet: ThreatExpert eignet sich nicht für die Analyse von vielen Samples in kurzer Zeit, da auf Grund des Typs der Onlinelösung jedes Sample einzeln hochgeladen werden muss. Fazit: ThreatExpert liefert ein umfangreiches und korrektes Ergebnis der Analyse. Der Aufbau derselben ist gut strukturiert und für den Laien verständlich. Positiv anzumerken ist, dass eine weltweite Datenbank der letzten 200 übermittelten Samples und eine geographische Auflistung nach Ursprungsland kostenlos zur Verfügung stehen. 24 iii.
| Sandboxen ValidEdge ValidEdge – Malware Intelligence System ist ein “standalone” System, welches den dauerhaften Betrieb, Schnelligkeit und eine komplette Simulation der Netzwerkaktionen verspricht. Durch seine Mehr-­‐Kern-­‐Technologie garantiert ValidEdge die Analyse eines Samples innerhalb von wenigen Sekunden, somit sollen theoretisch mehrere tausend Samples täglich analysiert werden können. Typ: Hier steht eine ausschließliche Softwarelösung zur Verfügung. Lizenz: Die ValidEdge ist ein ausschließliches Payware-­‐Produkt. Kosten: Im ersten Jahr betragen die Kosten ca. € 45.000 und in den darauffolgenden Jahren ca. € 12.000. Somit ist eine Nutzung für Privatpersonen, Klein-­‐ und Mittelbetriebe und meist auch Bildungs-­‐ und Forschungseinrichtungen nicht möglich. Funktionalität: Bei diesem Produkt handelt es sich um eine sehr ausgereifte und weit entwickelte Analyse Anwendung. ValidEdge unterstützt alle wichtigen Verhaltensanalysen und ermöglicht es ca. 10.000 Samples pro Tag mit einem System zu analysieren. 25 | Sandboxen Logging: Die Resultate der Analyse liegen in HTML, TXT, PDF und XML Format vor, sind sehr anschaulich und übersichtlich strukturiert. Das Ergebnis ist in folgende Punkte gegliedert: −
−
allgemeine Information o
Dateiname o
MD5 und SHA-­‐1 Hash o
Dateigröße Analyseumgebung o
Informationen über das Betriebssystem und die vorhandene Office Version o
−
Browser-­‐ und PDF Reader Version allgemeine Verhaltensanalyse o
farbliche Repräsentation des Sicherheitsrisikos o
kurze Beschreibung des Verhaltens Abbildung 5.5: Verhaltensanalyse der ValidEdge Sandbox 26 | Sandboxen −
detaillierte Verhaltensanalyse o
Laufzeit – DLLS o
Dateizugriffe o
Registryzugriffe o
Netzwerkaktivitäten o
Programmaktivitäten Zuzüglich wird automatisch der Assemblercode des zu analysierenden Samples generiert. Dies ermöglicht anschließend eine Untersuchung auf Hardwareebene. Zusätzlich stehen User API Log, System API Log und Windows PE32 Informationen zur Verfügung. Anschließend werden alle DNS-­‐Anfragen und alle anderen Netzwerkaktivitäten aufgelistet. Als Download stehen gelöschte Dateien, gelöschte Speicherdateien, eine PCAP Datei als ZIP Datei und eine Grafik, die alle miteinander verbundenen Speicherzugriffe darstellt, zur Verfügung. Abbildung 5.6: Ausschnitt von Speicherzugriffen 27 | Sandboxen Fazit: ValidEdge bietet eine umfangreiche Analyse und Auswertung, in der alle wichtigen Punkte, um eine qualitative Bewertung zu erstellen, enthalten sind. Mit dieser Sandbox können laut Hersteller bis zu 10.000 Samples pro Tag und Maschine analysiert werden. Diese hochwertige Art der Analyse hat jedoch seinen Preis, der nur von professionellen Firmen auf diesem Gebiet bezahlt werden kann. Das Ziel von ValidEdge ist es auch nicht Privatkunden zu anzusprechen. 28 iv.
| Sandboxen Anubis Die Anubis Sandbox ist eine ausschließliche Online-­‐Analyse-­‐Plattform (http://anubis.iseclab.org), welche für den Benutzer kostenlos zur Verfügung steht. Anubis wurde mit dem Ziel entwickelt, das Verhalten von Windows-­‐PE Anwendungen speziell Malware zu analysieren. Typ: Hier steht eine Onlinelösung zur Verfügung. Lizenz: Die Anubis Sandbox ist ein Freewareprodukt. Kosten: Es fallen keine Kosten an. Funktionalität: Die Anubis Sandbox unterstützt alle wichtigen Funktionen, um eine komplette Analyse zu erhalten. Logging: Ein Report eines Samples von Anubis beinhaltet alle nötigen Informationen über dieses. Beispielsweise: Windows Registry Eintragsänderungen, etwaige Interaktionen mit dem Betriebssystem oder anderen Prozessen sowie eine genaue Auflistung aller Netzwerkaktivitäten. Des Weiteren beinhaltet der Report alle Netzwerkaktivitäten in Form einer PCAP Datei, welche mittels Wireshark analysiert werden kann. Auch bei Anubis habe ich das Sample 3f9bded6bd140cdfffb6ce246690eb71.EXE übermittelt und erhielt folgendes Ergebnis. Hierbei handelt es sich nur um einen Ausschnitt der Analyse. 29 | Sandboxen Abbildung 5.7: Allgemeine Informationen der übermittelten Datei Abbildung 5.8: Windows Registry Aktivitäten Anzeige Abbildung 5.9: Fazit des Virus Scans von Ikarus Management: Zum einen zeichnet sich Anubis durch seine ausgesprochen einfache Handhabung aus. Der Upload Bereich für Samples befindet sich auf der Startseite der Homepage und kann in wenigen Schritten ohne Angabe von persönlichen Daten ausgeführt werden. Zum anderen brilliert Anubis durch ein ausgesprochen schnelles Auswerten der Samples. Verglichen mit den meisten anderen Onlineanalysetools wird das Ergebnis nicht an die vom Benutzer angegebene Email Adresse geschickt (was bei Anubis ohnehin nicht notwendig ist), was durchaus zu Verzögerungen führen kann. Die 30 | Sandboxen Ergebnisse der Analyse liegen innerhalb von wenigen Minuten online vor und können in verschiedenen Formaten heruntergeladen oder im Browser betrachtet werden. Einsatzgebiet: Wie die meisten Onlineanalysetools kann auch Anubis nicht zum Analysieren von vielen Samples in kurzer Zeit verwendet werden. Sie eignet sich jedoch ausgezeichnet zum Analysieren einzelner Files. Die hauptsächliche Verwendung findet durch Privatpersonen und Bildungseinrichtungen statt. Fazit: Das Anubis Analysetool liefert eine umfangreiche und korrekte Verhaltensanalyse, die einerseits leicht verständlich ist und andererseits alle notwendigen Details beinhaltet. Diese Sandbox ist nur für Benutzer geeignet, die wenige Samples zu analysieren beabsichtigen, da es, wie bei allen anderen Online Analysetools keine Funktion eines Mehrfachuploads gibt. 31 v.
| Sandboxen Norman Malware Analyzer G2 Bei dieser Sandbox handelt sich um ein Produkt der Norman ASA (http://www.norman.com), welche zahlreiche Programme auf dem Bereich der Computersicherheit für private und geschäftliche Anwender anbietet. In dieser Arbeit beschäftige ich mit ausschließlich mit dem „Norman Malware Analyzer G2“. Typ: Hier steht eine Software-­‐ und Onlinelösung zur Verfügung. Lizenz: Bei diesem Produkt stehen zwei Versionen zur Verfügung: −
Payware – reine Softwarelösung −
Freeware – ausschließliche Onlinelösung Kosten: Die anfallenenden Einstiegskosten starten bei ca. 35.000 € pro Jahr. Funktionalität: Die Norman Sandbox unterstützt alle wichtigen Funktionen, um eine aussagekräftige Analyse zu gewährleisten. Management: Die Benutzeroberfläche der Norman Malware Analyzer G2 ist einfach und selbsterklärend. Die Zentralelemente sind der Upload des Samples bzw. die Angabe in welchem Ordner nach Samples gesucht werden soll. Bei der Online Analyse muss der Benutzer nach erfolgreicher Eingabe seiner Email Adresse das zu analysierende Sample hochladen. Nach kurzer Wartezeit erhält dieser den Bericht via Email. 32 | Sandboxen Logging: Resultat der Payware Analyse: Die Resultate liegen in einem eigenen Ordner, geordnet und in den verschiedenen Ausgabeformaten vor und beinhalten alle wichtigen Analyseergebnisse wie Netzwerkaktivitäten, Dateiänderungen und Windows Registry Änderungen. Resultat der Onlineanalyse: Das Ergebnis der Onlineanalyse liegt ausschließlich in reiner Textform vor und bietet Aufschluss über die wichtigsten Informationen der analysierten Datei, wie in der folgenden Abbildung zu erkennen ist. 1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
3f9bded6bd140cdfffb6ce246690eb71.EXE : Not detected by Sandbox (Signature:
W32/Obfuscated)
[ DetectionInfo ]
* Filename: C:analyzerscan3f9bded6bd140cdfffb6ce246690eb71.EXE.
* Sandbox name: NO_MALWARE
* Signature name: W32/Obfuscated.H!genr.
* Compressed: NO.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* File length:
657408 bytes.
* MD5 hash: 3f9bded6bd140cdfffb6ce246690eb71.
* SHA1 hash: 1b000acf4a197c2f04ccd233026a0bb572e0c629.
(C) 2004-2011 Norman ASA. All Rights Reserved.
Abbildung 5.10: Resultat der Online Analyse des Samples
3f9bded6bd140cdfffb6ce246690eb71.EXE
Hier ist zu erkennen, dass die Sandbox von Norman Malware Analyzer G2 das übermittelte Sample nicht identifizieren konnte. Welche Gründe das hat, kann ich mit den mir zugänglichen Informationen nicht erläutern. Es ist jedoch möglich, dass die von mir übermittelte Malware die Norman Sandbox erkannte und somit keine schädliche Funktion ausführte. Bei erfolgreicher Analyse und Erkennung einer Malware beinhaltet das Resultat weitere Informationen. Dies ist aus der folgenden Abbildung zu entnehmen. Hierbei handelt es sich um keinen vollständigen Bericht. 33 1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
| Sandboxen [ Changes to filesystem ]
* Creates file C:\WINDOWS\LUTqam.exe.
[ Changes to registry ]
* Accesses Registry key
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Reads value "EXPERT" in key
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "AVPCC"="C:\WINDOWS\LUTqam.exe" in key
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Accesses Registry key "HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon".
* Modifies value "SFCDisable"="\x9d\xff\xff\xff" in key
"HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon".
* Accesses Registry key "HKLM\software\LimeWire".
* Accesses Registry key "HKCU\software\Shareaza".
* Accesses Registry key "HKCU\Software\Kazaa".
* Accesses Registry key
"HKCU\Software\Kazaa\LocalContent".
* Modifies value "Dir1"="012345:C:\WINDOWS\Drivers" in
key "HKCU\Software\Kazaa\LocalContent".
* Accesses Registry key "HKCU\software\Xolox".
* Accesses Registry key "HKLM\software\Morpheus".
* Accesses Registry key
"HKLM\software\microsoft\windows\currentversion\uninstall
\edonkey2000".
[ Network services ]
* Looks for an Internet connection.
* Connects to [REMOVED] on port 3127 (IP).
[ Security issues ]
* Uses common backdoor to infect remote system(s).
[ Process/window information ]
* Creates a mutex Ghost.
* Will automatically restart after boot (I'll be
back...).
* Enumerates running processes.
* Creates a mutex NetBIOSThread1.
[ Signature Scanning ]
* C:\WINDOWS\LUTqam.exe (87035 bytes): W32/SDBot.IZO.
Abbildung 5.11: Ausschnitt aus einer erfolgreichen Analyse
Einsatzgebiet: Die Zielgruppe des Softwareprodukts sind professionelle Kunden wie beispielsweise Antiviren-­‐Test Center, Finanz oder Regierungseinrichtungen. Wie bei den meisten Onlineanalysetools ist eine Benutzung nur zur Untersuchen von wenigen Samples zu empfehlen. Somit ist die Nutzung auf private Anwender und Bildungseinrichtungen ausgelegt. 34 | Sandboxen Fazit: Softwarelösung: Die Softwarelösung der Norman Malware Analyzer G2 konnte durch seine einfache -­‐ leicht verständliche Bedienung und durch korrekte Resultate überzeugen. Alle untersuchten Samples wurden richtig erkannt, analysiert und eingeordnet. Onlinelösung: Die Onlinelösung konnte nicht von seiner Qualität überzeugen. Erstens wurden zahlreiche Samples nicht erkannt, die jedoch von allen anderen Analyse Tools richtig erkannt, analysiert und identifiziert wurden. Zweitens ist der Analysebericht verglichen mit anderen Onlineanalysetools weniger benutzerfreundlich, da er ausschließlich in reiner Textform vorliegt und eine allgemeine Abschätzung des Sicherheitsrisikos nicht beinhaltet. 35 vi.
| Sandboxen Buster Sandbox Analyzer BSA – Buster Sandbox Analyzer steht allen Benutzern kostenlos zum Download zur Verfügung. Ein Onlineanalysetool gibt es jedoch nicht. Typ: Hier steht ausschließlich eine Softwarelösung zur Verfügung. Lizenz: Hierbei handelt es sich um eine Freeware Lösung. Kosten: Es gibt keine anfallenden Kosten, eine gültige Sandboxie Lizenz wird jedoch vorausgesetzt. Funktionalität: BSA unterstützt alle notwendigen Funktionalitäten, um eine repräsentative Analyse zu erhalten. Um diese Sandbox nutzen zu können, ist die Installation und Konfiguration von Sandboxie (http://www.sandboxie.com) notwendig. Ein Installationsvideo steht auf der BSA Homepage zur Verfügung. Sandboxie ist eine virtuelle Sandbox, in der Dateien installiert und ausgeführt werden können. Somit ist es unmöglich, dass Gefahren aus der Sandboxie in das System gelangen. Management: Nach erfolgreicher Konfiguration von Sandboxie kann die BSA Sandbox und Sandboxie gestartet werden. Anschließend muss die BSA Analyse gestartet und die zu untersuchende Datei innerhalb von Sandboxie ausgeführt werden. BSA zeichnet alle Aktivitäten innerhalb von Sandboxie auf und liefert die Ergebnisse anschließend in TXT Format. Logging: Das Resultat der BSA Analyse liegt in TXT Format vor und beinhaltete eine korrekte und detaillierte Auflistung aller Aktivitäten. Grafisch veranschaulicht werden nur eine allgemeine Verhaltensbeschreibung und die Auflistung der Netzwerkaktivitäten. 36 | Sandboxen Abbildung 5.12: Allgemeine schädliche Verhaltensrepräsentation des Samples 37 | Sandboxen Im Register Details wird das allgemeine Verhalten detailliert beschrieben und analysiert. 1. Detailed report of suspicious malware actions:
2.
3. Checked for debuggers
4. Created process:
(null),C:\ProgramData\srtserv\3f9bded6bd140cdfffb6ce246690eb
71.EXE -wait,(null)
5. Created process: (null),explorer.exe D:\**Pfadinformation
entfernt**\Dropper\3f9bded6bd140cdfffb6ce246690eb71,(null)
6. Defined file type created:
C:\ProgramData\srtserv\3f9bded6bd140cdfffb6ce246690eb71.EXE
7. Defined file type created: C:\ProgramData\srtserv\sdata.dll
8. Detected keylogger functionality
9. File copied itself
10. Got user name information
11. Hide file from user:
C:\ProgramData\srtserv\3f9bded6bd140cdfffb6ce246690eb71.EXE
12. Opened a service named: ShellHWDetection
13. Query DNS: client33.dropbox.com
14. Query DNS: watson.microsoft.com
15. Safe Mode settings change:
machine\system\currentcontrolset\control\safeboot = deleted
registry key
Abbildung 5.13: Detaillierte Informationen über das Verhalten des Samples Abbildung 5.14: Auflistung der Netzwerkaktivitäten und deren Protokolltyp 38 | Sandboxen Einsatzgebiet: Aufgrund der notwendigen Konfiguration von Sandboxie beschränkt sich das Einsatzgebiet vorwiegend auf Interessierte auf dem Gebiet der Malware Analyse. BSA wird jedoch auch von Antivirensoftwareherstellern und Testinstituten oder gewerblichen Kunden verwendet werden, da eine Analyse von über 10.000 Samples pro Tag problemlos möglich ist. Fazit: Die BSA Sandbox liefert ein korrektes Ergebnis und ist bis auf die Erstkonfiguration leicht und verständlich zu bedienen. Diese Sandbox brilliert dadurch, dass sie kostenlos zur Verfügung steht und zusätzliche alle notwendigen Funktionen zur professionellen Analyse unterstützt. Des Weiteren bietet die BSA Sandbox viele verschiedene Möglichkeiten zur individuellen Konfiguration, beispielsweise für den Report, SQL Einstellungen und allgemeine Programmeinstellungen. Zusätzlich ist es möglich benutzerdefinierte Sicherheitsstufen zu definieren. Anzumerken ist an dieser Stelle, dass die Nutzung der BSA Sandbox völlig kostenlos ist. Zur Verwendung durch kommerzielle Stellen ist der Erwerb einer Lizenz für Sandboxie notwendig. Die Jahreslizenzgebühr liegt hier bei ca. € 40 pro Jahr (Stand Juni 2012). Somit ist der Buster Sandbox Analyzer eine sehr günstige Variante zu den Payware Anbietern. Negativ anzumerken ist, dass keine Synchronisation und Speicherung von Ergebnissen, kommend von unterschiedlichen Analysesystemen, möglich ist. 39 vii.
| Sandboxen Zero Wine Tryouts Bei der Zero Wine Tryouts Sandbox handelt sich um ein Open Source Produkt, welches unter folgender Adresse heruntergeladen werden kann: http://zerowine-­‐
tryout.sourceforge.net (Stand Juni 2012). Dies ist die einzige Sandbox, welche auf den drei verbreitetsten Betriebssystemen (Windows, Linux und Mac OS X) genutzt werden kann. Typ Hier handelt es sich um eine Softwarelösung, die kostenlos zur Verfügung steht. Lizenz Die Zero Wine Tryouts Sandbox ist ein Open Source Produkt. Kosten Es fallen keine Kosten an. Funktionalität Dieses Produkt ist in ihrer Funktionalität im Vergleich zu anderen Open Source Produkten eingeschränkt. Beispielsweise werden Dateien ohne Suffix nicht automatisch erkannt, es können keine Resultate in einer SQL Datenbank gespeichert werden, es werden keine Screenshots während einer Analyse erstellt, geänderte bzw. beendete Prozesse können nicht gespeichert und es können keine URLs analysiert werden. Logging Die Resultate liegen innerhalb eines Browsers in HTML Format vor und können sind extra als TXT in ZIP Format abrufbar. Der Bericht beinhaltet alle wichtigen Funktionen zur Malware Analyse. Durchaus nützliche Funktionen, wie das Erstellen von Screenshots oder das Einordnen des Samples anhand von Gefahrenstufen, fehlen bei dieser Sandbox. 40 | Sandboxen Management Um Zero Wine Tryouts nutzen zu können, muss das Image (ca. 300MB) und das QEMU (Open Source Emulator) heruntergeladen und installiert werden. Anschließend beginnt der Zugriff via Webbrowser auf den localhost und das Analysieren des Samples startet. Einsatzgebiet Diese Sandbox findet vorzugsweise im Entwickler – und Bildungssektor Verwendung. Die Nutzung durch kommerziellen Anwender wird nicht angestrebt. Fazit: Die Zero Wine Tryouts Sandbox ist nicht für eine professionelle Malware Analyse geeignet, da einerseits nur wenige Dateiformate unterstützt werden, und zum anderen nur eine eingeschränkte Funktionalität gewährleistet wird. 41 viii.
| Sandboxen Weitere Sandboxen In diesem Abschnitt werden weitere Sandboxen beschrieben, analysiert und bewertet. Bei diesen Produkten handelt es ausschließlich um kostenlose Softwarelösungen, die jedoch auf dieselben Kriterien und Funktionen wie die anderen Sandboxen geprüft werden. i.
Minibis Minibis ist eine kostenlos verfügbare Sandbox und wurde vom „Computer Emergency Response Team Austria“ (CERT -­‐ http://cert.at/downloads/software/minibis_en.html.) entwickelt. Bei CERT handelt sich unter anderem um national vernetzte Rechner, die bei einer Attacke auf eines dieser Systeme automatisch alle anderen informieren. Um diese Sandbox nutzen zu können ist ein UNIX System (empfohlen Ubuntu) notwendig. Die aktuelle Version (2.1 Stand Juni 2012) ist in der Lage EXE, DLL, SWF, PDF, JS und URLs zu untersuchen. Ein besonderes Augenmerk wird bei dieser Sandbox auf selbst erstellte Skripte, die spezielle Aktionen vor bzw. nach einer Analyse ermöglichen, gelegt. Jedes einzelne Kommando muss von Hand eingetragen werden, da es keine grafische Oberfläche gibt, welche diese Eingabe erleichtert. Die Resultate der Analyse liegen in einem eigenen Ordner in TXT Format vor. Zusätzlich werden Screenshots, falls diese explizit in einem Skript deklariert wurden, und die Adressen der modifizierten Prozesse gespeichert (TXT Form). Fazit: Die Minibis Sandbox kann nur auf UNIX System verwendet werden. Die Samples wurden erkannt und richtig eingeordnet. Leider ist dieses Produkt in seiner Funktionalität eingeschränkt und bietet nicht alle Funktionen, die andere Freewareprodukte unterstützen. Beispielsweise gibt es keine Gefahreneinschätzung des Samples, gelöschte bzw. geänderte Dateien können nicht gespeichert werden und Netzwerkaktivitäten liegen nur in TXT Format vor. Anzumerken ist noch, dass das letzte Update der Minibis Sandbox im Juni 2011 erschienen ist. 42 ii.
| Sandboxen Xandora Die Xandora Sandbox bietet ein kostenloses Onlineanalysetool, welches unter http://www.xandora.net erreichbar ist. Dort können die zu untersuchenden Samples unkompliziert hochgeladen werden. Zusätzlich bietet der Hersteller eine kostenpflichtige Variante, um größere Mengen (100+) von Samples über das online Analysetool zu untersuchen. Diese Variante ist bereits für € 100 pro Monat zu haben. Das Resultat liegt unmittelbar nach Beendigung der Analyse vor und beinhaltet die wichtigsten Punkte der Malware Analyse. Fazit: Die Xandora Sandbox hat alle Samples richtig erkannt, eingeordnet und analysiert. Da es sich bei diesem Analysetool um eine Onlinelösung handelt, gibt es keine Möglichkeit die Sandbox individuell zu konfigurieren, was für die Analyse weniger Samples nicht zwingend erforderlich ist. 43 iii.
| Sandboxen Cuckoo Die Cuckoo Sandbox ist ein Open Source Produkte, steht kostenlos zum Download zur Verfügung und kann unter folgender Adresse heruntergeladen werden: http://www.Cuckoo.org (Stand Juni 2012). Abbildung 5.14: Veranschaulichung der Cuckoo Architektur In Abbildung 5.14 ist der Aufbau der Cuckoo Sandbox dargestellt. Hierbei handelt sich um eine Zwei-­‐Komponenten-­‐Architektur – den Host und die Cuckoo Guests. Auf dem Host läuft die Kernsoftware und ist für die komplette Analyse und die Auswertung zuständig. Auf den Gästen hingegen läuft jeweils eine Virtualbox, auf dem die Samples ausgeführt werden können. Mit der Cuckoo Sandbox ist es möglich, alle lauffähigen Windows Anwendungen zu analysieren. Eine Installation von Python (htp://www.python.org/getit) und VirtualBox (http://www.virtualbox.org) wird vorausgesetzt. Leider bietet die Cuckoo Sandbox keine grafische Benutzeroberfläche, mit der dem Benutzer eine Steuerung der Software ermöglicht wird. Jegliche Art der Bedienung wird über die Konsole vorgenommen. Das Resultat der Analyse liegt auf einem lokalen Server vor und kann mit einem Webbrowser angesehen werden. Die Analyse beinhaltet unter anderem Netzwerkaktivitäten, Prozessaktivitäten, Windows Registry Änderungen und Informationen über gestartete bzw. gestoppte Prozesse. Zusätzlich werden, falls das Sample ausführbar ist, während der Analyse Screenshots erstellt. 44 | Sandboxen Fazit: Die Cuckoo Sandbox ist auf Grund der fehlenden grafischen Benutzeroberfläche nicht für Computerlaien zu empfehlen. Die Erstkonfiguration bzw. das Herantasten an die Software geschieht ebenfalls über die Kommandozeile und beansprucht unter Umständen etwas Zeit. Cuckoo Sandbox unterstützt alle wichtigen Funktionen, die zur Analyse notwendig sind, hat alle Samples richtig erkannt und lieferte einen umfangreichen korrekten Bericht. 45 | Sandboxen iv.
Joe Sandbox Ursprünglich war eine Analyse dieser Sandbox geplant, jedoch bat mich der Hersteller die Joe Sandbox aus meiner Arbeit zu entfernen, da die Universität Innsbruck keinerlei Lizenz besitzt bzw. kein Produkt von Joe Security LLC verwendet. Auf die Anfrage eine Lizenz für AV-­‐Comparatives zu erwerben, erhielten wir leider keine Stellungnahme. 46 VII.
| Funktionalitäten Funktionalitäten In diesem Abschnitt befindet sich eine detaillierte Auflistung der Sandboxen und deren Funktionalitäten. Aus diesen Tabellen geht hervor, ob und welche Funktionen von den einzelnen Produkten unterstützt werden. An dieser Stelle ist anzumerken, dass die nachfolgenden Tabellen mit bestem Wissen und Gewissen von mir, Andreas Clemente und den einzelnen Herstellern der Sandboxen ausgefüllt wurde. Tabelle 7.1: Allgemeine Funktionalitäten 47 | Funktionalitäten Tabelle 7.2: Funktionalitäten der Datei Analyse 48 | Funktionalitäten Tabelle 7.3: Informationen bezüglich Analyse Ergebnisse und Speicherung 49 | Funktionalitäten Tabelle 7.4: Funktionalitäten betreffend der Netzwerkanalyse 50 | Funktionalitäten Tabelle 7.5: Informationen bezüglich Hilfe und Support 51 | Funktionalitäten Tabelle 7.6: Informationen zu anderen Funktionalitäten
52 | Funktionalitäten An dieser Stelle ist anzumerken, dass ich nicht von jedem Hersteller alle notwendigen Informationen erhalten habe bzw. selbst nachprüfen konnte, um deren Produkt in die Tabelle aufnehmen zu können. Somit beinhaltet diese Tabelle nur Produkte, von denen ausreichend Informationen zur Verfügung gestanden haben. 53 VIII.
| Schlussfolgerung Schlussfolgerung Ziel dieser Arbeit ist die Analyse der in der Einleitung genannten Sandboxen. In diesem Abschnitt werden die untersuchten Produkte in zwei Kategorien -­‐ Payware und Freeware -­‐ unterteilt, verglichen und gegenübergestellt. (Alle nachfolgenden Preise sind in € angegeben und beziehen sich auf den Stand März 2012.) Payware: Die günstigste Payware Sandbox, die ich untersucht habe, ist die Xandora Sandbox mit einer jährlichen Lizenzgebühr von € 10.000. Für die ValidEdge Sandbox sind im ersten Jahr € 46.000 und in den darauffolgenden Jahren € 12.000 zu entrichten. Der Grund für den deutlich erhöhten Preis des ersten Jahres ist, dass hier eine Appliance Version gekauft wird. In den darauffolgenden Jahren ist eine reine Lizenzgebühr zu bezahlen. Mit € 15.000 pro Jahr ist die GFI – Sandbox das drittgünstigste Produkt. Die teuerste Sandbox ist der Norman Malware Analyzer G2. Hierfür sind € 45.000 pro Jahr zu entrichten. Auch hier handelt es sich um eine Appliance Version, wobei sich die Lizenzgebühr nach Anschaffung dieser nicht verringert. Die GFI-­‐Sandbox ist in der Lage bis zu 500 Samples pro Sandbox und Tag zu analysieren. Deutlich mehr, nämlich 10.000 Samples pro Tag, können mit der ValidEdge und der Xandora Sandbox analysiert werden. Die meisten Samples, 35.000 pro Tag, können mit dem Norman Analyzer G2 untersucht und ausgewertet werden. Die Zahlen können aufgrund der Appliance-­‐Ausführung und Analyse-­‐Konfiguration variieren. Der Norman Malware Analyzer G2 und die GFI Sandbox ermöglichen eine Untersuchung aller ausführbaren Dateien. Win32 EXE, PDF, DOC, SWF, JPEG, HTML, BS, JS können mit der ValidEdge Sandbox analysiert werden. Die Xandora Sandbox hingegen lässt nur eine Analyse von Win32 EXE und DLL Dateien zu und bietet somit die geringste Dateiunterstützung der Payware Produkten. Die Untersuchung des Bytecodes auf etwaige bereits bekannte Signaturen wird von allen Sandboxen außer dem Norman Malware Analyzer G2 unterstützt. Dieser ermöglicht nur die dynamische Analyse, welche ausschließlich das Verhalten des Samples analysiert. Des Weiteren ist der Normal Malware Analyzer G2 die einzige Sandbox, welche keine Hash Werte von geänderten bzw. beendeten Prozessen und keine Datei Entropie erzeugt. 54 | Schlussfolgerung Weitere grundlegende Analysefunktionen, wie das Erkennen etwaiger Änderungen, Löschen bzw. Erstellen von Windows Registry Einträgen, Dateien und Speicherzugriffen oder das Protokollieren von Netzwerkaktivitäten, werden von allen Payware Produkten unterstützt. Alle entstandenen Netzwerkaktivitäten können bei allen Produkten dieser Kategorie in Form einer PCAP Datei heruntergeladen werden. Des Weiteren ist die Bedienung durch eine grafische Oberfläche, entweder in Form einer Software oder einer Webseite, möglich. Die Resultate der Analysen liegen in unterschiedlichen Formaten von HTML, PDF, XML, TXT bis hin zu JSON oder Google Protocol Buffers vor. Die letzten beiden Formate werden jedoch nur von der Norman Sandbox erstellt. Xandora ist das einzige Produkt, bei welchem die Resultate nicht in einer SQL Datenbank abgespeichert werden können. Screenshots der ausführbaren Dateien werden von allen Sandboxen erstellt. Keine der Payware-­‐Sandboxen bietet eine Funktion an, um Videos der Analyse zu erstellen. Zusätzlich beinhalten alle Analyseberichte Informationen über Prozessänderungen, gestartete und beendete Prozesse, Port Änderungen, DNS Anfragen und liefern Aufschluss darüber, ob eine Datei beschädigt ist. Darüber hinaus bieten alle Sandboxen die Möglichkeit beendete Prozesse zu speichern, um diese nachher einsehen zu können. Die Validedge Sandbox ist das einzige Analysetool, welches keine Information über etwaige Erkennungsnamen des untersuchten Samples von anderen Antivirusscannern liefert. Alle anderen Produkte listen Erkennungsnamen gängiger Antiviren-­‐Produkte auf. Dem Benutzer wird bei allen Produkten, außer bei der Xandora Sandbox, die Möglichkeit geboten einen Support zu kontaktieren, um etwaige technische oder analysebezogene Fragen zu klären. Dies geschieht meist in Form von Email oder eines Forums. Das Team von Norman bietet sogar einen telefonischen Support. Die von mir analysierten Samples wurden von allen Sandboxen richtig erkannt, analysiert und bewertet. Es traten lediglich Unterschiede in der Darstellung der Berichte und dem Umfang dieser auf. Den umfangreichsten Bericht lieferte die Validedge Sandbox. Hier stehen zu allen grundlegenden Informationen zusätzlich noch User API, System API und Win32 PE Informationen zur Verfügung. 55 | Schlussfolgerung Auch bei der Analyse von Malware gilt, dass die günstige Variante nicht immer die beste ist. Das bedeutet aber noch lange nicht, dass diese die schlechteste ist. Alle Sandboxen lieferten ein korrektes Ergebnis und haben die Samples aufgrund ihres Verhaltens richtig eingeordnet. Das beste Preis-­‐ Leistungsverhältnis bietet derzeit jedoch die ValidEdge Sandbox. Des Weiteren konnte sie von sich durch ihren sehr ausführlichen Bericht und zusätzliche Funktionen überzeugen. 56 | Schlussfolgerung Freeware: Folgende Freeware Sandboxen wurden von mir untersucht: Buster Analyzer Sandbox (BSA), Zero Wine Tryouts (ZWT), ThreatExpert, Anubis und Cuckoo. Bei ThreatExpert sowie bei der Anubis Sandbox handelt es sich um Online Analyse Plattformen, hingegen bei BSA, ZWT und Cuckoo um Softwarelösungen. Für die Bedienung der Online Plattformen ist lediglich ein Webbrowser notwendig, über diesen die Samples hochgeladen werden. Um mit BSA, ZWT und Cuckoo arbeiten zu können, ist die Installation einer virtuellen Umgebung oder Vorkonfiguration notwendig. Nach erfolgreicher Installation und Konfiguration können auch diese Sandboxen verwendet werden. Mit der BSA ist es möglich mehrere tausende Samples pro Tag zu analysieren. ZWT ermöglicht die Analyse von bis zu 1.000 Samples pro Tag. Diese hohe Anzahl an möglichen Analysen kann mit keinem Onlineanalysetool erreicht werden, da jedes Sample einzeln hochgeladen werden muss. Bei der Cuckoo Sandbox habe ich leider keine genauen Informationen über die mögliche Anzahl zu analysierenden Files bekommen. Bei ThreatExpert und Anubis ist die Angabe einer Email Adresse, an die das Ergebnis geschickt wird, Pflicht. Nach erfolgreichem Hochladen des Samples erhält der Benutzer das Resultat innerhalb weniger Minuten bis hin zu wenigen Stunden. Das Ergebnis liegt bei beiden Produkten in HTML Format vor. Zusätzlich unterstützt die Anubis Sandbox noch PDF, XML und TXT Format. Die Resultate von BSA, ZWT und Cuckoo liegen in HTML und TXT Format vor, BSA bietet das Ergebnis zusätzlich in PDF und XML Format an. Die Buster Sandbox unterstützt alle wichtigen Funktionen, die zur Verhaltensanalyse notwendig sind. Zero Wine Tryouts und Cuckoo sind in ihrer Funktionalität hingegen etwas begrenzt. Beispielsweise wird das Sample nicht auf dessen Signatur untersucht, es werden nur Win32 EXE und Win32 DLL Dateierweiterungen erkannt und es können keine Samples analysiert werden, die eine Benutzereingabe erfordern. Die BSA Sandbox verfügt zusätzlich über Funktionen, die für gewöhnlich nur von kommerziellen Produkten bereitgestellt wird. Beide Onlineanalysetools unterscheiden sich kaum in ihrer Funktionalität und liefern einen ähnlich umfangreichen Bericht. 57 | Schlussfolgerung In Punkto Erkennung von Netzwerkaktivitäten gibt es keine wesentlichen Unterschiede zwischen den Freeware Produkten. Lediglich liegen bei BSA und ZWT die Netzwerkaktivitäten in Form einer WireShark Datei vor. Cuckoo unterstützt diese Funktion nicht. Beide Onlineanalysetools liefern ein korrektes und umfangreiches Ergebnis. Die Resultate treffen bei der Anubis Sandbox in der Regel früher ein, als bei ThreatExpert. Während meiner Arbeit mit ThreatExpert kam es zweimal zum Ausfall der Website. ThreatExpert bietet den Usern zusätzlich die Möglichkeit die Datenbank aller bisherigen Analysen zu durchsuchen. In Punkto Funktionalität sind beide Onlineanalysetools ähnlich. Das Anubis Analysetool liefert die gesamten Netzwerkaktivitäten in Form einer PCAP Datei, was ThreatExpert jedoch nicht macht. ThreatExpert hingegen informiert den Benutzer über eine mögliche Herkunft des analysierten Samples. In allen anderen Punkten sind sich diese beiden Onlineanalysetools identisch. BSA, ZWT und Cuckoo lieferten ebenfalls korrekte und umfangreiche Ergebnisse. Diese Tools setzen eine Virtual Maschine voraus, um mit ihnen arbeiten zu können. Die Bedienung erfolgt bei BSA und ZWT über eine grafische Oberfläche. Cuckoo wird ausschließlich über die Konsole gesteuert, was die Bedienung für ungeübte Konsolennutzer etwas erschwert. Die Cuckoo Sandbox und ZWT sind sich in ihrer Funktionalität sehr ähnlich. Beide verfügen über die grundlegenden Funktionen einer Malware Analyse. Die BSA Sandbox ist mit dem Umfang ihrer Analysefunktionen klar auf dem ersten Platz. Dieses Produkt unterstützt einerseits alle grundlegenden Funktionen zur Malware Analyse und andererseits auch Funktionen, die nur von kommerziellen Produkten unterstützt werden. Beispielsweise ist die Sicherheitsrisikostufe der BSA individuell einstellbar, Analysen können pausiert und wieder aufgenommen, Netzwerke simuliert und Webseiten analysiert, werden. Beabsichtigt ein Unternehmen die Nutzung der BSA Sandbox, muss für jedes System, auf dem BSA laufen soll, eine Lizenz für Sandboxie erworben werden. Allerdings sind dabei die Kosten für beispielweise 100 Lizenzen geringer, als die Jahreslizenz eines Paywareanbieters. Die jährlichen Kosten für 100 Sandboxie Lizenzen belaufen sich auf ca. € 1500. Die BSA kann somit auf allen Rechner ausgeführt werden, es existiert aber keine Möglichkeit die Resultate der einzelnen Analysen zentral zu speichern. Jedes Resultat wird nur lokal auf dem System gespeichert, auf welchem die Analyse ausgeführt wurde. 58 | Schlussfolgerung Dennoch ist der Buster Sandbox Analyzer die funktionsreichste Sandbox auf dem Gebiet der Freewareprodukte. Zusätzlich kann der Buster Sandbox Analyzer ohne Probleme mit kommerziellen Produkten mithalten und stellt diese teilweise auch in den Schatten. 59 | Schlussfolgerung Payware vs. Freeware In diesem Abschnitt werden alle Produkte anhand der Funktionalitätentabelle einander gegenübergestellt. ★★★★
Norman
Malware
Analyzer
G2
★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★★ ★★★ ★★★★ ★★★★ ★★★★★ ★★★ ★★★★ ★★★ ★★★★★ ★★★★ ★★★★ ★★★★★ Support
★★★★ ★★★★ ★★★★ ★★★★ ★★★★ ★★★★ Other features
★★★★ ★★ ★★★★★ ★★★★★ ★★★ ★★★★★ ★★★★★
★★★
★★★★★
★★★★★
★★★★
★★★★★
Buster
Sandbox
Analyzer File Analysis
★★★★★ ★★ ★★★★★
Reports/Logging
/Storing
Network
★★★★★ ★★★★ ★★★★ Processing
Total
Zero Wine
Tryouts
ValidEDGE
Xandora
GFI
Sandbox
Tabelle 8.1: Bewertung der Funktionalitäten Alle Sandboxen wurden anhand ihrer Funktionalitäten mit einer maximalen Sternanzahl von 5 bewertet. In Tabelle 8.1 ist die erreichte Sterneanzahl für jedes Produkt abgebildet. Somit ergibt sich folgendes Ergebnis: Buster Sandbox Analyzer, GFI-­‐Sandbox, ValidEdge und Xandora erreichen nach meiner Einschätzung die maximale Anzahl von Sternen. Norman Malware Analyzer G2 erhält 4 Sterne und Zero Wine Tryouts 3 Sterne. Aus diesem Ergebnis geht deutlich hervor, dass es nicht unbedingt notwendig ist mehrere Tausend von Euro für ein qualitativ hochwertiges Malwareanalysetool auszugeben. 60 IX.
| Inhaltsverzeichnis Literaturverzeichnis [1] [SOP01] Sophos Labs. Security threat report: Halbjahresbericht 2010. Technical report, www.sophos.de, 2010. [2] [3] [4] [5] [6] [7] [MAC01] Michael Hale Ligh, Steven Adair, Blake Hartstein, Matthew Richard. Willey. Malware Analyst’s Cookbook and DVD. 2011 USA [PMA12] Michael Sikorski, Andrew Honig. No starch press. Practical Malware Analysis. 2012 USA [SZ03] Ed Skoudis and Lenny Zeltser. Malware: Fighting Malicious Code. Prentice Hall PTR, Upper Saddle River, NJ, USA, 2003. [Kas08] Eugene Kaspersky. Malware. Carl Hanser Verlag München, 2008. [ADMAT] Manuel Egele, Theodor Scholte, Engin Kirda, Christopher Kruegel. A Survey on Automated Dynamic Malware Analysis Techniques and Tools. ACM Computing Surveys. [AVC01] http://www.av-­‐comparatives.org. Stand Juni 2012 61