So passt sich Schadsoftware an

Kriminelle Hackergruppen aus Osteuropa folgen schon länger der Regel, nicht im eigenen Revier zu wildern: Banden wie REvil oder DarkSide setzen Kill-Switches in ihren Schadcode ein, die die Spracheinstellung des befallenen Rechners überprüfen. Benutzt der User Russisch, Ukrainisch, Georgisch, Armenisch oder Rumänisch, springt die Malware nicht an. Solche Taktiken führen zu einer Variabilität von Malware - ein und derselbe Code kann auf verschiedenen Rechnern unterschiedliche Dinge bewirken, je nach Version des Betriebssystems, der installierten Bibliotheken oder der Spracheinstellungen. "Wenn Sie versuchen, dieselbe Malware auf drei oder vier verschiedenen Computern auszuführen, erhalten Sie unter Umständen drei oder vier verschiedene Verhaltensweisen", weiß Erin Avllazagaj, wissenschaftlicher Mitarbeiter an der University of Maryland.

Sicherheitsforscher sind sich der Variabilität von Malware seit langem bewusst. Allerdings gab es bisher nur wenige Studien dazu, wie umfangreich das Problem in freier Wildbahn wirklich ist. Avllazagaj wollte mehr wissen und untersuchte 7,6 Millionen Malware-Ausführungsspuren, die auf 5,4 Millionen echten Hosts in 113 Ländern aufgezeichnet wurden. Ihm fielen viele Verhaltensänderungen im Laufe der Zeit und auf verschiedenen Rechnern auf, was beunruhigende Auswirkungen hat: "Man kann nicht mehr sagen, dass es sich bei einer Malware um einen Trojaner handelt. Sie verhält sich zwar wie ein Trojaner, bei der nächsten Ausführung aber vielleicht wie Ransomware", sagt der Computerwissenschaftler.

Diese Malware-Variationen entstehen manchmal unbeabsichtigt, weil der Schadcode nicht richtig funktioniert. Wesentlich interessanter sind jedoch die Variationen, die mit Intention entstehen und die so konzipiert sind, dass bestimmte Aktivitäten nur auf dem richtigen Computer oder unter den richtigen Umständen ausgeführt werden. Sind die Bedingungen nicht erfüllt, bleibt die Malware ein scheinbar harmloses File. Diese Art der Malware ist folglich besonders schwer zu erkennen. "Die Informationen von automatisierten Systemen oder der Endpunkt-Erkennung können zur positiven Identifizierung von Malware verwendet werden, sind aber nicht sehr nützlich, wenn es darum geht, die Nichtexistenz von Malware zu bestätigen", erklärt Peter Kosinar, technischer Mitarbeiter bei ESET.

Normalerweise seien eher Akteure, die im Staatsauftrag handeln, dafür bekannt, ausgeklügelte Taktiken wie variable Malware zu nutzen. Allerdings konnte Kosinar feststellen, dass auch einige massenhaft verbreitete Malware-Varianten solche Tricks anwenden. Avllazagajs Forschung könnte etwas Licht in die Variabilität von bösartigem Code bringen - und der Sicherheits-Community dabei helfen, das Problem besser zu verstehen: "Wir haben empirisch untersucht, wie stark sich Malware verändert, welcher Teil des Verhaltens sich ändert und was wir tun können, um das zu berücksichtigen. Und wir haben gezeigt, dass die Hersteller von Antivirussoftware in einer ziemlich guten Position sind, um etwas dagegen zu tun", meint Avllazagaj.

Eine Malware, sieben Rechner

Avllazagaj und seine Kollegen untersuchten das Verhalten verschiedener Malware-Stämme, darunter Ramnit (ein Wurm, der Windows-Rechner befällt, um Daten zu stehlen) und der Remote-Acess-Trojaner DarkComet (stiehlt auch Passwörter und erstellt Screenshots). Bei der Analyse der insgesamt 7,6 Millionen Malware-Proben aus dem Jahr 2018 stellten die Forscher fest, dass ein Großteil der Variabilität mit der Erstellung und Benennung von Dateien zusammenhängt. Doch damit nicht genug: DarkComet RAT erstellte in einigen Fällen Registrierungsschlüssel, während Ramnit manchmal viele Mutex-Mechanismen erstellte - "möglicherweise weil es den Exploit so lange ausführte, bis er erfolgreich war", meint Avllazagaj.

"Bei mindestens 50 Prozent der Malware tauchen 30 Prozent der zuvor beobachteten Aktionen auf anderen Rechnern nicht auf", heißt es in dem Bericht (PDF) der Computerwissenschaftler. Außerdem wies die Hälfte aller Samples über alle Ausführungen hinweg nur in 8 Prozent der Fälle gleiche Paramter auf. Laut Avllazagaj beweise das einmal mehr, dass die Verwendung von Sandboxes zur Malware-Analyse kein vollständiges Bild liefert. Wenn Sicherheitsexperten feststellen wollten, ob ein bestimmtes Muster zu einer bestimmten Familie gehört, reiche eine einmalige Ausführung in einer Sandbox nicht aus.

Stattdessen kommen die Forscher zu dem Schluss, dass Sicherheitsexperten, die Malware analysieren, mehrere PCs benötigen, um verschiedene Verhaltensweisen zu erfassen. "Sie können drei bis sieben Rechner verwenden, um Parameter-Token zu sammeln, die in mehr als 90 Prozent der Ausführungen auftreten", schreiben die Informatiker.

Warum ändert Malware ihr Verhalten?

Raffinierte Bedrohungsakteure, beispielsweise staatlich gesponserte Hackergruppen, verfügen über ausreichende Ressourcen, um benutzerdefinierte Tools zu entwickeln, die auf den meisten Rechnern harmlos erscheinen und nur dann "tätig werden", wenn bestimmte Bedingungen erfüllt sind. Malware-Autoren tun dies vor allem, um ihre Aktivitäten möglichst lange verschleiern zu können: "Der Angreifer beginnt mit einem kleinen Tool, das zunächst einige Überprüfungen auf dem infizierten Computer durchführt, um festzustellen, ob es sich um das richtige Ziel handelt. Ist das der Fall, wird die bösartige Nutzlast extrahiert. Wird dieses anfängliche Tool entdeckt, ist es wesentlich einfacher zu beseitigen als das eigentliche Schadprogramm", weiß Kosinar.

Solche Methoden sind inzwischen jedoch nicht mehr nur APTs vorbehalten. Auch Ransomware-Gruppen verwenden inzwischen solche Taktiken, meint Calvin Gan, Senior Manager der Tactical Defense Unit von F-Secure: "Heutzutage wird Ransomware oft als zweite Stufe der Nutzlast eingesetzt. Es gibt auch Ransomware, die bei der Ausführung ihre Umgebung überprüft und sich weigert, Änderungen vorzunehmen, wenn sie sich in einer Testumgebung oder virtuellen Maschine befindet. Wieder andere Varianten wie etwa Ragnar Locker, verwenden ein virtuelles Image zur Ausführung der Nutzlast, um Detektion zu umgehen."

Analyse von Malware

Mit Blick auf die Zukunft scheint es wahrscheinlich, dass mehr Malware-Stämme mit variablem Verhalten auftauchen - die Auswirkungen könnten sich branchenübergreifend bemerkbar machen. Laut ESET-Experte Kosinar habe die Security-Branche die kriminellen Gruppen und ihre Methoden im Auge und untersuche regelmäßig besonders ungewöhnliche Verhaltensmuster.

Das Ziel sei es, diese bis ins kleinste Detail zu verstehen: "Das geschieht in der Regel durch eine Kombination aus statischer Analyse in Disassemblern und der Ausführung in einer Sandboxing-Umgebung, einer virtuellen Maschine oder unter einem Debugger. Es ist unwahrscheinlich, dass diese Art der Analyse dadurch vereitelt wird, dass sich die Malware bei verschiedenen Durchläufen unterschiedlich verhält - die Person, die das Reverse Engineering durchführt, kann das eigentliche Programm sehen, ohne dass es ausgeführt werden muss und kann so alle möglichen Pfade im Code erkunden." Dieser Ansatz sei zwar zeitaufwändig, könne aber helfen, schwierige Fragen zu beantworten, wie etwa:

• Wie erzeugt die Malware die Dateinamen oder Registrierungseinträge?

• Wie erzeugt sie die URLs, mit denen sie sich verbindet?

Das Verständnis dieser Fragen und des breiten Spektrums an Malware, die in der freien Wildbahn zu beobachten sind, könnte in den kommenden Jahren von entscheidender Bedeutung sein. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.