In den meisten Unternehmen genießt der Schutz vor Malware eine gewisse Priorität. Neben einer Firewall zum Schutz vor gefährlichen Netzwerkaktivitäten findet sich auf den Computern von Unternehmensnetzwerken fast immer eine Virenschutz-Software. Allerdings lassen es viele Administratoren damit auch auf sich bewenden. Für sensible Umgebungen ist dies allerdings bei Weitem nicht genug, um einen ausreichenden Schutz zu implementieren. In diesem Kapitel werden wir daher zum einen darstellen, über welche Aktivitäten Malware erkannt und analysiert werden kann, und zum anderen schauen wir uns professionelle Ansätze zum Schutz vor Malware an. Diese Themen greifen Hand in Hand ineinander. Dazu betrachten wir folgende Punkte:
Wie Sie erkennen können, geht es in diesem Kapitel ausnahmsweise nicht um Angriffsformen und -techniken. Stattdessen gehen wir in die Analyse und damit ein Stück weit in den Bereich der Forensik. Neben dem praktischen Aspekt und der Notwendigkeit, verdächtige Aktivitäten und Prozesse auf Computern erkennen zu können, legt auch der CEH hier einen Schwerpunkt auf bestimmte Tools und Konzepte. Da die meiste Malware für Windows geschrieben wird, liegt hier naturgemäß unser Schwerpunkt. Doch die Ansätze sind für alle Betriebssysteme gleich und vereinzelt gehen wir auch auf Linux-Plattformen ein.
13.2 Verdächtiges Verhalten analysieren
Starten wir ganz profan: Ein Computer in Ihrem Netzwerk verhält sich »irgendwie anders«. Oftmals lässt sich das gar nicht so konkret ausmachen. Vielleicht hat sich mal kurz ein Terminalfenster geöffnet, der ganze Rechner reagiert plötzlich spürbar langsamer, die Prozessorauslastung geht ohne Grund nach oben oder die Festplatte arbeitet immer wieder, obwohl scheinbar gar kein Programm aktiv ist, das dafür verantwortlich sein könnte.
Natürlich können die genannten Verhaltensauffälligkeiten ganz verschiedene, durchaus valide Gründe haben. Dennoch empfiehlt es sich oft, zu reagieren und das System einer gründlichen Prüfung zu unterziehen. Hierzu werden zunächst Antiviren-Programme aktiviert und ggf. ein Offline-Scan mithilfe einer Rescue-Disk (werden wir im Folgenden noch erläutern) durchgeführt. Außerdem können diverse Aspekte des Systems genau unter die Lupe genommen werden. Dazu stellt Windows jede Menge Bordmittel zur Verfügung und zudem gibt es zahlreiche Tools, die den Security-Analysten bei der Arbeit unterstützen.
13.2.1 Virencheck durchführen
Der erste Schritt ist der Virencheck. Wie bereits früher ausgeführt, verstehen wir unter »Viren« auch alle artverwandten Malware-Typen.
Standard-Virencheck
Meistens ist bereits eine AV-Software von Anbietern wie Kaspersky, Norton, BitDefender, Avira, McAfee oder Ähnliches installiert. Stellen Sie sicher, dass die aktuellen Signaturdateien geladen sind, und führen Sie einen Vollscan durch. Dabei sollten Sie darauf achten, dass beim Scan möglichst alle Dateitypen berücksichtigt werden. In der Standard-Konfiguration werden teilweise einige durchaus relevante Dateitypen und Ordnerstrukturen ausgelassen. Überprüfen Sie daher auf jeden Fall die Konfiguration des Scanners.
Ein wichtiger Bonus besteht darin, einen zweiten AV-Hersteller zu involvieren. Wie Sie in unseren Tests mit VirusTotal gesehen haben, ist das Scanergebnis diverser AV-Anbieter keineswegs kongruent. Daher ist es auf jeden Fall empfehlenswert, mehr als einen Scanner über das betreffende System laufen zu lassen. Mittlerweile gehört der mit Windows mitgelieferte Windows Defender im Übrigen zu den Scannern mit den besten Erkennungsraten, sodass einige Experten mittlerweile die Notwendigkeit externer AV-Programme in Zweifel ziehen. Für mehrfache Scans im konkreten Verdachtsfall sind sie in jedem Fall unentbehrlich.
Rescue-Disk
Eine etwas sicherere Methode, das lokale System zu überprüfen, sind die Rescue-Disks. Sie basieren meistens auf Linux und werden von vielen AV-Anbietern kostenfrei angeboten. Sie ermöglichen einen Offline-Check des Systems. Im laufenden Betrieb (online) könnte es sein, dass die Malware durch Rootkits oder andere Mechanismen gut versteckt wird und dadurch für das AV-System schwer zu entdecken ist. Eine Rescue-Disk (installierbar auf USB-Stick oder CD-ROM) stellt ein bootfähiges Image bereit, über das das System gestartet werden kann.
Der normale Bootvorgang des Betriebssystems wird somit komplett ausgehebelt. Das führt dazu, dass Malware sich während dieses Prozesses nicht schützen kann und – ohne eingreifen zu können – passiv auf dem Datenträger liegt. Das Rescue-System enthält eine Virenscanner-Engine, die sich zunächst einmal selbst direkt aus dem Internet updaten kann. Damit ist sichergestellt, dass das AV-System auf dem tagesaktuellen Stand ist.
Nun werden die lokalen Datenträger automatisch eingebunden (gemountet) und können in aller Ruhe gescannt werden, siehe Abbildung 13.4. Auf diese Art wird verhindert, dass Malware sich im laufenden System vor den Scannern verstecken kann, da zudem – im Gegensatz zu Scans im aktiven Betrieb – auch der Arbeitsspeicher nicht geprüft werden muss.
Der Einsatz einer Rescue-Disk als ergänzendes Mittel ist auf jeden Fall empfehlenswert, sollte Sie allerdings auch nicht in falscher Sicherheit wiegen. Nur, weil der Scanner des Rescue-Systems nichts findet, sind Sie noch lange nicht auf der sicheren Seite.
Das BSI hat am 15. März 2022, zu Beginn des Ukrainekrieges, eine Warnung vor Kaspersky-Software ausgegeben. Es könne nicht ausgeschlossen werden, dass die aus Russland stammende Software nicht manipuliert und für Spionagezwecke genutzt wird. Außer einem Generalverdacht gibt es jedoch bislang keinerlei Anhaltspunkte, Indizien oder Beweise für eine tatsächliche Gefahr, die durch Kaspersky-Software ausgeht. Letztlich ist es eine Frage des Vertrauens. Kaspersky hat große Anstrengungen unternommen, diesen Generalverdacht zu entkräften, bislang jedoch ohne Erfolg.
Erweiterte Malware-Detection
Die meisten AV-Produkte bieten neben einem klassischen Virenscanner noch diverse weitere Features an, die ggf. gegen Aufpreis (Premium-Version etc.) für zusätzlichen Schutz sorgen. Neben dem fast schon obligatorischen Echtzeitschutz, bei dem – je nach Konfiguration – Lese- und Schreibzugriffe geprüft werden, gibt es Surf- bzw. Browserschutz, bei dem als gefährlich eingestufte Websites sowie ungewollte Downloads und Werbung blockiert werden.
Die Verhaltensanalyse überwacht alle aktiven Programme und warnt den Anwender, sobald sich eine Software verdächtig verhält. Dazu gehört auch das Stoppen von Ransomware. Das Tool versucht, Verhaltensmuster zu erkennen, und stoppt den Vorgang, bevor Ihre Daten verschlüsselt werden.
Einige Virenschutzlösungen bieten auch in ihren Privatkunden-Produkten mittlerweile schon Sandboxing-Lösungen an, mit denen verdächtige Dateien und Programme in einer virtuellen Umgebung geprüft werden können. Auf professionelle Sandboxing-Systeme kommen wir später in diesem Kapitel noch zurück.
Neben der automatisierten Analyse der Verhaltensweise von Programmen können Sie auch manuell Programme analysieren. Hierzu dienen sogenannte Debugger, die ein Reverse Engineering ermöglichen. Wir gehen in Kapitel 27 Buffer-Overflow-Angriffe im Detail auf Debugger wie OllyDbg und Immunity Debugger ein und zeigen Ihnen, wie Sie dieses Tools im Rahmen eines Buffer Overflows einsetzen können. Analog dazu können Sie diese Kenntnisse einsetzen, um die Verhaltensweise von Malware zu analysieren.
Darüber hinaus bieten die Internet-Security-Suiten diverse Zusatzfunktionen wie Passwort-Schutz, Online-Banking-Schutz, Secure-Updater, Kindersicherung etc. Jeder Hersteller versucht, Alleinstellungsmerkmale bereitzustellen, aber häufig sind nur die Bezeichnungen unterschiedlich, während die grundlegenden Funktionen ähnlich sind. Schauen Sie also hinter die Kulissen und prüfen Sie, welchen Mehrwert die zusätzlichen Features für einen umfassenden Malware-Check und den Schutz Ihrer Systeme bieten.
Beachten Sie jedoch dabei, dass nicht alles Gold ist, was glänzt: Nicht selten steckt hinter den markanten Begriffen nicht viel Substanz – im Gegenteil können die Zusatz-Features das System ausbremsen und den Benutzer in falscher Sicherheit wiegen. Zudem können unerklärliche Nebeneffekte entstehen, und nicht zuletzt bieten diese Software-Komponenten auch ein hervorragendes Angriffsziel, da sie üblicherweise mit weitreichenden Rechten auf dem System ausgestattet sind.
Diverse Schädlinge versuchen (oft erfolgreich), AV-Systeme zu umgehen. Eine AV-Software, die auf einem bereits infizierten System installiert wird, kann zudem leichter ausgehebelt werden. Stellen Sie also sicher, dass die AV-Software auf dem frischen System installiert wird, wenn Sie noch sicher sein können, sich keine Malware eingefangen zu haben – also im Zweifel vor der ersten Verbindung mit dem Internet. Sollte es hierfür zu spät sein, sind Offline-Scans mit Rescue-Disks eine gute Option.
Die EICAR-Testdatei
Sie haben die Möglichkeit, mit einer ungefährlichen Testdatei die Funktion Ihrer Virusabwehr zu testen. Dafür hat das European Institute for Computer Antivirus Research (EICAR) und die Computer AntiVirus Research Organization ein Testmuster entwickelt, auf das jedes Antivirenprogramm anspringen sollte. Dabei handelt es sich um einen String aus 68 ASCII-Zeichen. Diese Zeichenfolge ist allen Antivirus-Entwicklern bekannt und muss einen entsprechenden Alarm auslösen. So können Sie sicherstellen, dass Ihr Antivirus-System korrekt funktioniert und nicht durch falsche Einstellungen oder gar einer Malware deaktiviert wurde. Der String stellt sich folgendermaßen dar und wird in verschiedenen Dateiformaten zum Download angeboten:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Stellen Sie nun einmal Ihren Virenschutz auf den Prüfstand und surfen Sie auf https://www.eicar.org/download-anti-malware-testfile. Hier finden Sie verschiedene Versionen der Datei. Lassen sie sich den String z.B. anzeigen, indem Sie auf eicar.com.txt klicken.
Markieren Sie den String und kopieren Sie diesen in Ihre Zwischenablage und damit in den flüchtigen Speicher (RAM) Ihres Systems. Wird dieser von der Antivirus-Software überprüft, so sollten Sie damit schon einen entsprechenden Warnhinweis auf einen identifizierten Virus erhalten. Ist dies nicht der Fall, kopieren Sie den String in einen Texteditor und speichern Sie die Datei unter beliebigem Dateinamen. Testen Sie zuerst die Endung .txt, um herauszufinden, ob der aktive Virenschutz das Textformat untersucht. Herrscht auch hier Funkstille, speichern Sie unter dem Dateiformat .com (ausführbar in MS-DOS) ab. Spätestens jetzt sollte Ihre Virenerkennung die Alarmglocken läuten!
Um Ihren Test noch etwas weiter auszudehnen, führen Sie auch einen Download der angebotenen EICAR-Dateien durch. Um die Erkennung zu erschweren, werden diese zusätzlich zur COM-Datei auch als komprimierte ZIP-Archive im Downloadbereich angeboten.
Mit diesen einfachen Tests können Sie das Schutzverhalten Ihres Virenscanners beobachten und im Bedarfsfall erweiterte Einstellungen vornehmen. Abbildung 13.6 zeigt eine korrekte Erkennung der EICAR-Datei durch einen Virenscanner.
13.2.2 Prozesse überprüfen
Malware basiert auf Programmen. Programme laufen im System letztlich in Form von Prozessen. Wird ein Prozess nicht gerade über Rootkit-Mechanismen vor Entdeckung geschützt, tauchen die Malware-Prozesse in der regulären Prozessliste auf. Die Prozessliste sollten Sie daher als einen der ersten Punkte im Rahmen der Malware-Analyse prüfen.
Das Windows-Bordmittel hierzu ist der Task-Manager. Sie können ihn über Rechtsklick auf die Taskleiste aufrufen – alternativ über die Tastenkombination Strg+Shift+Esc. Hier können Sie sich bei Windows 10 oder 11 zum einen die Prozesse über das gleichnamige Register anzeigen lassen. Dies ist allerdings nur ein High-Level-Überblick, der zudem einen Einblick gibt, welche Prozesse bzw. Anwendungen welche Ressourcen in Anspruch nehmen (siehe Abbildung 13.7).
Die Darstellung unterscheidet zwischen Apps, Hintergrund- und Windows-Prozessen. Über Linksklick auf den Pfeil vor den Einträgen lassen sich die Details der aufgerufenen Programme anzeigen. Klicken Sie mit der rechten Maustaste auf eine der Spalten, um das Spaltenmenü aufzurufen. Hier sind ggf. die Spalten Prozessname und Befehlszeile interessant.
Eine detaillierte Übersicht über die laufenden Prozesse liefert das Register Details. Hier finden sich auch »geforkte«, also von einem Hauptprozess aufgerufene Subprozesse. In Abbildung 13.8 sehen Sie zum einen den Prozess der Eingabeaufforderung (cmd.exe) und zum anderen einen zweiten Prozess namens conhost.exe, der zur Eingabeaufforderung gehört. Er realisiert die Einbettung der Kommandozeile in der Windows-Umgebung.
Tatsächlich ist im regulären Task-Manager von Windows allerdings nicht zu erkennen, welche Abhängigkeiten bestehen, da der Prozessbaum nicht hierarchisch dargestellt wird. Mit dem Process Explorer von Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) erhalten Sie einen alternativen Task-Manager mit einigen interessanten Zusatzfunktionen. Hierzu zählt auch die Darstellung der Prozess-Hierarchie. In Abbildung 13.9 wird deutlich, dass der Prozess conhost.exe von cmd.exe aufgerufen wurde.
Neben der automatischen farblichen Codierung in User- und Systemprozesse sowie andere Kategorien (einstellbar über das Menü Options|Configure Colors) können Sie z.B. per Kontextmenü auch einen Prozess von VirusTotal prüfen lassen, wie Abbildung 13.10 zeigt.
Nicht immer führt der Blick in die Prozessliste zu einem klaren Ergebnis. So taucht unser PuTTY-Trojaner auch im Process Explorer nur als scheinbar harmloser Prozess putty.exe auf. Erst der Check über VirusTotal zeigt die Gefahr, wie in Abbildung 13.11 dargestellt.
Einen deutlich umfassenderen Einblick in die Aktivitäten von Prozessen ermöglicht der kostenfreie Process Monitor ebenfalls von Sysinternals, den Sie sich von der Microsoft-Seite unter https://docs.microsoft.com/de-de/sysinternals/downloads/procmon herunterladen können. Der Process Monitor zeigt Input- und Output-Aktivitäten, Dateizugriffe, Zugriffe auf Registry-Schlüssel, zeigt das Starten und Beenden von Prozessen und Threads sowie TCP/IP-Verbindungsauf- und -abbauvorgänge (siehe Abbildung 13.12).
Eine umfassende Filter- und Suchfunktion ermöglicht eine übersichtlichere Ansicht. Dies ist auch dringend nötig, da die Informationen sonst schnell überborden und das Tool doch einige Einarbeitungszeit erfordert, um die zahlreichen Möglichkeiten ausschöpfen zu können. Der in Abbildung 13.13 dargestellte Filter betrachtet ausschließlich Prozesse mit dem Namen putty.exe.
Starten Sie im nächsten Schritt den PuTTY-Trojaner, so zeigt der Process Monitor zahlreiche Einträge an. Über die entsprechenden Schaltflächen in der Symbolleiste können Sie alle Einträge außer den Netzwerkaktivitäten deaktivieren. Im Ergebnis wird sichtbar, dass hier Verbindungen im Hintergrund hergestellt werden, die wir nicht explizit angefordert haben, wie Abbildung 13.14 zeigt.
Der Process Monitor liefert umfassende Ausgaben zu diversen Interaktionen eines Prozesses mit dem Betriebssystem. Ein entsprechender Filter ist allerdings notwendig, um die Übersicht zu behalten. Der Process Monitor sollte in keinem Werkzeugkasten fehlen.
Nicht immer wird Malware in den oben genannten Tools identifizierbar. Unter Umständen bindet sich ein schädlicher Prozess z.B. als DLL an einen regulären Prozess, wie z.B. Explorer.exe, und ist damit nicht als eigenständiger Prozess sichtbar. Wie im vorhergehenden Kapitel dargelegt, bedienen sich Rootkits gern derartiger Techniken. Daher sollten Sie sich nicht in Sicherheit wiegen, wenn Sie keinen verdächtigen Prozess finden können, sondern weitere Analysen durchführen. In derartigen Szenarien geht es häufig um Indizien, ähnlich wie bei einem Kriminalfall.
13.2.3 Netzwerkaktivitäten prüfen
Viele Varianten von Malware kommunizieren mit dem Angreifer-System bzw. den Command & Control-Servern. Sei es, um einen Remote-Zugriff für einen Hacker bereitzustellen oder ermittelte Daten über das Opfer zu transferieren, oder auch, um als Spam-Schleudern unerwünschte Mails in die Welt zu bringen. Die dadurch entstehenden Botnetze werden oftmals auch dazu genutzt, um Distributed-Denial-of-Service-Angriffe (DDoS-Attacken) durchführen. Hier baut der lokale Bot eine Vielzahl von Verbindungen zum Opfer-System auf, um dieses, gemeinsam mit vielen Tausend anderen Bots, zum Versagen zu bringen und dessen Erreichbarkeit zu verhindern. Mehr dazu erfahren Sie in Kapitel 22 DoS- und DDoS-Angriffe, in dem wir uns den (D)DoS-Angriffen im Detail zuwenden.
Aus diesen Gründen sollten Sie verdächtige Systeme auch immer auf ihre Netzwerkaktivitäten überprüfen. Das Bordmittel hierfür ist in erster Linie Netstat. Mit netstat -nap tcp lassen Sie sich auf einem Windows-System numerisch (-n) alle gebundenen TCP-Ports (-p tcp), egal in welchem Status sich diese befinden (-a), anzeigen. Abbildung 13.15 zeigt den Befehl inklusive Ausgabe in der Eingabeaufforderung.
Natürlich sollten Sie sich die gebundenen Ports genau anschauen und ggf. recherchieren, welche Ports zu bekannten Anwendungen gehören und welche nicht. Darüber hinaus können die hergestellten Verbindungen ebenfalls sehr aufschlussreich sein. Suchen Sie einfach einmal nach den angezeigten Remote-IP-Adressen im Internet. Wenn Ihnen da eine Adresse merkwürdig vorkommt, sollten Sie dieser Verbindung auf den Grund gehen. Mit dem zusätzlichen Parameter -b können Sie sich den zu einer Verbindung zugehörigen Prozess anzeigen lassen – vorausgesetzt, Sie nutzen eine Administrator-Eingabeaufforderung.
Falls Sie sich die gebundenen Ports und Verbindungen auf einem Linux-System anschauen möchten, nutzen Sie den gleichen Befehl, allerdings mit anderen Optionen. So zeigt netstat -tlpn eine analoge Ausgabe zur Windows-Version wie oben dargestellt. Sollte netstat nicht mehr auf Ihrem Linux-System vorhanden sein, können Sie es durch den Befehl ss ersetzen, die Optionen bleiben gleich.
Sie können sich nicht zwangsläufig auf die Ausgabe von netstat verlassen. Fähige Malware patcht ggf. entweder das Tool oder verschleiert anderweitig die Ausgabe.
Eine erweiterte Übersicht bietet das kostenlose Programm CurrPorts von NirSoft. Sie können es von der Website des Herstellers www.nirsoft.net herunterladen. Wie Sie auf Abbildung 13.16 erkennen können, zeigt es übersichtlich die vorhandenen, gebundenen Ports sowie die aktiven Verbindungen und deren zugehörige Prozesse an.
Die Übersicht aktualisiert sich automatisch. Zu jedem Prozess wird der komplette Pfad zum Programm angezeigt. CurrPorts ermöglicht es zudem, unerwünschte Verbindungen zu schließen und Verbindungen über eine Logdatei aufzuzeichnen.
Ein umfassendes Tool zur Netzwerkanalyse ist Capsa von Colasoft. Unter www.colasoft.com/capsa werden mehrere Editionen angeboten. Im Gegensatz zu den teilweise recht teuren kommerziellen Versionen bietet die Freeware-Version einen leicht abgespeckten Funktionsumfang, der jedoch für einzelne Analysen im Rahmen der Malware-Erkennung nicht unbedingt ins Gewicht fallen muss. Auch für die Freeware-Version ist eine Registrierung und Aktivierung (mit einem Key, der Ihnen per Mail zugesandt wird) notwendig. Abbildung 13.17 zeigt das Programm mit dem Dashboard im Hauptfenster.
Die Einarbeitung geht recht schnell, auch wenn der Funktionsumfang von Capsa erheblich ist. Das Programm bringt diverse Auswertungsübersichten mit sich. Sogar eine Kommunikationsmatrix ist vorhanden, die verdeutlichen kann, welche Verbindungen die größte Bandbreite in Anspruch nehmen (siehe Abbildung 13.18).
Diese Auswertungsfunktionen ermöglichen es, leichter Zusammenhänge zu erkennen. Insbesondere bei einer Infektion mit einem Internet-Wurm kann dies eine wertvolle Hilfe bei der Identifikation der Malware bedeuten.
Ein universelles Netzwerk-Analysetool ist Wireshark. Der Netzwerk-Sniffer kann auch zur Malware-Analyse nutzbringend eingesetzt werden. In Kapitel 16 Network Sniffing mit Wireshark & Co. erhalten Sie eine fundierte Einführung zu Wireshark.
Last, but not least sollten Sie die DNS-Konfiguration und -Auflösung mithilfe von nslookup, dig und Co. prüfen. Zum einen gibt es Malware, die die eingetragenen DNS-Server-Adressen in der IP-Konfiguration manipuliert bzw. durch eigene ersetzt. Damit ist es möglich, DNS-Anfragen auf die vom Angreifer kontrollierten Server umzuleiten und die Antworten nach Belieben zu manipulieren. Zum anderen sollten Sie die Datei C:\Windows\System32\Drivers\etc\hosts prüfen. Sie ist für die lokale Namensauflösung zuständig und hat sogar eine höhere Priorität als die Auflösung via DNS-Server. Sind dort manipulierte Einträge vorhanden, so wird eine Verbindung zu dem betreffenden Host auf die in der Datei hosts eingetragene IP-Adresse aufgebaut. Im Beispiel in Abbildung 13.19 wird jeder Versuch, die Website www.hacking-akademie.de zu erreichen, auf die IP-Adresse 1.2.3.4 umgeleitet.
Darüber hinaus versuchen Schadprogramme häufig, mit C&C-Servern oder anderen Systemen im Internet in Verbindung zu treten, um Befehle zu erhalten, Daten hochzuladen oder Payload nachzuladen bzw. sich upzudaten. In der Regel werden hierzu entsprechende DNS-Namen aufgelöst, da dies viel flexibler ist, als eine IP-Adresse fest zu codieren. Möchten Sie verdächtige DNS-Aktivitäten feststellen, bietet sich neben dem Beobachten des Traffics via Wireshark & Co. der Einsatz spezialisierter Tools, wie z.B. DNSQuerySniffer von Nirsoft, an (siehe Abbildung 13.20).
Das kostenlose Programm fängt jeden DNS-Request ab und liefert detaillierte Informationen. Beachten Sie den horizontalen Scroll-Balken, den Sie sehr weit nach rechts ziehen können, um die aktuell nicht angezeigten Informationen sichtbar zu machen, siehe Abbildung 13.20.
13.2.4 Die Windows-Registrierung checken
In der Windows-Registrierungsdatenbank (oftmals einfach als »Registry« bezeichnet) können so ziemlich alle Aspekte von Windows gesteuert werden. Auch Programme legen hier ihre Informationen ab.
Nehmen Sie keine unbedarften Änderungen an der Registry vor! Sie stellt das Herzstück von Windows dar. Jede Änderung wird sofort aktiv. Erstellen Sie ggf. zunächst über den Registrierungs-Editor eine Sicherungskopie von der Registry, bevor Sie Änderungen vornehmen.
Die Registry besteht aus mehreren Hunderttausend Einträgen und ist hierarchisch aufgebaut. Die fünf Hauptschlüssel unterteilen die Registry grundlegend folgendermaßen:
HKEY_LOCAL_MACHINE (HKLM): Enthält Einstellungen, die für das gesamte System gelten.
HKEY_USERS (HKU): Enthält Einstellungen einzelner Benutzer. Jeder Benutzer auf dem System hat hier seinen eigenen Bereich unter seiner Benutzer-SID.
HKEY_CURRENT_USER (HKCU): Enthält eine Spiegelung von HKEY_USERS\<Benutzer-SID> und damit die Einstellungen des aktuellen Benutzers.
HKEY_CLASSES_ROOT (HKCR): Enthält die unterstützten Dateitypen. In neueren Windows-Versionen ist dieser Schlüssel virtuell und eigentlich aus anderen Stellen der Registry zusammengesetzt.
HKEY_CURRENT_CONFIG (HKCC): Ist eine Spiegelung auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current. Hier finden sich aktuelle Einstellungen zur Hardware des Systems.
Das Bordmittel, um die Registry zu betrachten und zu manipulieren, ist der Registrierungs-Editor (regedit.exe). Er enthält eine einfache Suchfunktion und ermöglicht das einfache Hinzufügen von Schlüsseln und Einträgen. Dabei werden verschiedene Eintragstypen, wie Zeichenfolgen, Binärwerte oder DWORD-Werte, unterschieden.
Die Suchfunktion zeigt die Fundstellen hintereinander an. Für den Sprung zur nächsten Fundstelle müssen Sie aktiv weitersuchen. Möchten Sie die Registrierung jedoch komfortabler durchsuchen, bietet sich der kostenlose RegScanner von Nirsoft an, zu finden unter www.nirsoft.net/utils/regscanner.html. Er zeigt alle Fundstellen in einer Liste an und erhöht somit die Übersicht darüber.
Haben Sie sich z.B. schon einmal gefragt, wo das Terminalprogramm PuTTY seine Daten speichert, obwohl es doch keine Installation unter Windows erfordert? Hierzu bedient es sich der Registry. Suchen wir im RegScanner nach dem Begriff »putty«, so finden wir zahlreichen Einstellungen, die PuTTY in der Registry für erstellte Profile speichert. Abbildung 13.22 zeigt, wo die IP-Adresse unseres Kali-Systems aus dem PuTTY-Profil Kali abgespeichert ist.
Um Änderungen an der Registry zu erkennen, bietet sich das sehr nützliche Tool Regshot an. Damit erstellen Sie eine Momentaufnahme der Registry und vergleichen diesen Stand zu einem späteren Zeitpunkt mit den aktuellen Einträgen. Das Delta wird in einem entsprechenden Report ausgegeben. So können Sie nachvollziehen, ob die Ausführung eines bestimmten Programms Spuren in der Registry hinterlassen hat, wenn Sie unmittelbar vor und nach der Ausführung jeweils einen »Regshot« erstellen und diese miteinander vergleichen.
Laden Sie das Tool Regshot von https://sourceforge.net/projects/regshot herunter und erstellen Sie einen ersten Shot Ihrer Registry. Führen Sie im Anschluss die portable Version von PuTTY aus und ändern Sie dabei etwas an den Einstellungen eines Profils. Erstellen Sie darauf einen zweiten Shot und vergleichen Sie zum Ende die beiden Momentaufnahmen miteinander. Abbildung 13.23 verdeutlicht die Vorgehensweise.
Nicht nur erwünschte Programme hinterlassen ihre Spuren in der Registry. Oftmals verewigt sich hier auch Malware. Es gibt zahlreiche Tools, die die Registry auf überflüssige oder verdächtige Einträge durchsuchen. Eines dieser Programme ist der CCleaner, den wir bereits früher erwähnt haben (www.ccleaner.com). Er ist aktuell und kann auch für Windows 10/11 verwendet werden, was leider für viele andere Tools nicht uneingeschränkt gilt. Der altehrwürdige RegCleaner wird seit vielen Jahren nicht mehr weiterentwickelt bzw. ist in das Nachfolgeprodukt JV16 Powertools eingeflossen (siehe Abbildung 13.24). Dieses kann zwar 60 Tage kostenlos getestet werden, erfordert dann aber eine kostenpflichtige Registrierung. JV16 Powertools ist eine Sammlung von Cleaner-Tools, wobei die Säuberung der Registry nur einen Teilbereich einnimmt. Das Programm JV16-Powertools greift ziemlich weit in das System ein und kann unter https://jv16powertools.com bezogen werden.
Ein auf Malware spezialisiertes Tool ist AdwCleaner (www.malwarebytes.com/adwcleaner). Das Programm darf im privaten und Small-Business-Umfeld kostenlos eingesetzt werden und erkennt sehr viele PUPs (Potential Unwanted Programs) bzw. PUAs (Potential Unwanted Applications). Dazu gehören Adware, Spyware und ähnliche Malware, die vielleicht nicht wirklich gefährlich, aber mindestens sehr lästig sind.
Das Programm HijackThis wurde von TrendMicro für Windows-Systeme entwickelt und wird derzeit als Fork von Alex Dragokas weitergeführt. Es ist auf https://github.com/dragokas/hijackthis, der GitHub-Seite des Projekts erhältlich. HijackThis überprüft, ob die Betriebssystem-Einstellungen von Malware manipuliert bzw. geändert wurden, und zeigt verdächtige Einträge in der Datei C:\Windows\System32\drivers\etc\hosts, in den Browsereinstellungen und der Registry an (siehe Abbildung 13.26).
Die Ergebnisse können optional in einer Textdatei gespeichert werden. Die verdächtigen Fundstellen können durch HijackThis gelöscht oder ggf. repariert werden.
Oftmals ist es nicht einfach, die Ausgabe von HijackThis zu interpretieren. Daher existieren im Internet diverse aktive Foren, in denen Sie Ihre Ergebnisse posten können, um die Einträge von erfahrenen Usern analysieren zu lassen. Auf der GitHub-Seite des Projekts finden sich Links zu entsprechenden Internet-Seiten. Über den Button AnalyzeThis im Tool gelangen Sie auf eine GitHub-Seite, auf der eine Anleitung zu finden ist, wie HijackThis-Logs aufbereitet und der Community bereitgestellt werden können, um Hilfe zu erhalten. Darüber hinaus gibt es Hilfe-Seiten, die Anleitungen zur Analyse der Ausgabe von HijackThis enthalten.
13.2.5 Autostart-Einträge unter Kontrolle
Einer der wichtigsten Punkte, die Sie in den Systemeinstellungen und in der Registry prüfen sollten, sind die Autostart-Einträge. Es gibt verschiedene Stellen in der Registry, in denen sich Malware einnisten kann, um beim Systemstart ebenfalls gestartet zu werden.
Während Sie bei Windows 7 noch über Eingabe von msconfig die Systemkonfiguration starten und dort die Autostart-Einträge kontrollieren konnten, wurde dieser Bereich bei Windows 10/11 in den Task-Manager ausgegliedert. Abbildung 13.27 zeigt das entsprechende Register.
Prinzipiell hat sich allerdings nichts geändert. Möchten Sie einen der Autostart-Einträge deaktivieren, klicken Sie mit der rechten Maustaste auf den Eintrag und wählen die Option Deaktivieren. Zum Aktivieren gehen Sie analog vor.
Mit Security Autorun erhalten Sie ein Freeware-Tool, mit dem Sie den automatischen Start von Komponenten überprüfen und Einträge ggf. löschen können. Das Programm prüft die üblichen Stellen in der Registry unter CurrentUser und Local Machine und kontrolliert darüber hinaus noch viele weitere Orte, in denen Komponenten festgelegt werden können, die unter bestimmten Bedingungen, insbesondere natürlich beim Systemstart, automatisch aufgerufen werden. Abbildung 13.28 gibt einen Einblick.
Ebenfalls ein hervorragendes Programm zur Analyse der Autostart-Einträge ist das Sysinternals-Tool Autoruns. Es listet alle automatisch beim Systemstart aktivierten Prozesse und ordnet diese dem jeweiligen Registry-Zweig zu. Das Tool ist sehr vielseitig. So ist es z.B. auch möglich, einen Prozess über das Kontextmenü genauer zu untersuchen, zu löschen oder mit VirusTotal prüfen zu lassen (siehe Abbildung 13.29).
Ist der Process Explorer installiert, können Sie ihn direkt über das Kontextmenü des entsprechenden Eintrags aufrufen und den Prozess weiterführend analysieren.
13.2.6 Windows-Dienste checken
Ein Dienst ist ein Programm, das in der Regel im Hintergrund läuft und Funktionen Dritten zur Verfügung stellt, z.B. der Druckdienst. Je nach Konfiguration startet der Dienst automatisch oder manuell. Dies machen sich insbesondere Trojaner gern zunutze. So könnte z.B. ein Backdoor-Programm als Windows-Dienst getarnt einen TCP-Port binden, über den ein Angreifer auf das System zugreifen kann.
Sie können sich mit Windows-Bordmitteln einen Überblick über die vorhandenen Dienste Ihres Windows-Systems verschaffen. Dazu benötigen Sie die Management-Konsole Dienste. Diese ist an verschiedenen Stellen im System integriert, u.a. in der Computerverwaltung oder in der Systemsteuerung. Sie können die Konsole auch direkt aufrufen über Eingabe von services.msc. Die Übersicht auf Abbildung 13.30 zeigt den Dienstnamen, eine Beschreibung und insbesondere, ob der Dienst gegenwärtig gestartet ist oder nicht (siehe Spalte Status). Der Starttyp bestimmt, ob und unter welchen Bedingungen ein Dienst gestartet wird. Dienste arbeiten im Kontext eines lokalen Benutzerkontos, das in der Spalte Anmelden als angezeigt wird.
In dieser Konsole können Sie die Dienste auch konfigurieren und z.B. den Starttyp ändern oder auch den zu verwendenden Benutzer anpassen. In jedem Fall sollten Sie einen gründlichen Blick in die Liste der aktiven Dienste werfen, um Einträge auszumachen, die ggf. nicht dorthin gehören. Die meisten Dienste verfügen über eine Beschreibung. Dienste ohne Beschreibung sind oftmals keine Microsoft-Dienste und sollten näher unter die Lupe genommen werden. Hierzu können Sie die Liste nach der Spalte Beschreibung sortieren.
Kommt Ihnen ein Eintrag verdächtig vor, so können Sie über Doppelklick darauf seine Eigenschaften aufrufen. Hier findet sich auch der Pfad zur EXE-Datei. In Abbildung 13.31 überprüfen wir einen verdächtigen Dienst namens GamingApp_Service, stellen aber fest, dass dieser Dienst offensichtlich zur MSI-NVIDIA-Grafikkarten-Software gehört. Eine kurze Recherche im Internet gibt uns Sicherheit, es hier mit einem regulären Dienst zu tun zu haben.
Auch für die Verwaltung der Dienste existieren zahlreiche Tools. Ein nützliches Freeware-Tool ist der Service-Manager von Martin Fuchs. Er ist auf www.foxplanet.de/servicemgr zum Download verfügbar und zeigt die Informationen zu den einzelnen Diensten übersichtlich an. Durch einfaches Setzen der entsprechenden Häkchen kann die Liste gefiltert werden, sodass z.B. nur aktive oder inaktive oder keine Microsoft-Dienste angezeigt werden.
Über den Button Administrative Aktionen können Dienste gestartet, gestoppt, konfiguriert und sogar entfernt werden. Abbildung 13.32 zeigt den Service-Manager in Aktion.
13.2.7 Treiber überprüfen
Malware nutzt gern Gerätetreiber, um sich und seine Aktivitäten zu verstecken. Ein »Treiber« ist ein Stückchen Software, das als Schnittstelle zwischen dem Betriebssystem oder der Anwendung auf dem Computer und einer bestimmten Hardware-Komponente dient und somit die Interaktion mit der physischen oder virtuellen Hardware ermöglicht.
Gelingt es einem Schädling, einen manipulierten Treiber im System zu installieren, so hat er unter Umständen auf einer kernelnahen Ebene Zugriff auf Systemfunktionen. Dies kann er nutzen, um seine Aktivitäten und Prozesse zu tarnen und weitere Komponenten zu installieren. Hier bewegen wir uns also bereits auf dem Level der Rootkits.
Möchten Sie sich die Systemtreiber Ihres Computers anschauen, stellt Windows als Bordmittel das Werkzeug Systeminformationen bereit, das Sie über Eingabe von msinfo32.exe aufrufen können. Unter Softwareumgebung finden sich die Systemtreiber, wie Abbildung 13.33 zeigt.
Der Standard-Pfad für Systemtreiber von Windows ist C:\Windows\System32\Drivers. Dieser Pfad ist durch restriktive Zugangsberechtigungen gut geschützt. Allerdings können Treiber auch an anderen Stellen im Dateisystem abgelegt und von dort aus aufgerufen werden.
Ein nützliches und kostenloses Tool, mit dem Sie sich die aktuell geladenen Treiber anschauen können, ist DriverView von Nirsoft (www.nirsoft.net/utils/driverview.html). Es zeigt diverse zusätzliche Informationen zu den Treibern an. Neben der Beschreibung und dem Hersteller (Company) finden Sie die Treiber-Version sowie einige Low-Level-Daten wie die Speicheradresse des geladenen Treibers.
Eine interessante Funktion von DriverView ist die Möglichkeit, Microsoft-Treiber auszublenden, um eine bereinigte Liste aller externen Treiber zu erhalten. Hier wird es in der Regel interessant. Insbesondere Treiber ohne Beschreibung, Version und andere Metadaten sollten Sie genauer in Augenschein nehmen. Aber Achtung: Es gibt auch virtuelle Gerätetreiber, die ganz regulär zum Einsatz kommen, aber keine Metadaten zur Verfügung stellen. In Abbildung 13.34 findet sich ein Eintrag für ftser2k.sys, der zunächst einmal verdächtig aussieht. Eine Internet-Recherche ergibt jedoch, dass es sich um einen virtuellen Treiber für einen Serial-to-USB-Adapter handelt, der serielle Anschlüsse über einen USB-Port bereitstellt, wie sie z.B. für die Erstkonfiguration von Netzwerk-Komponenten wie Switches und Router verwendet werden. Wichtig ist also, verdächtige Treibereinträge zunächst im Internet zu recherchieren.
Verschiedene Anbieter stellen Driver-Update-Utilities zur Verfügung. Dazu gehören z.B. Intel Driver Update Utility, Driver Booster Free, WinZip Driver Updater und viele mehr. Der Vorteil dieser Tools liegt darin, dass automatisch veraltete Treiber aktualisiert werden.
Allerdings gibt es auch schwarze Schafe. Ein Tool, das sich schlicht DriverUpdate nennt, erkennt z.B. ständig veraltete Software, wie Java, Flash-Player und so weiter, die angeblich aktualisiert werden muss. Nachgeladen werden jedoch keine aktuellen Treiber bzw. Updates, sondern eher unerwünschte Programme, also Potential Unwanted Programs (PUPs). Diese »hijacken« den Browser, sorgen für Banner-Werbung, bringen weitere Fake-Meldungen auf den Bildschirm und so weiter. Vorsicht also bei derartigen kleinen Helfer-Tools, die Sie sich auf den Rechner laden. Es ist grundsätzlich sicherer, die Treiber von den Herstellerseiten direkt herunterzuladen.
13.2.8 Integrität der Systemdateien prüfen
Im Zusammenhang mit den Gerätetreibern ist eine spannende Frage, wie wir prüfen können, ob Systemdateien geändert wurden. Zu diesem Zweck hat Microsoft wichtige Systemdateien und Treiber digital signiert, sodass Änderungen an diesen Dateien einfach erkannt werden können.
Zur Prüfung der Signaturen stellt Windows das Programm Dateisignaturverifizierung bereit, das Sie über Eingabe von sigverif.exe aufrufen können. Das Ergebnis der Prüfung wird in einer Textdatei namens SIGVERIF.TXT erfasst und kann aus dem Programm heraus aufgerufen werden (siehe Abbildung 13.35).
Sollte die Dateisignaturverifizierung zu dem Ergebnis kommen, dass einzelne Treiber und Dateien nicht signiert sind oder ihre Signaturen nicht geprüft werden konnten, ist Vorsicht angesagt. Hier sollten Sie in einer Einzelprüfung jeden verdächtigen Eintrag untersuchen.
13.2.9 Datei-Integrität durch Prüfsummen-Check
Oftmals werden durch Schadsoftware Dateien ohne Zutun und Wissen des Anwenders modifiziert. Dieses Verhalten kann allerdings durch einen Integritätscheck der Dateien schnell und zuverlässig aufgedeckt werden.
Wie Sie bereits in Kapitel 5 Kryptografie und ihre Schwachstellen gesehen haben, können Sie mit Hash-Funktionen Prüfsummen über beliebige Dateien bilden. Wenn Sie diese Hashwerte archivieren und zu einem späteren Zeitpunkt erneut eine Prüfsumme bilden, können Sie die Werte miteinander vergleichen und damit verifizieren, ob diese sich unterscheiden. Ist das der Fall, wurde die Datei modifiziert.
Für Windows-Systeme gab es von Microsoft ein Tool mit dem Namen FCIV (File Checksum Integrity Verifier), leider wird dies nicht mehr angeboten. Eine Alternative ist WinMd5.exe, das auch als WinHashbezeichnet wird. Es ist unter der folgenden URL zum freien Download verfügbar: https://github.com/tualatin/winmd5checksum/releases.
Das Tool ist sehr einfach, aber nützlich. Dateien können ausgewählt und einzeln importiert, oder per Drag & Drop in die Oberfläche gezogen werden. WinHash unterstützt diverse Hash-Algorithmen, die wir wahlweise aktivieren oder deaktivieren können. Meistens reicht eine einzelne Checksumme.
In unserem Beispiel haben wir ein Testverzeichnis mit drei Textdateien erstellt und diese per Drag & Drop in das Programm importiert. Nach Klick auf Start werden die Hashwerte berechnet und über den Speichern-Button werden die Hashwerte zu den jeweiligen Dateien im selben Ordner gespeichert (siehe Abbildung 12.36).
Über den roten X-Button kann die Liste anschließend wieder geleert werden. Die Hashwert-Dateien können (manuell) auch in einem zweiten Schritt an einem anderen Ort gesichert werden, um sie vor Manipulation zu schützen. Sollte jetzt eine der Dateien geändert werden, wirkt sich das auch bei der geringsten Änderung auf den jeweiligen Prüfsummenwert aus. Der alte Hashwert aus der gespeicherten Datei wird in der Spalte Compare eingetragen und ermöglicht eine einfache Vergleichsprüfung. In Abbildung 12.37 sehen wir, wie sich das dann darstellt.
WinHash ist ein kleines Tool, das es ermöglicht, für einzelne Dateien Hashwerte zu erstellen und diese zu prüfen. Sobald es sich um mehr als ein paar einzelne Dateien handelt, ist das Tool jedoch nicht mehr ausreichend.
13.2.10 System-Integrität mit Tripwire sichern
Für einen umfassenden Schutz vor unerwünschten Veränderungen von Dateien benötigen wir einen Ansatz, der automatisch alle gewünschten Dateien und Verzeichnisse als Hashwerte erfasst und regelmäßig abgleicht. Hierfür gibt es spezielle, ausgereifte Tools.
Mit Tripwire können wir die Datei-Integrität auf einem Linux-System sicherstellen. Der Programmcode zu dieser Software wurde ursprünglich von Tripwire Inc. entwickelt und später in einer Enterprise-Version vom Unternehmen kostenpflichtig weitergeführt. Nachdem allerdings im Jahr 2000 der Quellcode veröffentlich wurde, steht er als freie Software unter dem Namen Open Source Tripwire zur Verfügung. Mehr Informationen erhalten Sie auf der entsprechenden GitHub-Seite des Projekts: https://github.com/Tripwire/tripwire-open-source.
Open Source Tripwire funktioniert als hostbasiertes Intrusion-Detection-System (HIDS) und überprüft definierte Dateien auf Veränderungen. Dazu führt die Software bei der ersten Ausführung einen Scan nach den von Ihnen festgelegten Regeln durch, erstellt Prüfsummen für alle erfassten Dateien und speichert diese Informationen in einer Datenbank. Zu späteren Zeitpunkten werden die Dateien erneut gescannt und mit den früheren Ergebnissen der Datenbank verglichen. Dieses Prinzip kennen Sie bereits von FCIV.
Tripwire ist ein Programm, das sehr viel Tuning und Optimierungsaufwand benötigt. Um Tripwire zu optimieren, benötigen Sie Zeit, um die Konfigurationsdatei entsprechend Ihren Anforderungen anzupassen. In der Praxis haben Sie erfahrungsgemäß mit zahlreichen False Positives zu kämpfen, also ein Zustand, der fälschlicherweise als Bedrohung erkannt wird. Tripwire ist daher hauptsächlich in eher statischen Umgebungen nützlich.
Ein weiterer Nachteil ist, dass Tripwire die Prüfungen mittels Cronjob nur in periodischen Abständen vornimmt, sodass es einem Angreifer möglich ist, zwischen den Prüfungen Dateien zu manipulieren und vor der nächsten Prüfung den Ausgangszustand wiederherzustellen.
13.4 Schutz durch Sandbox
Als Kinder konnten wir uns im Sandkasten austoben. Analog dazu stellen wir einen solchen virtuellen Sandkasten für potenzielle Malware bereit, damit sie sich beim Start austoben kann, ohne Schaden am System anzurichten.
Eine sogenannte Sandbox (englisch für Sandkasten) bezeichnet einen speziell isolierten Bereich innerhalb eines Systems. Ereignisse in diesem Bereich haben keine Auswirkung auf die äußere Umgebung. Diese abgeschotteten Bereiche können Sie zum Beispiel zum Testen von Anwendungen nutzen, aber auch, um potenzielle Schadsoftware auszuführen, ohne Ihrem System zu schaden. Darüber hinaus können Sie das Verhalten einer Datei bzw. eines Programms in der Sandbox protokollieren und analysieren, um die Wahrscheinlichkeit festzustellen, mit der es sich um Malware handelt.
13.4.1 Sandboxie
Es gibt mehrere Möglichkeiten, eine solche Sandbox auf Ihrem System einzurichten. Eine davon ist die Installation der Software Sandboxie. Sie können das Tool unter https://sandboxie-plus.com/ herunterladen. Früher war es ein kommerzielles Produkt. Seit einiger Zeit wird es als Freeware-Tool angeboten und ist mittlerweile in zwei Varianten verfügbar: Sandboxie Classic und Plus. Letzteres nutzt eine modernere QT-basierende Oberfläche. Während der Installation bekommen Sie weitere Informationen zur Funktionsweise und zur Bedienung von Sandboxie angezeigt.
Sie können Sandboxie nutzen, um z.B. einen Browser isoliert zu starten. Somit schützen Sie sich beim Surfen auf Seiten mit potenziell schadhaften Inhalten. Oftmals kann es auch Sinn machen, Ihren E-Mail-Client in einer Sandbox auszuführen, um beispielsweise fragwürdige Anhänge zu öffnen. Ein weiterer Anwendungsfall sind Programm-Downloads aus nicht einhundertprozentig sicheren Quellen. Weitere Anwendungsfälle können Sie mit Sicherheit für sich ableiten: Immer dann, wenn Sie »auf Nummer sicher« gehen wollen, starten Sie das betreffende Programm innerhalb einer Sandbox. Damit haben Sie einen einfachen, aber effektiven Schutz für Ihr System geschaffen.
Um ein Programm innerhalb einer Sandbox zu starten, klicken Sie mit der rechten Maustaste auf das Objekt Sandbox DefaultBox und wählen dort die entsprechende Option aus, wie in Abbildung 13.39 gezeigt.
Durch einen gelben Rahmen um die Applikation können Sie erkennen, ob eine Ausführung innerhalb der Sandbox stattfindet. In Abbildung 13.40 haben wir HijackThis in einer Sandbox gestartet.
Handeln Sie sich nun Malware ein und starten diese innerhalb einer Sandbox, hat sie keine Chance, sich im System zu etablieren. Löschen Sie die Sandbox regelmäßig, so verschwinden gleichzeitig auch die Schadprogramme, ohne dass auf dem System Spuren zurückbleiben.
In Sandboxie können Sie auch mehrere Sandboxen getrennt unter verschiedenen Einstellungen betreiben. In den Einstellungen der einzelnen Sandboxes haben Sie diverse Möglichkeiten, Zugriffsrechte und Umleitungen in oder aus der Sandbox zu konfigurieren. Das Tool ist auf jeden Fall einen Blick wert. Testen Sie es doch auch mal, vielleicht gehört Sandboxie dann bald auch zu Ihrem Werkzeugkasten.
Ein Nachteil von Sandboxie ist die fehlende Protokollierung und Analyse der Ereignisse in der Sandbox. Tatsächlich bemerken Sie es unter Umständen nicht, wenn Malware ausgeführt wird, da sich die Anwendung in der Sandbox ganz normal verhält und das Hostsystem in keiner Weise beeinträchtigt oder manipuliert wird. Sandboxie ist also ein schützendes Programm für den Alltag, nützt uns im Rahmen der Malware-Erkennung und -Analyse aber nur bedingt.
13.4.2 Cuckoo
Eine vollwertige Malware-Analyse-Lösung auf Sandboxing-Basis ist Cuckoo (sprich: kuku). Sie ist Open Source und kann von https://cuckoosandbox.org bezogen werden. Abbildung 13.41 zeigt die Projekt-Webseite. Da die Host-Komponenten von Cuckoo in Python programmiert sind, ist eine entsprechende Python-Umgebung notwendig.
Die Installationsanleitung auf der Website bezieht sich auf Ubuntu-Linux, es werden jedoch auch macOS und Windows als Host-Plattformen unterstützt. Wie Sie sich denken können, basiert das Sandboxing bei Cuckoo auf virtuellen Maschinen. Daher werden diverse gängige Virtualisierungslösungen unterstützt, wie z.B. VMware, VirtualBox, Xen, KVM und so weiter.
Was macht Cuckoo nun eigentlich genau? Das System nimmt über die Kommandozeile oder ein Webinterface eine zu prüfende Datei bzw. ein Programm (»Sample« genannt) entgegen und führt dieses automatisch in der Sandbox, sprich: in einer virtuellen Maschine, aus. Neben normalen, ausführbaren Programmen und Skripts werden auch diverse Dateitypen, wie Office-, PDF- und andere Dateien unterstützt. Dazu müssen die entsprechenden Interpreter bzw. Programme in der VM installiert und mit den jeweiligen Dateitypen assoziiert sein.
Während der Ausführung werden für eine gewisse Zeitspanne (abhängig von der Konfiguration und der Laufzeit des Samples) alle Aktivitäten protokolliert und analysiert. Dabei kann der Analyst mit der VM interagieren und z.B. Eingaben vornehmen oder Mausklicks tätigen.
Zu den protokollierten Aktivitäten gehören die üblichen Verdächtigen:
Aufgerufene und erzeugte Prozesse
Angefragte DNS-Namen und Netzwerk-Verbindungen
Netzwerk-Mitschnitte (pcap-Dumps)
Ergebnis der Prüfung des Samples bei VirusTotal
Screenshots der VM
Zugriff auf Registry Keys
Zugriff auf Dateien
und vieles mehr
Im Ergebnis liefert Cuckoo ein Protokoll, das dem Analysten eine Einschätzung ermöglicht, ob es sich um Malware handelt oder nicht. Auf der einen Seite kann so ziemlich jeder Benutzer ohne vertiefte Kenntnisse auf einem konfigurierten Cuckoo-System eine automatische Analyse initiieren. Auf der anderen Seite liefert Cuckoo nicht einfach eine Antwort, »Sample ist Malware« oder »Sample ist keine Malware«, zurück. Das Ergebnisprotokoll muss interpretiert werden, sodass hier ein geschultes Auge erforderlich ist, um zu erkennen, ob es sich um Malware handelt oder nicht. Fundiertes Know-how ist also notwendig, um Cuckoo effektiv zu betreiben.
Cuckoo erfordert diverse Software-Pakete als Voraussetzung und muss aufwendig installiert und konfiguriert werden – es dauert einige Zeit, bis alle Komponenten korrekt installiert und konfiguriert sind. Eine Installationsanleitung und ein praktischer Workshop würden den Rahmen dieses Kapitel sprengen, daher möchten wir Ihnen an dieser Stelle Cuckoo zunächst nur als Produkt vorstellen und Ihnen vorschlagen, sich einmal näher mit dem Projekt zu beschäftigen.
13.6 Zusammenfassung und Prüfungstipps
Werfen wir einen Blick zurück: Was haben Sie gelernt, wo stehen Sie und wie geht es weiter?
13.6.1 Zusammenfassung und Weiterführendes
In diesem Kapitel haben wir thematisch am vorhergehenden Kapitel angeknüpft. Nachdem wir dort die verschiedenen Formen der Malware beschrieben und Ihnen zahlreiche Praxisbeispiele gezeigt haben, ging es in diesem Kapitel darum, wie Malware-Erkennung und -Analyse funktioniert. Tatsächlich gehört es ggf. auch zu den Aufgaben eines Penetration-Testers, herauszufinden, ob und wie ein System mit Malware infiziert ist. Als Security-Experte wird ein Ethical Hacker hinzugezogen, wenn es darum geht, Malware auf einem System zu finden und ggf. zu beseitigen.
Dabei haben wir zunächst die Möglichkeiten betrachtet, mit Anti-Malware-Produkten Schädlinge zu finden und zu eliminieren. Neben den herkömmlichen Virenscannern, die auf Endgeräten installiert sind, gibt es die Möglichkeit, Offline-Scans über Rescue-Disks durchzuführen, um die Erkennungsrate zu erhöhen. Außerdem bieten die meisten AV-Hersteller mittlerweile diverse zusätzliche Technologien und Dienste an, um den Computer zu schützen und Malware zu erkennen. Hierzu gehört die Verhaltensanalyse, die in modernen Lösungen oftmals in einer Sandbox durchgeführt wird.
Aber auch wenn die AV-Scanner nicht anschlagen, können erfahrene Security-Analysten verschiedene Aspekte der Systemumgebung prüfen, um festzustellen, ob eine Malware-Infektion vorliegt oder nicht. Dazu werden zahlreiche Systemkomponenten betrachtet. Angefangen von Prozessen, über die Netzwerkaktivität bis hin zu Treibern und Diensten, der Windows-Registrierung und den Autostart-Einträgen gibt es viele Stellen, an denen sich Malware im System einnisten kann.
Durch Prüfsummen in Form von Hashwerten können wichtige Systemdateien geschützt bzw. deren Manipulation oder Austausch einfach entdeckt werden. Neben manuellen Lösungen, wie FCIV (Windows) können Sie mit Tripwire (Linux) automatisiert die Systemintegrität prüfen lassen.
Mit Sheep-Dip-Systemen lassen sich Dateien und Programme im Detail prüfen, ohne die Integrität von Produktivsystemen zu gefährden. Sheep-Dip-Systeme können z.B. als virtuelle Maschinen eine isolierte Umgebung bereitstellen, in der potenzielle Malware gefahrlos auf Herz und Nieren geprüft werden kann. Sollte sich das »Sample« als gefährlich erweisen, ist es in der isolierten VM eingesperrt und kann keinen Schaden außerhalb anrichten. Die VM wird per Snapshot zurückgesetzt und ist somit auch wieder bereinigt.
Dieses Prinzip einer Sandbox wird in verschiedenen Szenarien verwendet. Mit Sandboxie ist es möglich, beliebige Programme in einer Sandbox isoliert zu starten, sodass das System keinen Schaden nehmen kann, wenn das Programm oder dessen Dateien infiziert sind. Cuckoo ist eine Open-Source-Lösung, mit der nach dem Sandboxing-Prinzip Samples ausgeführt und alle Systemaktivitäten automatisch protokolliert werden können. Das Aktivitäten-Protokoll dient dem Analysten dazu, zu entscheiden, ob es sich um Malware handelt oder nicht.
Aufgrund der vielfältigen Gefahren, Angriffsvektoren und Einfallstore ist es heutzutage notwendig, in professionellen Umgebungen eine Anti-Malware-Infrastruktur zu betreiben, deren Komponenten ineinandergreifen und miteinander kommunizieren. Zentrales Management und zentrale Scanning-Komponenten inklusive Sandboxing-Analyse und Prüfung in der Cloud ergänzen die traditionellen Virenscanner auf den Endgeräten sowie klassische Komponenten wie Firewalls und IDS/IPS.
Unter dem Strich helfen neben den Anti-Malware-Komponenten stringente Prozesse, das Härten der Systeme und insbesondere die Schulung der Mitarbeiter effektiv vor der Infektion mit Malware.
13.6.2 CEH-Prüfungsgstipps
Beim Thema Malware legt der CEH besonderen Wert auf die Schutzmechanismen. Sie sollten die Angriffsvektoren von Malware und die passenden Gegenmaßnahmen verstanden haben. Darüber hinaus geht es natürlich – wie immer – um Konzepte, Begriffe und wichtige Tools. Prägen Sie sich die Systemkomponenten ein, die bei Verdacht auf Schädlingsbefall überprüft werden sollten. Grundsätzliche Registry-Schlüssel sollten Ihnen ebenso bekannt sein, wie die Bedeutung der Manipulation der Datei hosts.
Stellen Sie sicher, dass Sie das Prinzip eines Sheep-Dip-Systems verstanden haben und wissen, wie das Sandboxing-Prinzip funktioniert. Schließlich sollten Sie verstanden haben, wie Malware-Bekämpfung funktioniert und welche konkreten Möglichkeiten Sie haben, um einen infizierten Computer zu säubern und zu retten.
13.6.3 Fragen zur CEH-Prüfungsvorbereitung
Mit den nachfolgenden Fragen können Sie Ihr Wissen überprüfen. Die Fragestellungen sind teilweise ähnlich zum CEH-Examen und können daher gut zur ergänzenden Vorbereitung auf das Examen genutzt werden. Die Lösungen zu den Fragen finden Sie in Anhang A.
Wie wird die Variante der Malware-Analyse genannt, bei der das Programm nicht ausgeführt wird?
Dynamische Malware-Analyse
Sandbox-Malware-Analyse
Statische Malware-Analyse
Passive Malware-Analyse
Mit welchem Werkzeug ist es bei der statischen Codeanalyse möglich, den Quellcode annähernd wiederherzustellen?
Decompiler
Sandbox
Netzwerk-Sniffer
Statischer Compiler
Assembler
Welches der folgenden Tools ist in der Lage, eine Programmdatei sehr einfach einer ersten statischen Analyse zu unterziehen, um ggf. Indikatoren einer Schadsoftware zu identifizieren?
UPX
ASPack
pestudio
Sigverif
Ihr System verhält sich seltsam: Die Festplatten-LED leuchtet ohne Unterbrechung, die Lüfter drehen hoch und irgendwie haben Sie das Gefühl, dass das ganze System langsamer ist als sonst. Sie befürchten einen Malware-Befall und starten einen Scan mit Ihrem installierten Virenscanner, doch dieser kann keine Schadsoftware identifizieren. Welches Vorgehen wäre der nächste logische Schritt?
Virencheck mit Rescue-Disc
Das System muss neu aufgesetzt werden.
Es sind keine weiteren Aktionen notwendig.
Einen Nmap-Scan durchführen
Wie können Sie die Funktion und die korrekte Einstellung Ihres Virenscanners überprüfen?
Mittels EICAR-Testdatei
Durch den CARO-Updater
Mit einer AVIRA-Testdatei
Mittels SIGVERIF-Scan
Was versteht man unter einem »geforkten« Prozess?
Ein Prozess, der sich als ein anderer tarnt
Ein Prozess, der sich immer wieder selbst startet
Ein Prozess, der andere Prozesse beendet
Ein Prozess, der von einem anderen Prozess aufgerufen wurde
Über welche Datei kann die lokale DNS-Auflösung unter Windows manipuliert werden?
Benutzer/AppData/local/DNS
Windows/System32/drivers/etc/hosts
Windows/System32/config/resolve
Windows/hosts
Mit welchem Befehl können Sie über die Windows-Eingabeaufforderung die TCP-Netzwerkzugriffe überprüfen und sich die dazugehörenden Prozesse anzeigen lassen?
systeminfo -tcp
netstat -tlpn
netstat -nabp tcp
netsh -all
Unter welchem Registrierungsschlüssel befinden sich die Einstellungen, die für das gesamte System gelten?
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
Mit welchem der folgenden Tools kann die Systemintegrität umfassend geprüft werden?
Sandboxie
Tripwire
Any-run
Sigverif
![[Bild]](../Images/Kap13_Malwareanalyse-statisch.jpg)
![[Bild]](../Images/Kap13_strings.jpg)
![[Bild]](../Images/Kap13_pestudio.jpg)
![[Bild]](../Images/Kap13_Kaspersky_Rescue-Disk.jpg)
![[Bild]](../Images/Kap13_EICAR-1.jpg)
![[Bild]](../Images/Kap13_EICAR-3.jpg)
![[Bild]](../Images/Kap13_Anwendungen.jpg)
![[Bild]](../Images/Kap13_processes.jpg)
![[Bild]](../Images/Kap13_conhost.jpg)
![[Bild]](../Images/Kap13_Process-Explorer.jpg)
![[Bild]](../Images/Kap13_putty_virustotal.jpg)
![[Bild]](../Images/Kap13_Process-Monitor.jpg)
![[Bild]](../Images/Kap13_procmon_putty-filter.jpg)
![[Bild]](../Images/Kap13_putty-netzwerk.jpg)
![[Bild]](../Images/Kap13_netstat.jpg)
![[Bild]](../Images/Kap13_currports.jpg)
![[Bild]](../Images/Kap13_Capsa.jpg)
![[Bild]](../Images/Kap13_capsa_matrix.jpg)
![[Bild]](../Images/Kap13_hosts.jpg)
![[Bild]](../Images/Kap13_DNSQuerySniffer.jpg)
![[Bild]](../Images/Kap13_regedit.jpg)
![[Bild]](../Images/Kap13_puttyreg.jpg)
![[Bild]](../Images/Kap13_Regshot.jpg)
![[Bild]](../Images/Kap13_jv16.jpg)
![[Bild]](../Images/Kap13_AdwCleaner.jpg)
![[Bild]](../Images/Kap13_HijackThis.jpg)
![[Bild]](../Images/Kap13_autostart.jpg)
![[Bild]](../Images/Kap13_Security_Autorun.jpg)
![[Bild]](../Images/Kap13_autoruns.jpg)
![[Bild]](../Images/Kap13_services.jpg)
![[Bild]](../Images/Kap13_services2.jpg)
![[Bild]](../Images/Kap13_Service-Manager.jpg)
![[Bild]](../Images/Kap13_systemtreiber.jpg)
![[Bild]](../Images/Kap13_DriverView.jpg)
![[Bild]](../Images/Kap13_sigverif.jpg)
![[Bild]](../Images/kap13_winmd5a.jpg)
![[Bild]](../Images/kap13_winmd5b.jpg)
![[Bild]](../Images/Kap13_sheepdipping.jpg)
![[Bild]](../Images/Kap13_Sandboxie.jpg)
![[Bild]](../Images/Kap13_Sandboxie2.jpg)
![[Bild]](../Images/Kap13_cuckoo.jpg)