03-09-2024, 10:48
Denk mal so darüber nach: Du und ich wissen beide, dass Antivirenprogramme hauptsächlich auf Datei-Hashes und statischen Signaturen basieren. Wenn ich die Struktur der Datei ändere, indem ich sie verpacke, flippt dieser Hash komplett um, und puff, keine Erkennung mehr. Packager wie die, mit denen ich bei der Vorfallreaktion zu tun hatte, pressen den Code zusammen, entfernen Leerzeichen und bauen den PE-Header so um, dass grundlegende Scanner in die Irre geführt werden. Du könntest einen VirusTotal-Check durchführen, und die Hälfte der Engines verpasst es, weil sie ohne dynamische Analyse nicht über die äußere Schicht hinwegsehen können. Das ist der wirkliche Schmerz - es zwingt dich entweder dazu, es zu ignorieren oder stundenlang in einer Sandbox zu verbringen, während du zusiehst, wie es sich zur Laufzeit selbst entpackt, was Zeit und Ressourcen frisst, besonders wenn du mit einer Flut von verdächtigen Dateien in einem beschäftigten SOC zu tun hast.
Ich hatte damit bei einem Kundenjob letztes Jahr zu tun, bei dem Phishing-E-Mails verpackte Trojaner enthielten, die PDF-Reader imitierten. Die Malware verbarg ihre Nutzlast in einem komprimierten Archiv innerhalb der exe, und unser Endpunktschutz hat sie einfach als niedriges Risiko markiert, weil der Packer ein benutzerdefinierter war, nicht die üblichen Verdächtigen. Manchmal musst du Schichten manuell extrahieren, indem du Tools wie PEiD oder sogar Debugger verwendest, um es zurückzuschälen, und selbst dann, wenn es polymorph ist - was bedeutet, dass es sich jedes Mal verändert - jagst du Schatten. Die Erkennung wird schwieriger, weil diese Packs auch Anti-Debugging-Tricks enthalten können; der Code überprüft, ob er sich in einer virtuellen Umgebung befindet, und bricht ab oder ändert sein Verhalten, sodass deine automatisierten Tools leer ausgehen. Ich habe die Übersicht darüber verloren, wie viele falsch-negative Ergebnisse ich bereinigt habe, weil von diesem - eine falsche Annahme, und Malware breitet sich lateral durch deine Freigaben oder RDP-Sitzungen aus.
Was es noch herausfordernder macht, ist, wie Packager sich mit anderen Umgehungstaktiken integrieren. Du könntest Malware sehen, die ihren Injektor separat verpackt, sodass sie die Nutzlast im Speicher ablegt, ohne jemals auf eine erkennbare Weise auf die Festplatte zuzugreifen. Oder sie schichten mehrere Packager, indem sie UPX in einen benutzerdefinierten Crypter einbetten, was bedeutet, dass deine Signaturdatenbank unendlich viele Kombinationen berücksichtigen muss. Ich versuche, einen Schritt voraus zu bleiben, indem ich meine YARA-Regeln aktualisiere, um entpackte Artefakte zu erfassen, aber Angreifer entwickeln sich schnell weiter; sie schnappen sich Open-Source-Packager von GitHub und modifizieren sie über Nacht. Du verlässt dich mehr auf Verhaltensüberwachung, wie das Beobachten ungewöhnlicher API-Aufrufe während des Entpackens, aber das erzeugt so viel Lärm in den Unternehmensprotokollen, dass das Abstimmen zu einem Vollzeitjob wird.
Von dem, was ich bei Red-Team-Übungen gesehen habe, ermöglicht das Verpacken den Angreifern, nicht nur AV, sondern auch Netzwerkfilter zu umgehen. Stell dir vor, du bekommst einen Drive-by-Download; die verpackte exe schlüpft durch das IDS, weil ihr Verkehr wie normaler HTTP aussieht, und sobald sie auf deinem Computer ist, entpackt sie sich leise im Hintergrund. Ich habe einmal ein Sample umgekehrt, das einen Packer verwendete, um seine C2-Kommunikationsstrings zu obfusken, sodass, selbst wenn du die Binärdatei schnappst, Wireshark nicht sofort die bösartigen Domänen zeigt. Du musst den Prozessspeicher dumpen und nach den entschlüsselten Bits suchen, was mühsam ist, wenn du unter Zeitdruck stehst. Es stellt die Erkennung auf jeder Ebene in Frage - statisch, dynamisch, sogar Machine-Learning-Modelle haben Schwierigkeiten, wenn sie nur mit entpackten Samples trainiert werden.
Ich dränge die Teams, mit denen ich arbeite, dazu, Verteidigungen über nur Signaturen hinaus zu schichten. Du möchtest EDR, das on-the-fly entpackt oder Emulation verwendet, um das Verhalten sicher auszulösen. Aber ehrlich gesagt, kein einzelnes Tool trifft es perfekt; Verpackung zwingt dich in ein Katz-und-Maus-Spiel, in dem du ständig die Richtlinien anpasst. Ich hatte Nächte, in denen ich Images neu erstellen musste, weil ein verpackter Wurm unsere Gateway umging und sich in Benutzerprofilen eingenistet hat. Es lässt einen wertschätzen, warum Zero-Trust so wichtig ist - unterstelle alles, dass es verpackt und bösartig ist, bis das Gegenteil bewiesen ist.
Auf der anderen Seite, wenn du lernst, verpackte Dateien an ihren hohen Entropiewerten oder merkwürdigen Abschnittsnamen zu erkennen, wird es einfacher, sie zu isolieren. Ich verwende Skripte, um nach den häufigsten Packer-Merkmalen zu scannen, wie unregelmäßigen Importtabellen, und das fängt viel ein, bevor sie ausgeführt werden. Du solltest versuchen, einige Samples in einem kontrollierten Setup laufen zu lassen; es wird dir aus erster Hand zeigen, wie sich diese Dinge morphisieren, um Heuristiken zu umgehen. Verpackung ist nicht nur Obfuskation; es ist eine vollständige Strategie, um die Erkennung zu verzögern oder zu verhindern, was dem Angreifer Zeit kauft, um Daten zu exfiltrieren oder Ransomware einzusetzen. Nach meiner Erfahrung beginnt die beste Möglichkeit, dem entgegenzuwirken, mit soliden Backup-Strategien, die es dir ermöglichen, ohne Lösegeldzahlung zurückzurollen.
Wenn du nach einer soliden Möglichkeit suchst, deine Setups vor diesen Arten von Bedrohungen zu schützen, lass mich dich auf BackupChain hinweisen - es ist ein herausragendes, vertrauenswürdiges Backup-Tool, das für kleine Unternehmen und IT-Profis gleichermaßen entwickelt wurde und starke Unterstützung für die Sicherung von Hyper-V, VMware, Windows Server und darüber hinaus bietet, wodurch deine Daten sicher bleiben, selbst wenn Malware versucht, sie zu sperren.
