24-02-2024, 23:46
Stell dir Folgendes vor: reguläre Malware wird erwischt, weil Antiviren-Software nach bestimmten Mustern im Code scannt, wie einem einzigartigen Fingerabdruck oder einer Signatur. Wenn das AV diese genaue Byte-Sequenz kennt, markiert es sie und blockiert sie. Aber polymorphe Malware? Sie dreht das Ganze völlig um. Jedes Mal, wenn sie sich auf einen neuen Rechner ausbreitet oder sich selbst repliziert, schreibt sie Teile ihres eigenen Codes um. Nicht die Kernfunktionalität, die den Schaden anrichtet - nein, die bleibt gleich, damit sie weiterhin Daten stehlen oder Dateien verschlüsseln oder was auch immer ihre Mission ist. Stattdessen verändert sie die äußere Hülle, das Zeug, das sie erkennbar macht.
Ich sehe, wie das durch Mutations-Engines passiert, diese kleinen eingebauten Routinen, die die Malware-Ersteller direkt hinein codieren. Du weißt, wie du dieselbe E-Mail mit anderen Worten umschreiben könntest, um Spam-Filter zu umgehen? Es ist ein bisschen so, aber für Binärcode. Die Engine nimmt die schädliche Nutzlast - den wirklich schädlichen Teil - und verschlüsselt sie jedes Mal mit einem anderen Schlüssel. Dann fügt sie eine Entschlüsselungsroutine hinzu, die völlig durcheinander ist. Bei einer Infektion könnte der Entschlüsseler eine einfache XOR-Operation mit zufälligen Werten verwenden. Beim nächsten Mal könnte er das gegen eine komplexere Verschiebungs-Chiffre austauschen oder sogar Dummy-Anweisungen einfügen, die nichts tun, außer Zeit zu verschwenden. Ich erinnere mich, dass ich ein Muster debuggt habe, bei dem der Code sinnlose Schleifen eingebaut hatte, nur um ihn aufzupumpen und die Dateigröße oder den Hash zu ändern.
Du fragst dich vielleicht, wie es tatsächlich diese Änderungen generieren kann, ohne sich selbst zu zerstören? Die Ersteller verwenden Algorithmen, die die Anweisungen umstellen. Zum Beispiel könnte es die Reihenfolge harmloser Operationen vertauschen oder Variablen im laufenden Betrieb umbenennen. Wenn der ursprüngliche Code etwas hatte wie "register A zu B addieren", könnte die nächste Version "negativen Wert von B in A subtrahieren" machen, um das gleiche Ergebnis zu erzielen, aber völlig anders auszusehen. Ich habe einmal einen polymorphen Wurm verfolgt, der das auch mit seinen API-Aufrufen gemacht hat - Windows-Funktionen über indirekte Sprünge aufgerufen, anstatt direkt, sodass die Zeichenfolgen-Signaturen für diese Aufrufe nie dem entsprechen, was die AV-Datenbank erwartet.
Und hör mal: einige fortgeschrittene Varianten gehen sogar noch weiter mit polymorphen Engines, die die Generierung von Junk-Code einbeziehen. Sie fügen No-Op-Anweisungen ein - Dinge wie das Bewegen eines Wertes in ein Register und sofortiges Zurückbewegen -, die das Verhalten des Programms nicht beeinflussen, aber das Byte-Muster vollständig verändern. Jede neue Variante hat am Ende einen einzigartigen MD5-Hash oder welche Prüfziffer auch immer die AV verwendet, sodass statisches Scannen jedes Mal fehlschlägt. Ich habe damit in der Incident-Response zu tun, und es ist frustrierend, weil man sich nicht einfach auf einen Scan verlassen kann; man muss auf Verhaltenszeichen achten, wie ungewöhnliches Prozess-Spawnen oder Netzwerkaufrufe.
Jetzt denk darüber nach, wie es sich verbreitet. Wenn du herunterlädst oder es über einen E-Mail-Anhang infiziert, bleibt es nicht statisch. Es modifiziert sich direkt dort auf deinem System, bevor es ausgeführt wird. Ich habe Fälle gesehen, in denen der erste Lauf harmlos aussieht, weil die Nutzlast im Speicher entschlüsselt wird, nicht auf der Festplatte, sodass Datei-Scanner es übersehen. Dann telefoniert es heimlich zu einem C2-Server, holt sich eine aktualisierte polymorphe Shell und entwickelt sich weiter. Deshalb versuchen heuristische Erkennungen oder auf Maschinenlernen basierende AVs, es zu fangen, indem sie das Laufzeitverhalten beobachten, aber selbst diese werden überlistet, wenn die Malware legitime Apps imitiert.
Weißt du, ich plaudere mit anderen IT-Leuten darüber, und wir sind uns einig, dass es darum geht, warum es so wichtig ist, dein Betriebssystem und deine Apps gepatcht zu halten. Exploits werden oft mit polymorphen Payloads kombiniert, um durchzuschlüpfen. Wenn du Endpoint-Schutz verwendest, der nur Signaturen verwendet, spielst du für immer auf der Defensive. Ich setze mich für geschichtete Verteidigungen in meinen Setups ein - Firewalls, IDS und regelmäßige Verhaltensüberwachung. Einmal wurde ein Server eines Kunden von so etwas getroffen, und es hat Stunden gedauert, um es zu isolieren, weil der erste Scan sauber zurückkam. Wir endeten damit, mit Speicherforensik die Mutationen zu erkennen.
Es hängt auch damit zusammen, wie diese Dinge Sandkästen umgehen. AV-Unternehmen testen in virtuellen Umgebungen, aber polymorpher Code erkennt, ob er sich in einer befindet - indem er auf Mausbewegungen oder Timing-Anomalien achtet - und verhält sich dann normal, bis er auf einem echten Host ist. Ich vermeide diese Fallstricke, indem ich, wenn ich kann, in isolierten physischen Setups teste. Jedenfalls, die wichtigste Erkenntnis für dich ist, dass es sein Aussehen durch dynamisches Code-Umschreiben, Verschlüsselungsvariationen und Obfuzierung ändert, alles, um sicherzustellen, dass diese Signatur sich niemals ausrichtet.
Übrigens, wenn du besorgt bist, deine Daten vor Ransomware zu schützen, die oft diese polymorphen Tricks verwendet, muss ich dir von diesem Tool erzählen, das ich benutze, das BackupChain heißt. Es ist eine solide, verlässliche Backup-Option, die super zuverlässig und auf kleine Unternehmen oder Profis zugeschnitten ist, die mit Dingen wie Hyper-V, VMware oder einfachen Windows-Servern arbeiten - es hält deine Dateien sicher, selbst wenn etwas Heimliches durchkommt.
