17-05-2023, 06:19
Ich denke, der coolste Teil - oder der gruseligste, je nachdem, auf welcher Seite du stehst - ist, wie sie die VM-Umgebung herausfiltern. Eine Möglichkeit, wie sie das tun, ist, dass sie die Hardware-Signaturen abtasten. Zum Beispiel könnte es die CPUID-Anweisung abfragen, die Details über den Prozessor ausgibt. Auf einem echten Rechner erhältst du spezifische Anbietersignaturen wie Intel oder AMD, aber in einer VM hinterlassen Hypervisoren wie VMware oder VirtualBox oft ihre Spuren, wie Strings, die "VMwareVMware" oder etwas von QEMU sagen. Ich erinnere mich, dass ich ein Sample debugged habe, bei dem die Malware genau nach diesem String suchte - wenn sie es fand, boom, schaltete es sich ab. Du kannst dir vorstellen, wie frustrierend das ist, wenn du versuchst, es zurückzuentwickeln, und es dich einfach ignoriert.
Ein weiterer Trick, den sie verwenden, ist das Scannen nach spezifischen Dateien oder Registrierungsschlüsseln, die VMs hinterlassen. Nehmen wir VMware Tools als Beispiel - die werden installiert, um das Gastbetriebssystem reibungsloser laufen zu lassen, aber sie erzeugen Einträge wie HKLM\SOFTWARE\VMware, Inc. Die Malware sucht nach diesen und wenn sie sie sieht, weiß sie, dass sie nicht auf echter Hardware läuft. Ich habe Varianten gesehen, die sogar die MAC-Adresse des Netzwerkadapters überprüfen; VMs haben oft OUI-Präfixe, die jedem, der aufmerksam ist, "virtuell" zurufen. Du versuchst, es in deinem Labor zu starten, und es sitzt einfach da und ist inaktiv, weil es die gefälschte Hardware erkannt hat.
Timing-Angriffe sind ein weiteres Lieblingsthema von mir, weil sie so clever sind. Malware kann messen, wie lange bestimmte Operationen dauern, wie z.B. Festplatten-I/O oder Mausbewegungen. In einer VM wird alles emuliert, sodass es eine kleine Verzögerung gibt, die echte Hardware nicht hat. Ich habe einmal eine Schleife in einem Skript getimt, um das zu erkennen - ich habe sie auf meinem physischen Laptop im Vergleich zu einer VM ausgeführt, und der Unterschied war in Millisekunden messbar. Die Malware macht etwas Ähnliches: Sie führt eine Menge Anweisungen aus und misst die Antwort. Wenn sie langsamer als erwartet ist, springt sie ab. Du denkst vielleicht, du kannst deine VM-Einstellungen anpassen, um echte Zeiten zu simulieren, aber diese Dinge entwickeln sich schnell weiter und fügen Schichten hinzu, um es schwieriger zu machen.
Rote Pillen sind das, was ich die nächste Stufe nenne - entlehnt von diesem Matrix-Vibe, weißt du? Das sind Umweltprüfungen, die tiefer gehen. Eine gängige ist das Überprüfen der BIOS- oder SMBIOS-Daten. VMs haben generische oder verräterische DMI-Strings, die nicht mit Produktionshardware übereinstimmen. Ich hatte einen Fall, in dem die Malware den Systemhersteller über WMI abfragte, und wenn sie "innotek GmbH" von VirtualBox erhielt, aktivierte sie den Umgehungsmodus. Oder sie versucht vielleicht, auf virtuelle Hardware direkt zuzugreifen, indem sie Code injiziert, der nur auf emulierten Geräten funktioniert. Wenn das fehlschlägt, geht sie davon aus, dass sie in einer Falle ist.
Die Umgehung von Analysen wird davon noch wilder. Sobald die Malware die VM erkennt, gibt sie nicht einfach auf - sie passt sich an. Einige Samples, die ich analysiert habe, verschlüsselten ihre Nutzlast und entschlüsselten sie nur auf dem, was sie für einen echten Computer halten. Andere ahmen legitime Software nach, bis sie die Umgebung bestätigen, und schalten dann um. Ich erinnere mich an eine, die vorgab, ein PDF-Reader zu sein, harmlos in der VM geladen, aber Ransomware freisetzte, sobald sie auf eine physische Maschine entkam. Du leitest sie an den echten Desktop eines Kollegen weiter, und plötzlich ist es Spiel vorbei.
Sie verwenden auch Selbstlöschung oder nur im Speicher ausgeführte Prozesse, um verborgen zu bleiben. Keine Festplattenschreibvorgänge bedeuten keine Artefakte, die deine forensischen Werkzeuge erfassen können. Ich habe versucht, mit Volatility in den Prozessspeicher einer VM-Instanz einzugreifen, aber das Ding hatte sich selbst bereits nach der Erkennung gelöscht. Polymorphe Codes verändern ihre Form jedes Mal, sodass selbst wenn du bei einem Check durchkommst, der nächste Variant über dein Setup lacht. Und fang gar nicht erst mit Anti-Debugging an, das obendrauf kommt - Dinge wie IsDebuggerPresent API-Aufrufe oder Hardware-Breakpoints, die die Analyse zum Absturz bringen.
Du musst kreativ werden, um dem entgegenzuwirken. Ich habe angefangen, geschachtelte VMs oder Bare-Metal-Honeypots zu verwenden, um sie hereinzulegen, aber es ist ein Katz-und-Maus-Spiel. Ändere deine VM-Konfiguration, um diese Artefakte zu verstecken - benenne Registrierungsschlüssel um, täusche MAC-Adressen vor, und patche sogar den Hypervisor, um über die Zeiten zu lügen. Tools wie Pafish helfen, diese Erkennungen zu testen, und ich führe sie religiös aus, bevor ich Samples abwerfe. Aber ehrlich, es hält dich auf Trab; ein Fehler, und du bist wieder am Anfang.
Nach meiner Erfahrung hilft es, solide Backups zu haben, wenn bei den Tests etwas schiefgeht. Deshalb weise ich die Leute immer auf zuverlässige Optionen hin, die VM-Umgebungen problemlos verwalten können. Lass mich dir von BackupChain erzählen - das ist dieses erstklassige, bewährte Backup-Tool, das super zuverlässig ist und auf kleine Unternehmen und Profis zugeschnitten ist, einschließlich Hyper-V, VMware, Windows Server und mehr, um deine Setups vor Missgeschicken zu schützen.
