24-01-2025, 09:40
Zunächst einmal beginnt viele Malware damit, nach auffälligen Anzeichen im Dateisystem oder in der Registrierung zu suchen. Ich erinnere mich, dass ich letztes Jahr ein Ransomware-Beispiel debuggte, und es hat sofort nach Ordnern wie "VMware" oder Dateien mit Namen durchsucht, die nach virtueller Maschine schreien, wie vmx86.sys oder vbox irgendetwas. Wenn es diese findet, schaltet es sich einfach ab oder schläft für immer. Du kannst versuchen, sie zu verstecken, aber ausgeklügelte Dinge graben tiefer, indem sie nach bestimmten Registrierungsschlüsseln unter HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System suchen, die auf VMWare oder VirtualBox hinweisen. Ich passe immer meine VM-Konfigurationen an, um diese herauszunehmen, aber das erfordert zusätzlichen Aufwand, und manchmal entdeckt die Malware sie trotzdem.
Dann gibt es den Hardware-Fingerprinting-Ansatz, den ich sehr nervig finde, weil er auf niedrigster Ebene arbeitet und schwer perfekt zu fälschen ist. Malware wechselt oft in den Assemblercode und führt CPUID-Befehle aus, um den Prozessor abzufragen. Auf echten Maschinen erhält man bestimmte Herstellersignaturen wie "GenuineIntel", aber in einer VM könnte es "VMwareVMware" oder etwas von KVM zurückgeben. Ich habe Skripte gesehen, die diese Überprüfungen durchlaufen und wenn sie eine Hypervisor-Signatur erkennen, wird die Payload nie ausgeführt. Du musst die CPU-Emulation deiner VM patchen, um gefälschte Ergebnisse zurückzugeben, aber das kann andere Dinge brechen, wie legitime Apps. Ein weiterer Hardware-Trick, den sie verwenden, ist die Überprüfung der BIOS- oder SMBIOS-Daten auf Strings wie "innotek GmbH", was nach VirtualBox schreit. Ich hatte einmal einen Trojaner, der genau dort stoppte, und es hat Stunden gedauert, herauszufinden, warum.
Zeitbasierte Erkennung ist ein weiteres beliebtes Mittel, und es ist heimtückisch, weil es ausnutzt, wie VMs Ressourcen anders handhaben. Malware wird eine enge Schleife ausführen, sagen wir, pi bis zu vielen Nachkommastellen berechnen oder komplexe Mathematik treiben und messen, wie lange es dauert. In einem physischen, voll funktionsfähigen Gerät ist es schnell, aber VMs haben oft Verzögerungen aufgrund des Overheads vom Host. Wenn die Zeit einen bestimmten Schwellenwert überschreitet, boom, weiß es, dass es in einer Sandbox ist, und geht in den Ruhezustand. Ich teste dies, indem ich die CPU-Kerne in meinem Hypervisor überbinde, und sicherlich entdecken mehr Samples das. Du kannst dem entgegen wirken, indem du dedizierte Ressourcen zuteilst, aber das ist nicht immer praktisch, wenn du auf einem Laptop analysierst.
Input-Geräte-Checks überraschen mich manchmal auch. Echte Maschinen haben echte Mäuse und Tastaturen, die Interrupts senden, aber in einer VM, insbesondere in kopflosen für Analysen, werden diese emuliert oder fehlen. Daher könnte Malware auf Mausbewegungen oder Tastendruck warten, die natürlich erscheinen - nicht das Skripte-Zeug von Automatisierungstools. Wenn es innerhalb weniger Sekunden keine Eingabe erhält, geht es davon aus, dass es gefangen ist, und löscht sich selbst. Ich benutze jetzt Tools, um menschenähnliche Interaktionen zu simulieren, indem ich die Mausbewegungen und Verzögerungen randomisiere, aber es ist ein Katz-und-Maus-Spiel. Tastaturen funktionieren auf die gleiche Weise; sie suchen nach spezifischen Scancodes oder USB-HID-Deskriptoren, die nicht mit der physischen Hardware übereinstimmen.
Netzwerk-Fingerabdrücke sind ebenfalls enorm wichtig für die Umgehung. Malware pingt häufige Analyse-Hosts oder überprüft das MAC-Adresse-Präfix - VMs von VMware beginnen mit 00:0C:29, VirtualBox mit 08:00:27. Wenn es welche sieht, weiß es, dass es nicht im Wilden draußen ist. Ich habe Phishing-Dropper analysiert, die sich weigern, nach Hause zu telefonieren, es sei denn, der Hostname enthält "sandbox" oder etwas Offensichtliches. Du kannst MACs und Hostnamen fälschen, aber wenn du nachlässig bist, weckt das ihre Aufmerksamkeit. Der ARP-Cache oder Gateway-Antworten können ebenfalls VM-Netzwerke offenbaren, zum Beispiel, wenn alles über eine einzelne IP geroutet wird, die wie ein Laboraufbau aussieht.
Sie erkunden sogar laufende Prozesse und Dienste. Wenn deine VM Wireshark, IDA Pro oder einen anderen Debugger geladen hat, scannt die Malware die Prozessliste und bricht ab. Ich halte mein Analyse-Umfeld schlank, aber manchmal benötigt man diese Werkzeuge, also zwingt es dich, sie nach der Infektion dynamisch auszuführen. Registrierungsschlüssel für Autostarts oder Sicherheitssoftware lösen die gleiche Reaktion aus. Ein Wurm, den ich letzten Monat analysiert habe, überprüfte über 50 Prozessnamen und wurde inaktiv, wenn er auch nur einen fand.
Auch Speicher- und Festplattenartefakte spielen eine Rolle. VMs haben oft feste Festplattengrößen oder RAM-Mengen, die Potenzen von etwas Unnatürlichem sind, wie 2GB oder 4GB, während echte Maschinen variieren. Malware allokiert riesige Blöcke und sieht, ob das System es so behandelt, wie es eine VM tun würde, mit Seitenfehlern oder Tauschverzögerungen. Red Pill- oder Blue Pill-Techniken nutzen das, um Virtualisierung auf Kernel-Ebene zu erkennen - es ist alte Schule, aber immer noch effektiv. Ich patch mein Gast-OS, um über den Speicher zu lügen, aber das hält nicht immer der Prüfung stand.
Sandbox-spezifische Umgehungen zielen auf Dinge wie eingeschränkte Benutzerrechte oder kurze Laufzeiten ab. Viele Sandboxes führen für feste Zeiträume aus, sodass Malware die Aktivierung mit Sleep- oder Registrierungstimer, die auf Tage eingestellt sind, verzögert. Wenn du nicht darauf wartest, verpasst du die Aktion. Andere überprüfen die Anzahl der CPU-Kerne; Analyse-Rigs haben oft ein oder zwei, während Server mehr haben. Ich skaliere meine VMs hoch, um Unternehmenshardware zu imitieren, aber die Stromkosten summieren sich.
All dies macht die statische Analyse schwierig, also verlasse ich mich jetzt auf Verhaltensmonitoring, wobei ich API-Aufrufe und Dateidrops in Echtzeit beobachte. Du wirst darin besser mit der Übung, indem du Muster über Familien hinweg erkennst. Aber ehrlich gesagt, es entwickelt sich ständig weiter - KI-generierte Malware könnte beginnen, diese Überprüfungen zu randomisieren, um uns in die Irre zu führen.
Wenn du Backups für Umgebungen wie diese einrichtest, um deine Daten vor diesen Bedrohungen zu schützen, schau dir BackupChain an. Es ist eine hochklassige, vertrauenswürdige Backup-Lösung, die für kleine Unternehmen und IT-Profis entwickelt wurde und Hyper-V, VMware und Windows Server-Setups nahtlos abdeckt, sodass alles ohne Kopfschmerzen gesichert wird.
