Bitdefender Hypervisor Introspection

Neue Sicherheitsarchitektur zum Endpunkt-Schutz

28.09.2016 von Arnd Westerdorf
Mit dem Sicherheitssystem Hypervisor Introspection will Bitdefender die Lücke zwischen raffinierten APTs und üblich reagierenden Malware-Lösungen schließen.

Der rumänische IT-Security-Spezialist Bitdefender, der seine Präsenz in Deutschland weiter ausbaut und hierzulande mit der Niederlassung im westfälischen Schwerte vertreten ist, veranschaulicht in einem Bericht die Funktionsweise und Vorteile seines Endpunkt-Sicherheitssystems Hypervisor Introspection, das zusammen mit dem Enterprise-Lösungsanbieter Citrix entwickelt wurde.

Bitdfender: Das Unternehmen von Mitgründer und CEO Florin Talpes erläutert seine HVI-Technologie.
Foto: Bitdefender GmbH

Vor dem Hintergrund des aktuellen Endpoint-Jahresreports des renommierten Ponemon Institutes, nach dem die meisten Organisationen und Unternehmen sich vor Zero-Day-Angriffen und insbesondere davor fürchten, Zielscheibe eines Advanced Persistent Threats (APT) zu werden, erteilt Bitdefender hier dem üblichen Schutz durch Anti-Malware-Lösungen, Netzwerk-Technologien, Log-Monitoring und Intrusion Prevention Systemen (IPS) eine Absage.

Dabei verweisen die Sicherheitsexperten auf immer raffiniertere Methoden der Cyberkriminellen wie etwa das Spear-Phishing, bei dem über getarnte eMails oder Social-Media-Kanäle vertrauenswürdiger Namen umfunktionierte Dateien oder Dokumente bei den Empfängern eingedrungen wird. Diese Betrugsmasche dient meist dem illegalen Abschöpfen von Geldern, Geschäftsgeheimnissen oder strategisch wertvollen Informationen.

ATPs tricksen Betriebssystem aus

„Solche Attacken gelten als schwierig aufspürbar, da Bedrohungen wie Rootkits oder Kernel Exploits das Betriebssystem oftmals austricksen, indem hinterlassene Spuren versteckt und auch Security-Lösungen getäuscht werden. Etwas aufzuspüren, dass weder vom Betriebssystem noch von Sicherheitsanwendungen gesehen werden kann, galt bisher als sehr schwierig, wenn nicht gar unmöglich“, betonen die Fachleute von Bitfender mit Hinweis auf die gewöhnliche Abfolge von Dateieninfizierungen über Angriffsvektoren wie Drive-by-Angriffen oder bösartigen PDF-Dateien, über implementierte Exploits, abgelegte Payload-Nutzdaten und schließlich den kompletten Remote-Zugriff auf und Eingriff in den Computer beziehungsweise in das damit verbundene Netzwerk.

Bitdefender Partner Summit, April 2016, Bukarest
Bitdefender Partner Summit 2016 Bukarest
Marcel Mayer, Prianto; Adriana Andrei, Bitdefender; Arnoud Postma, FlexVirtual
Bitdefender Partner Summit 2016 Bukarest
Alles Gewinner der Bitdefender-Partner-Awards. Unter anderem: Thomas Lautenschlager, Regionalmanager Süd bei Comparex; Mike Quittenden, QKomm; Christian Laube, ISPD; Wilhelm Klenne, Klenner.at; Volker Ladage, DCC und Martin Holzner, IF-Tech.
Bitdefender Partner Summit 2016 Bukarest
Keynote
Bitdefender Partner Summit 2016 Bukarest
Mike Quittenden, QKomm, beim Racing Event
Bitdefender Partner Summit 2016 Bukarest
Racing Event am Abend
Bitdefender Partner Summit 2016 Bukarest
Racing Event mit Frank Schäfer, Top21
Bitdefender Partner Summit 2016 Bukarest
Cristi Corabu, Bitdefender; Thomas Lautenschlager, Comparex; Christian Laube, ISPD; Martin Holzner, if-tech; Carsten Böckelmann, Mihai Guran und Florin Talpes, alle Bitdefender, beim Fechtraining (v.l.n.r.)
Bitdefender Partner Summit 2016 Bukarest
Ingo Neumann, IQSales und Thomas Krause,Bitdefender
Bitdefender Partner Summit 2016 Bukarest
Kai Thost, Lantana GmbH

In diesem Kontext warnt Bitfender vor dem allzu großen Vertrauen in die üblichen Sicherheits-Lösungen und den darauf basierenden Betriebssystem-Informationen: „Exploits auf Kernel-Ebene sowie Rootkits werden üblicherweise mit den gleichen Administrator-Rechten ausgeführt wie eine Security-Lösung. Manchmal können sie sich über die Endpoint-Protection-Lösung hinwegsetzen und kontrollieren das gesamte Betriebssystem. APTs nutzen solche Techniken, um für längere Zeit unentdeckt zu bleiben – manchmal sogar über Monate hinweg.“

Durch die Pattsituation zwischen Security-Software und APT bliebe die Erkennung praktisch dem Zufall überlassen, heißt es bei den Sicherheitsexperten von Bitdefender. Diese bringen nun ihre Technologie Hypervisor Introspection (HVI) ins Spiel, die direkt mit dem Raw Memory auf der Maschine arbeiten würde. Dies bedeutet laut Bitdefender, dass keine Malware, kein Stück Code und keine Aktion sich davor verstecken könne: „Wenn man von außerhalb des Betriebssystems auf den Speicher der Virtual Machine zugreift, ist dies nur über einen Hypervisor (in diesem Fall Citrix) möglich.“ Dabei stelle das Auswerten des Raw Memories und das Zusammenfügen zu einem Gesamtbild eine Innovation dar, die das bekannte „Kontext versus Isolation Dilemma" löse, betont Bitdefender.

Ring-1-Aktivitäten machen den Unterschied

Die Spezialisten vertiefen ihre Erläuterungen auf einer hochtechnischen Ebene, wonach HVI im Gegensatz zu anderen heuristischen Verfahren und zum laufenden Betriebssystem bösartige Aktivitäten auf Memory-Ebene erkennen würde. Hierbei kommt den Zugangsberechtigungen auf Ring-1-Ebene statt den üblichen Ring-0-, Root- oder Admin-Aktivitäten eine Schlüsselrolle zu. Diese bezieht keine Informationen vom Betriebssystem, die bei einem APT vorgetäuscht sind und einen Endpunkt-Schutz (Endpoint Protection Platform / EPP) geschickt umgehen, sondern ausschließlich vom Speicher.

Demnach hätten die bekanntesten APT-Angriffe mit der HVI-Technologie verhindert werden können. Anhand der Wirkungsweise der fatalen APTs Carbanak, Net Traveler, Turla und Wild Neutron wird der detaillierte Schutz erläutert. Die besagten Angriffe haben zahlreiche Computer infiziert, unter anderem in systemrelevanten und hochsensiblen Bereichen einzelner Staaten wie zum Beispiel Finanzen, Forschung, Luft- und Raumfahrt, Atomenergie und Militär - und das mit einem Schaden in Höhe mehrerer Milliarden US-Dollar.

HVI-Schutz hätte Angriffe verhindert

Nach Ansicht von Bitdefender hätte die HVI-Technologie bei den bekannten Attacken wie folgt präventiv gewirkt:

Am Schluss der HVI-Ausführungen stellen die Entwickler von Bitfender noch einmal die wichtigsten Vorteile der Technologie kurz dar. Kernpunkt ist der neue Security Layer, der sich auf Angriffstechniken und nicht auf bestimmte Schadprogramme konzentriert sowie unabhängig Raw Memory ausliest, ohne sich auf Informationen (APIs) des Betriebssystems zu verlassen. „Die Lösung kommt ohne Agenten aus und ist vollständig kompatibel mit bestehenden EPP-Lösungen“, betont Anbieter Bitdefender. Der Hersteller bietet übrigens Interessenten bei Rückfragen an die eMail-Adresse bitdefender@ffpr.de weiterführende Informationen an. (rw)