Der rumänische IT-Security-Spezialist Bitdefender, der seine Präsenz in Deutschland weiter ausbaut und hierzulande mit der Niederlassung im westfälischen Schwerte vertreten ist, veranschaulicht in einem Bericht die Funktionsweise und Vorteile seines Endpunkt-Sicherheitssystems Hypervisor Introspection, das zusammen mit dem Enterprise-Lösungsanbieter Citrix entwickelt wurde.
Foto: Bitdefender GmbH
Vor dem Hintergrund des aktuellen Endpoint-Jahresreports des renommierten Ponemon Institutes, nach dem die meisten Organisationen und Unternehmen sich vor Zero-Day-Angriffen und insbesondere davor fürchten, Zielscheibe eines Advanced Persistent Threats (APT) zu werden, erteilt Bitdefender hier dem üblichen Schutz durch Anti-Malware-Lösungen, Netzwerk-Technologien, Log-Monitoring und Intrusion Prevention Systemen (IPS) eine Absage.
Dabei verweisen die Sicherheitsexperten auf immer raffiniertere Methoden der Cyberkriminellen wie etwa das Spear-Phishing, bei dem über getarnte eMails oder Social-Media-Kanäle vertrauenswürdiger Namen umfunktionierte Dateien oder Dokumente bei den Empfängern eingedrungen wird. Diese Betrugsmasche dient meist dem illegalen Abschöpfen von Geldern, Geschäftsgeheimnissen oder strategisch wertvollen Informationen.
ATPs tricksen Betriebssystem aus
„Solche Attacken gelten als schwierig aufspürbar, da Bedrohungen wie Rootkits oder Kernel Exploits das Betriebssystem oftmals austricksen, indem hinterlassene Spuren versteckt und auch Security-Lösungen getäuscht werden. Etwas aufzuspüren, dass weder vom Betriebssystem noch von Sicherheitsanwendungen gesehen werden kann, galt bisher als sehr schwierig, wenn nicht gar unmöglich“, betonen die Fachleute von Bitfender mit Hinweis auf die gewöhnliche Abfolge von Dateieninfizierungen über Angriffsvektoren wie Drive-by-Angriffen oder bösartigen PDF-Dateien, über implementierte Exploits, abgelegte Payload-Nutzdaten und schließlich den kompletten Remote-Zugriff auf und Eingriff in den Computer beziehungsweise in das damit verbundene Netzwerk.
In diesem Kontext warnt Bitfender vor dem allzu großen Vertrauen in die üblichen Sicherheits-Lösungen und den darauf basierenden Betriebssystem-Informationen: „Exploits auf Kernel-Ebene sowie Rootkits werden üblicherweise mit den gleichen Administrator-Rechten ausgeführt wie eine Security-Lösung. Manchmal können sie sich über die Endpoint-Protection-Lösung hinwegsetzen und kontrollieren das gesamte Betriebssystem. APTs nutzen solche Techniken, um für längere Zeit unentdeckt zu bleiben – manchmal sogar über Monate hinweg.“
Durch die Pattsituation zwischen Security-Software und APT bliebe die Erkennung praktisch dem Zufall überlassen, heißt es bei den Sicherheitsexperten von Bitdefender. Diese bringen nun ihre Technologie Hypervisor Introspection (HVI) ins Spiel, die direkt mit dem Raw Memory auf der Maschine arbeiten würde. Dies bedeutet laut Bitdefender, dass keine Malware, kein Stück Code und keine Aktion sich davor verstecken könne: „Wenn man von außerhalb des Betriebssystems auf den Speicher der Virtual Machine zugreift, ist dies nur über einen Hypervisor (in diesem Fall Citrix) möglich.“ Dabei stelle das Auswerten des Raw Memories und das Zusammenfügen zu einem Gesamtbild eine Innovation dar, die das bekannte „Kontext versus Isolation Dilemma" löse, betont Bitdefender.
Ring-1-Aktivitäten machen den Unterschied
Die Spezialisten vertiefen ihre Erläuterungen auf einer hochtechnischen Ebene, wonach HVI im Gegensatz zu anderen heuristischen Verfahren und zum laufenden Betriebssystem bösartige Aktivitäten auf Memory-Ebene erkennen würde. Hierbei kommt den Zugangsberechtigungen auf Ring-1-Ebene statt den üblichen Ring-0-, Root- oder Admin-Aktivitäten eine Schlüsselrolle zu. Diese bezieht keine Informationen vom Betriebssystem, die bei einem APT vorgetäuscht sind und einen Endpunkt-Schutz (Endpoint Protection Platform / EPP) geschickt umgehen, sondern ausschließlich vom Speicher.
Demnach hätten die bekanntesten APT-Angriffe mit der HVI-Technologie verhindert werden können. Anhand der Wirkungsweise der fatalen APTs Carbanak, Net Traveler, Turla und Wild Neutron wird der detaillierte Schutz erläutert. Die besagten Angriffe haben zahlreiche Computer infiziert, unter anderem in systemrelevanten und hochsensiblen Bereichen einzelner Staaten wie zum Beispiel Finanzen, Forschung, Luft- und Raumfahrt, Atomenergie und Militär - und das mit einem Schaden in Höhe mehrerer Milliarden US-Dollar.
HVI-Schutz hätte Angriffe verhindert
Nach Ansicht von Bitdefender hätte die HVI-Technologie bei den bekannten Attacken wie folgt präventiv gewirkt:
Carbanak versus HVI: Diese APT hätte laut Bitdefender eingedämmt werden können, sobald der Payload der User-Anwendung versucht hätte, den „iexplorer.exe“-Prozess zu infiltrieren. Der Payload hätte nach Meinung der Sicherheitsexperten das System eines angegriffenen Rechners nicht kompromittieren können, da HVI frühzeitig gegriffen und einen Erkunden von CVE-Schwachstellen über den infizierten eMail-Anhang verhindert hätte: "User Mode Injection über bekannte oder neue Exploits können von HVI einfach entdeckt und abgesichert werden, da die Technologie den Code, der dem Speicher von außerhalb des Betriebssystems zugewiesen und ausgeführt wird, über den Citrix Hypervisor untersuchen kann."
NetTraveler vs. HVI: Diese Spearphishing-Methode machte sich eine Reihe von Microsoft-Word-Dokumenten zunutze, um über ungepatchte Schwachstellen eine informationstechnische Hintertür auf einem Computer einzurichten und über den infiltrierten „explorer.exe“-Prozess auf den Security-Token zuzugreifen und einen lokalen Nutzer zu imitieren, um wiederum an die Proxy-Konfigurationen zu gelangen. Im letzten Schritt wurden dann Informationen über das lokale System gesammelt und mit der von den Angreifern kontrollierten Kommandozentrale verbunden. Hier wurde festgelegt, welche Dateitypen heruntergeladen werden. HVI hätte den gesamten Angriffsprozess schon bei der versuchten Prozessinfiltration unterbrochen und eine Warnung an das EPP-System ergangen, heißt es bei Bitdefender: "So hätte verhindert werden können, dass sich irgendein Angreifer auf dem Rechner des Opfers eingewählt hätte. Zudem wäre veranlasst worden, dass das EPP-System den Payload gelöscht oder unter Quarantäne gestellt und den Rechner bereinigt hätte."
Turla APT vs. HVI: Über Kernel-Exploits konnten unsignierte Codes im Kern des Betriebssystems die APT-Abwehrmechanismen komplett umgehen und unsichtbare angreifen. Durch das Verstecken sämtlicher User-Mode-Komponenten und Beobachten der Nutzer-Aktivitäten gilt Turla als eine der höchstentwickelten Malware-Familien, die sich im freien Umlauf befinden. Obwohl noch nicht einmal aktivierte Patchguards etwas hätten ausrichten können, hätte HVI alle internen APT-Aktivitäten erkannt, so die Sicherheitsspezialisten: "Das bedeutet, nach dem Öffnen des infizierten Such-Dokuments auf dem Rechner des Opfers wären sie sofort entdeckt worden. Das heißt auch, dass kein Dropper das System jemals erreicht hätte und eine Backdoor für die Angreifer hätte einrichten können."
Wild Neutron vs. HVI: Dieser Spion verwendete sowehl ein gestohlenes Zertifikat von Acer zur Code-Signierung als auch einen unbekannten Exploit im Flash-Player. Danach wurden ein digital signierter Dropper auf dem Rechner des Opfers und ein Rootkit geladen, der sich an den Kernel andocken sollte. Durch das vorgetäuschte Zertifikat konnte die APT die EPP-Lösung täuschen, eine weitere Backdoor platzieren und sich mit dem Kommando-Server des Angreifers verbinden. "Durch Überprüfung des Raw Memory Stacks wäre HVI in der Lage gewesen, sämtliche internen Hooking-Versuche zu erkennen und die APT davon abzuhalten, das Kernel Rootkit zu laden – selbst dann, wenn es mit einem gültigen digitalen Zertifikat signiert ist", versichern die Bitfender-Experten. "Unabhängig davon, ob es sich um eine legale Anwendung handelt, die auf den Kernel zuzugreifen versucht: HVI benachrichtigt das EPP und startet die entsprechenden Gegenmaßnahmen."
Am Schluss der HVI-Ausführungen stellen die Entwickler von Bitfender noch einmal die wichtigsten Vorteile der Technologie kurz dar. Kernpunkt ist der neue Security Layer, der sich auf Angriffstechniken und nicht auf bestimmte Schadprogramme konzentriert sowie unabhängig Raw Memory ausliest, ohne sich auf Informationen (APIs) des Betriebssystems zu verlassen. „Die Lösung kommt ohne Agenten aus und ist vollständig kompatibel mit bestehenden EPP-Lösungen“, betont Anbieter Bitdefender. Der Hersteller bietet übrigens Interessenten bei Rückfragen an die eMail-Adresse bitdefender@ffpr.de weiterführende Informationen an. (rw)