08.11.2012

Kampf gegen Anti-Forensiken in heutigen komplexen Bedrohungen

Platzhalter KG-Gruppenblogartikel

Auf der Virus Bulletin 2012 Konferenz Ende September stellten Aleksandr Matrosovund sein Kollege Eugene Rodionov die Ergebnisse ihrer Forschungsarbeit “Defeating anti-forensics in contemporarycomplex threats” vor.

Moderne und komplexe Bedrohungen bedienen sich häufig verborgener Dateisysteme, um der Erkennung durch Sicherheits- und Forensik-Software zu entgehen. Dies wurde bereitsdiskutiert (Bootkit Threat Evolution in 2011), weswegen hier der Schwerpunkt bei der Tiefenanalyse der weitverbreitetsten Anti-Forensik-Technologie liegen soll – der Implementierung von verborgenen und verschlüsselten Speicherbereichen – was bereits „In-The-Wild“ von komplexenBedrohungen genutzt wird.

In diesem nahezu selbsterklärenden Bild sehen Sie die Evolution von sogenannten Bootkit-Bedrohungen mit verborgenen Dateisystemen im Laufe der Zeit:

 

 

Diese komplexen Bedrohungen benutzen verborgene und verschlüsselte Speicherbereiche, um ihre Daten einerseits zu verstecken und sich andererseits nicht auf das vomBetriebssystem verwaltete Dateisystem verlassen zu müssen. Die Zahl der Malware-Familien, die verborgene Dateisysteme verwenden, wächst von Jahr zu Jahr enorm, da es einhöchst effektives Mittel darstellt, der Erkennung durch Forensik-Software zu entgehen.

Anti-Forensik Features

Heutzutage existieren bestimmte Malware-Familien, die forensischen Analysen äußerst hartnäckig widerstehen können. Es gibt mehrere Möglichkeiten, dieErkennung und Beseitigung der Malware auf infizierten Systemen zu behindern: dies beinhaltetet Verschlüsselung und Verschleierung des C&C („Command & Control“) Kommunikationsprotokolls,Verschlüsselung der Dateien, die die sogenannte „Payload“ und Konfigurationsinformationen beinhalten, und vieles mehr. In diesem Beitrag konzentrieren wir uns auf eines derfortschrittlichsten Features, das derzeit „In-The-Wild“ zum Einsatz kommt, um forensische Analysen zu erschweren: der Implementierung von verborgenen und verschlüsseltenSpeicherbereichen.

Kern dieser relativ neuen Technologie ist die Implementierung eines verborgenen, virtuellen Speichers bzw. Laufwerks, welche gelesene oder geschriebene Daten transparentverschlüsseln. Dies erlaubt Malware die genannten Technologien zu nutzen, um die folgenden Vorteile zu erzielen:

  • die Malware-eigenen Daten bleiben geheim
  • der „Payload“ bietet sich ein nahezu standardisiertes Interface, über das Informationen gespeichert oder abgerufen werden können
  • Umgehung von Security-Software

Verborgener Speicher

Das Ziel der Verwendung von verborgenen Speicherbereichen im System ist nicht nur die Gewährleitung der Geheimhaltung der gespeicherten Informationen, sondern auch dasVerbergen jeglicher Existenz dieser Daten. Mehr als häufig speichert Malware die eigenen Daten verschlüsselt auf der Festplatte unter Verwendung des Dateisystems welchesvom Betriebssystem verwaltet wird, was wiederum die Chance erhöht, das das Vorhandensein der Malware entdeckt wird. Im hier beschriebenen Fall des verborgenen Speicherbereichs, existiert so inder Regel keine Datei, welche über das Dateisystem des Betriebssystems analysiert werden könnte. Keine der Daten, die der Malware zugehörig sind, befinden sich außerhalb desDateisystems und sind in jedem Fall verschlüsselt. Verständlich, dass es in solch einem Falle äußerst schwierig ist, durch Prüfung der Festplatte Malware zu erkennen, wie siebei forensischen Analysen normalerweise durchgeführt wird.

Standard-Interface

Der Zugriff auf die Daten, welche auf der Festplatte gespeichert sind, erfolgt in der Regel über Standard APIs wie z.B.:

  • CreateFile/CloseHandle
  • ReadFile/WriteFile
  • SetFilePointer

Alternativ dazu können andere entsprechende Systemroutinen wie GetPrivateProfileString, WritePrivateProfileString usw. zum Einsatz kommen. Ein Ergebnis daraus ist, dass es keinerKenntnisse spezieller Technologien bedarf, um Payload-Module zu entwickeln. Daten, die im verborgenen Speicher abgelegt sind, können einfach über Standard-Systemroutinen abgerufenwerden.

Architektur verborgener Speicherbereiche

Die generelle Architektur der Implementierung verborgener Speicherbereiche findet sich im anfangs verlinkten Forschungsdokument. Einige komplexe Bedrohungen erstellen und allokieren Platzauf der Festplatte, typischerweise am Ende derer, auf welchem das Image des verborgenen Dateisystems eingerichtet wird, das wiederum böswillige Daten enthält.Üblicherweise befindet sich am Ende der Festplatte genügend Platz – bis zu mehreren MB – welcher nicht vom Betriebssystem genutzt wird.

Um auf die Daten zuzugreifen, führt die Malware einige Low Level Read/Write-Operationen durch; z.B. über das Interface welches vom „Storage Miniport Kernel-Mode“Treiber, der sich am unteren Ende des Storage Treiber Stacks befindet, zur Verfügung gestellt wird. Durch das Senden von IRP_MJ_INTERNAL_DEVICE_CONTROL Anfragen an den Miniport-Treiber ist dieMalware in der Lage Sektoren auf der Festplatte zu lesen oder zu beschreiben und somit ihr eigenes verborgenes Dateisystem zu verwalten.

 

 

In der unten stehenden Tabelle findet sich eine Vergleichsübersicht der Features von weit verbreiteten komplexen Bedrohungen, die verborgene Speicherbereiche nutzen:

 

 

Tool zum Erkennen verborgener Dateisysteme

Die Implementierung verborgener Speicherbereiche erschwert forensische Analysen enorm, da:

  • bösartige Dateien nicht auf dem normalen Dateisystem gespeichert sind (erschwert das Extrahieren)
  • verborgener Speicher nicht ohne Malware-Analyse entschlüsselt werden kann
  • die gängigen Forensik-Tools nicht „Out-of-the-Box“ arbeiten.

Um Inhalte aus verborgenen Dateisystemen auszulesen, muss vorerst eine gründliche Malware-Analyse durchgeführt werden und die Algorithmen nachvollzogen werden, mit denendie Daten darin verwaltet werden. Als ein Ergebnis unserer Forschungen mit solch komplexen Bedrohungen haben wir ein Tool entwickelt, welches in der Lage ist Inhalte aus verborgenen Speicherbereichenwieder herzustellen, wie sie von verschiedensten aktuellen Bedrohungen verwendet werden, wie z.B.:

  • TDL4 inkl. Modifikationen
  • Olmasco
  • Rovnix.A
  • Rovnix.B
  • Sirefef (ZeroAccess)
  • Goblin (XPAJ)
  • Flame (Dump der entschlüsselten Ressourcen-Bereiche)

Das Tool ist äußerst nützlich bei der Störungsbehebung, Malware-Analyse und Überwachung. Es ist in der Lage, den verborgenen Speicher der Malware, sowiebeliebige Sektoren (-Bereiche) der Festplatte zu dumpen. Im folgenden Bild sehen Sie einen Screenshot der Ausgabe des Tools:

 

 

Der HiddenFsReader kostenfrei heruntergeladen werden.

 

Der Gastbeitrag wurde bereitgestellt von

Aleksandr Matrosov, ESET Security Intelligence Team Lead
Thomas Uhlemann, ESET in Deutschland
Der slowakische Antivirenhersteller ESET schützt seit 1992 mit modernsten Softwarelösungen Unternehmen und Privatanwender vor Malware aller Art. DasUnternehmen gilt – dank der innovativen ThreatSense-Technologie – als Vorreiter bei der proaktiven Bekämpfung selbst unbekannter Bedrohungen. ESET-Produkte sind über einweltweites Partnernetzwerk in mehr als 180 Ländern erhältlich.