VMRay mit Hypervisor-basierter Sandboxing-Technik
Evasive Malware überlisten
Ausgefeilte Malware-Varianten („Advanced Threats“) nutzen diverse Evasionsmechanismen, um der Entdeckung durch Security-Tools zu entgehen. Die Abwehr evasiver Malware, so der Bochumer Security-Spezialist VMRay, erfordere deshalb eine Lösung, die sich wiederum der Erkennung durch evasive Malware entzieht. Für diesen Zweck setzen die Bochumer mit Virtual Machine Introspection (VMI) auf eine eigene Sandboxing-Technik.
VMRays Sandboxing agiert laut Hersteller für Malware unsichtbar und hebelt damit die Ausweich- und Verschleierungstaktiken moderner Schadsoftware aus. Herkömmliche aktuelle Sandboxing-Methoden, so der Anbieter, basierten häufig auf Systememulation oder Hooking. Beides weise Nachteile auf, die ein Angreifer ausnutzen könne: Eine vollständige Systememulation sei langsam, komplex und kostspielig und liefere aufgrund mangelnder Skalierbarkeit unvollständige oder ungenaue Analyseergebnisse. Hooking wiederum erfordere die Instrumentierung der Analyseumgebung – dies sei den Hacker-Gruppen bekannt, weshalb fortschrittliche Malware es umgehen könne.
VMRay nutzt stattdessen einen Hypervisor-basierten Überwachungsansatz: VMI überwache die Aktivität von Zielmaschinen von außerhalb der Analyseumgebung, sodass die virtuellen Maschinen laut den Bochumern unmodifiziert laufen; evasive Malware erkenne so nicht, dass sie unter Beobachtung steht. Ein Sicherheitsteam bilde dazu mittels Golden Images die IT-Umgebung einer Organisation nach, um Angriffsverläufe in der Sandbox zu beobachten.
Die VMRay-Plattform basiert laut Hersteller auf einer mehrstufigen Sicherheitsarchitektur: Zunächst erfolge eine reputationsbasierte Malware-Analyse, dann eine statische und zuletzt eine dynamische Analyse in der Sandbox oder eine tiefgehende Web-Analyse zur Erkennung von Phishing-Angriffen oder Drive-by-Downloads. Die Architektur sei hochskalierbar und unterstütze Einsatzszenarien im Incident-Response- und SOC-Bereich (Security Operations Center): Während im SOC-Umfeld der Schwerpunkt meist auf dem Monitoring großer Datenvolumen und der schnellen Erkennung von Bedrohungen liegt, geht es bei der Incident Response um die tiefgehende, verhaltensbasierte Analyse verdächtiger Samples. In beiden Fällen, so VMRay, entlaste man die Security-Teams, schließe Lücken im Security-Stack des Unternehmens und stärke die Fähigkeiten zur Erkennung und Abwehr neuartiger Angriffe.
Der Bochumer Security-Spezialist betont, die hauseigene Technik sei bereits bei führenden Unternehmen im Einsatz: bei drei der fünf Silicon-Valley-Technologieriesen und vier der „Big 6“-Wirtschaftsprüfungsfirmen ebenso wie bei zahlreichen Behörden und Banken. Entwickelt wurde die Sandboxing-Technik von den beiden VMRay-Gründer Dr. Carsten Willems und Dr. Ralf Hund.
Weitere Informationen finden sich unter www.vmray.com.
Lesen Sie mehr zum Thema
