5. Sandboxing von Schadsoftware

• Malware

• malicious und software

• Statische Schadsoftware

• dynamische Schadsoftware

• Sie ist ausschließlich für schädliche Zwecke gedacht

• Sie dringt in das System des Opfers ein und überträgt die Daten oder Infomationen des Opfers unauffällig an die Angreifenden

• Dies kann bedeuten dass regelmäßig Daten an den Angreifer gesendet werden

• Besuchte Webseiten, E-Mail Verkehr…

• Ermöglicht dem Angreifenden eine umfassende Kontrolle über den Rechner des Opfers.

• Keylogger bis zur Echtzeit-Überwachung des Computers

• Mit vollem Zugriff auf Sensible Infomationen

• Schadsoftware die Verschlüsselung einsetzt, um den Zugriff auf die Daten eines Ziels zu beschränken, bis ein Lösegeld gezahlt wird.

• Das Unternehmen ist mit Betriebsunterbrechung konfrontiert, bis das Lösegeld bezahlt wird.

• Beispiel:

  • Ransomware Robbin Hood, hat im Jahr 2019 sie US-amerikanische Stadt Baltimore lahmgelegt und kosten von über 18 Millionen Dollar verursacht

  • Ähnlicher Angriff im Jahr 2018 der 17 Mio. Dollar Schaden verursacht hat.

• Spyware sammelt heimlich Informationen über die Aktivitäten der Benutzer, ohne dass diese damit einverstanden sind.

• Dazu gehören sensible Daten wie Kennwörter, PINs und Nachrichten

• Dabei ist diese nicht auf Desktop-Browser beschränkt und kann auch in Anwendungen und Mobiltelefone eindringen

• Diese verfolt Online-Aktivitäten der Benutzer um gezielte Werbung zu schalten.

• Sie installiert keine Software auf den Computer und zeichnet keine Tastenschläge auf.

• Sie kombiniert gesammelte Daten mit anderen Internetaktivitäten um Benutzerprofildateien zu erstellen, welche ohne Zustimmung an Werbetreibende weitergeleitet werden.

• Ein Beispiel:

  • Adware Fireball infizierte 250Millionen Geräte

• Ein Trojaner tarnt sich als legitime Software.

• Nach dem Herunterladen kann er die Kontrolle über die Systeme der Opfer für schädliche Zwecke übernehmen.

• Diese können in Spielen, Anwendungen, Patches, oder E-Mail Anhängen verstecken.

• Ein Beispiel:

  • Der Banking-Trojaner Emotet: Dieser entzieht sich der Entdeckung

• Diese nutzen Sicherheitslücken im Betriebssystem aus, um Neztwerke zu infiltrieren.

• Sie können üebr Hintertüren, Software-Sicherheitslücken oder Flash-Laufwerken zugreifen.

• Sie ermöglichen: DDoS-Angriff, sensible Daten zu stehlen oder Ramsomeware-Angriffe zu starten.

• Beispiel: Stuxnet von US und Israeli Geheimdiensten entwickelt um Iranisches Atomprogramm zu stören.

• Ein Virus fügt sich einer Anwendung ein und wird ausgeführt, wenn die Anwendung läuft.

• Dieser kann für: Datendiebstahl, DDoS-Angriffe oder Ransomware verwendet werden.

• Sie unterscheiden sich von anderer Schadsoftware dadurch dass sie zur Ausführung die Wirtsanwendung benötigen.

• Beispiel: Stuxnet ist ein Wurm, ein Virus und ein Rootkit zugleich.

• Diese ermöglichen die Übernahme der Kontrolle über die Computer der Opfer aus der Ferne mit administrativen Rechten.

• Sie können in Anwendungen, Kernel, Hypervisoren oder Firmware eingeschleust werden.

• Sie verbreiten sich durch Phishing, Downloads und Kompromittierte Laufwerke

• Man nutzt diese um andere Schadsoftware wie Keylogger zu verstecken.

• Beispiel: Zaclino, das sich als VPN-App ausgibt und unsichtbar mit Werbung interagiert.

• Diese überwachen die Benutzeraktivitäten und könne für Unternehmen oder Familien legitime Zwecke haben.

• Böswillig: Diebstahl sensibler Daten wie: Kennwörter Bankvergindungen

• Verbereitungsart: Phishing, Social Engineering, Downloads

• Beispiel: Olympic Vision, Kompromittierung von Geschäfts-E-Mails

• Bots sind Softwareanwendungen, die automatisierte Aufgaben ausführen.

• Bösartige Variante: Botnetze, die ferngesteuerte Angriffe wie DDoS-Angriffe starten können.

  Diese können sehr umfangreich werden und 800.000 bis 2,5 Millionen Computer umfassen.

• Sie dienen dazu Benutzerdaten undwiderruflich zu löschen.

• Sie stört Computernetzwerke

• Kann Spuren des Eindringens verwischen.

Aktuelles Beispiel:

• WhisperGate, zielte auf ukrainische Einrichtungen ab.

Trojaner

• Es basiert auf der Isolierung und Ausführung verdächtiger Schadsoftware in einer kontrollierten Umgebung.

• Die Isolierung schafft einne kontrollierte Umgebung in der die Schadsoftware ausgeführt werden kann.

• Ohne das die Integrität ds Hosts beeinträchtigt wird.

• Die Verhaltensanalyse ist das Hauptziel des Sandboxings.

• Damit können die Ermittlenden das Verhalten von Schadsoftware bei der Ausführung in der Sandbox beobachten und aufzeichnen.

• Kommerzielle-Tools

• Open-Scource-Tools

• Erweiterte Analyse

• Reporting: Berichtsfunktionen

• Integration von Bedrohungsdaten: Sind mit Bedrohungsdatenbanken integriert

• Support: Kundensupport

Wesentlicher Nachteil sind die Kosten

• Cuckoo Sandbox

• FireEye Malware Analysis

• Individuelle Anpassung

• Flexibilität

• Support durch die Benutzergemeinschaft

• Kosten

• Cuckoo Sandbox (Open Source)

• ThreatPlaybook

• Analyseziele

• Komplexität der Schadsoftware

• Verfügbarkeit von Ressourcen

• Benutzerfreundlichkeit

• Datenschutz

• Support durch Benutzergemeinschaft und Anbieter

• Bisherige Leisuntung des Tools

• Verfügbarkeit von Trainingsmittel

• Entwickler von Schadsoftwaren zielen darauf ab, Sanbox Umgebungen zu erkennen und zu umgehen.

• Schadsoftware kann Selbstverteidigungsmechanismen aufweisen.

• Isolierung: Gastsystem von Netzwerk isolieren

• Reccourcenbeschränkungen: Zugriff der Schadsoftware auf CPU verhindern.

• Netzwerkkontrollen:

• Verhaltensüberwachung: Aufzeichnung von Aktivitäten

• Änderung der Umgebung: Trügerische, aber sichere Umgebung schaffen.

• Sicherstellung, dass das Hostsystem geschützt ist

• Gleichzeitig sammeln von Information über das Verhalten der Schadsoftware

• Eine Reiche von Techniken, die in der digitalen Forensik verwendet werden, um Schadsoftware die gegen Analyse resistent ist zu verstehen.

• Ausgeklügelte Techniken, um von Sicherheitsmechanismen unerkannt zu bleiben.

1. Polymorpher Code: Ändert Erscheinungsbild ständig

2. Verschlüsselung:

3. Obfuskation: Code wird komplex gestaltet

4. Anti-Analyse-Techniken: Erkennt Sanbox oder virtuelle Umgebung

5. Dynamisches Verhalten: So lange inaktiv bis eine bestimmte Bedingung erreicht ist.

6. Rootkit-Installation: Um Zugriff auf ein System zu erhalten

7. Anonymisierung des Verkehrs: Verschleiern der Netzwerkkommunikation.

1. Geduld und Ausdauer

2. Identifizierung von Umgehungstechniken: Zur Entwicklung von Gegenmaßnahmen

3. Auf dem Laufenden bleibe.

1. Scheinzieldokumente

2. Verhaltensanalyse

3. Emulationsumgebungen: Nachahmung echter Betriebssysteme

4. Dynamische Analyse: Auslöser einführen

Zu den wichtigsten Strategien für den Umgang mit unkooperativen Schadsoftwaremustern gehören:

• Geduld und

• Ausdauer,

• das Erkennen von Umgehungstechniken

• und das Informieren über die neuesten Trends bei der Umgehung von Schadsoftware.

Scheinzieldokumente können die Ausführung von Schadsoftware unterstützen,

• indem sie Dateien erstellen, die legitime Inhalte imitieren und

• die Schadsoftware dazu verleiten, mit der Nutzlast der Datei zu interagieren.

Urheber von Schadsoftware wenden oft Obfuskations- und Anti-Analyse-Techniken an,

um Sandboxing zu umgehen.

Analysten müssen wachsam sein und Reverse-Engineering- und Debugging-Tools verwenden,

um den verschleierten Code zu verstehen und so Anti-Analyse-Mechanismen zu umgehen und Einblick in die Funktionalität der Schadsoftware zu erhalten.

Man nutzt signaturbasierte Analyse, um die Ausführung von Schadsoftware zu unterstützen und ihr Verhalten zu verstehen,

• indem sie bekannte Muster und Merkmale von Schadsoftware identifiziert

• und die Erstellung maßgeschneiderter Signaturen erleichtert.

• Verhaltensanalyse: Prozesse, Zugriff auf Daten, erstellte Verbindungen

• Analyse des Netzwerkverkehrs: Zeichnet den erzeugten Netzwerkverkehr auf.

• Systeminteraktionen: Verstehen wie die Schadsoftware mit dem Hostsystem interagiert.

• Codeausführungsspur: Verfolgen der Ausführungd des Codes um Funktionen aufzudecken.

  
  

• Attribution bezieht sich auf den Prozess der Bestimmung der Quelle oder des Ursprunges eines Cyberangriffs

• Man möchte wissen wer hinter den Angriff steht

• Wichtig hierbei sind Angriffsmuster und Indikatioren

• Sandbox-Berichte enthalten eine Fülle von Daten über das Verhalten der Schadsoftware

  • Verwendete Techniken

  • Verhaltensmuster

  • Herkunft des Angreifenden

• Indikatoren sind:

  • Eingesetzte Taktiken

  • Techniken

  • Verfahren

• Zum Beispiel:

  • Schadsoftware-Familien

  • Verschlüsselungspraktiken

  • Verwendete Infrastruktur

• Detaillierte Beschreibung des Angreifenden/Gruppe

  • Bekannte Verbindungen

  • Frühere Angriffsmuster

  • Ziele

  • Beweggründe

• Diese Helfen Unternehmen ihre Angreifer besser zu verstehen.

• Ransomware-Kampagne “Locky”

  • Berüchtigter Ransomware-Stamm seit 2016

  • Verschlüsselung von Dateien und Lösegeld zahlung

  • Analyse ergab: Cyberkriminellengruppe “Apt 28”

• Advanced Persitent Threats

  • Hoch entwickelte anhaltende Bedrohungen

  • Typischerweise mit nationalstaatlichen Akteuren, Kriminellen Organisationen, gut finanzierten Hackern in Verbindung gesetzt werden.

APTs sind so konzipiert, dass sie sich herkömmlichen Sicherheitsmaßnahmen und Analysen entziehen.

• Nutzung verdeckter Techniken um Daten herauszuschleusen

• Bei nicht gepatchten Schwachstellen werden Sicherheitslücken ausgenutzt

• Nutzung von Social Engineering wie Spear-Phishing

• APT-Angriffe nutzen mehrere Phasen

• Schadsoftware ist Adaptiv welche ihr Verhalten an die Umgebung anpassen kann.

• Indicators of Compromise

• Dienen als Frühwarnzeichen bei Cybersicherheitsvorfall

• Datei-Hashes

• IP-Adressen

• Domänennamen

• Verhaltensmuster

• Man macht einen Ablgeich der gewonennen Informaitonen des Sanbox-Berichts mit externen Bedrohungsdatenquellen

Diese Quellen können sein:

• Sicherheitsdatenbanken,

• Feeds