Bei einem Befall von Schadsoftware stellt sich oft die Frage, was der Ursprung für die Infektion war. Die Analyse von verdächtigen Dateien und Programmen sollte nur in einer gesicherten Umgebung durchgeführt werden. Eine Möglichkeit in kurzer Zeit Dateien auf Schadcode zu überprüfen ist die Cuckoo Sandbox.
Der Inhalt im Überblick
Sandbox als gesicherte Testumgebung
Eine Sandbox ist eine isolierte Laufzeitumgebung welche vom Rest des Systems logisch getrennt ist. Software kann in dieser ausgeführt werden, ohne das zugrundeliegende System zu beeinträchtigen.
Anders herum wird auch von außen kein Einfluss auf die Sandbox ausgeübt. Bekannt ist diese Technik z.B. durch Virtualisierung von Clients und Server mittels VMware oder Microsoft Hyper-V. Durch Hinzufügen virtueller Netzwerkkarten gibt es hier natürlich eine Wechselwirkung mit der Umgebung.
Verschiedene Sicherheitskomponenten können ebenfalls Software in ihrer eigenen Sandbox ausführen und prüfen, ob das Verhalten bösartig ist. Weitere Anwendungsfelder für die Sandboxtechnik sind Webbrowser oder die “Java Virtual Machine“ zur Ausführung von Java-Programmen.
Verdächtige Dateien, die nicht von den bestehenden Sicherheitsmaßnahmen erkannt werden, können in einer eigenen Testumgebung schnell untersucht werden.
Analyse mit der Cuckoo Sandbox
Die Cuckoo Sandbox ist eine Open Source Software zur automatisierten Analyse von Schadsoftware. Das Prinzip ist schnell erklärt: In einer virtuellen Maschine wird eine verdächtige Datei ausgeführt und das Verhalten analysiert. Anschließen gibt ein Report Aufschluss über den Hintergrund der Datei.
Installation
Die Software kann auf Windows, Linux und macOS installiert werden. Als Virtualisierungsplattform kann VMware, Hyper-V oder VirtualBox verwendet werden. Letzteres ist Open Source und ist für die Cuckoo Installation gut dokumentiert.
Bei der Installation wird Cuckoo auf dem Host-System installiert und eine virtuelle Maschine zur Ausführung der Software vorbereitet. Hier zeigt sich ein wichtiger Vorteil der Virtualisierung: Es können mehrere Maschinen mit verschiedenen Konfigurationen vorbereitet werden. In Cuckoo kann anschließend definiert werden, welche Maschine für eine Analyse verwendet werden soll. So kann das Malwareverhalten bei verschiedenen Betriebssystemen und Einstellungen nachvollzogen werden. Moderne Schadsoftware erkennt ihre Umgebung und agiert unterschiedlich auf bestimmte Gegebenheiten.
Cuckoo bietet u.a. folgende Möglichkeiten währen der Analyse:
- Prozessanalyse
- Datei Erstellung, Manipulation und Download
- Abbild des Arbeitsspeichers
- Screenshots
- Aufzeichnung des Netzwerkverkehrs
Kommunikation
Der Netzwerkverkehr ist besonders relevant, da zuerst meist ein Command & Control Server, als die Kontrollstelle der Schadsoftware, kontaktiert wird, um weitere Anweisungen zu erhalten. In Makros versteckt sich oft Software, die den eigentlichen Schadcode erst aus dem Internet nachlädt. Verfügt die virtuelle Testumgebung über keine Internetverbindung, kann es sein, dass sich die Malware nicht zu erkennen gibt.
Hierbei muss aber besonders auf die Netzwerkeinstellungen geachtet werden. Die Testumgebung soll mit dem Internet kommunizieren können, darf aber zu keinem anderen Gerät im Netzwerk, auch nicht dem Cuckoo-Host, Kontakt aufnehmen. Sonst besteht die Gefahr, dass die Malware sich außerhalb der gesicherten Umgebung ausbreitet.
Sobald alles vorbereitet ist, wird Cockoo über eine Weboberfläche gesteuert. Dort können verschiedene Parameter zur Analyse eingestellt werden, wie z.B. ob der Benutzer während der Ausführung ebenfalls eingreifen kann, oder die Analyse komplett automatisiert läuft. Die zu untersuchende Datei wird über einen einfachen Upload Dialog hochgeladen.
Aufwand und Nutzen
Für die Installation einer Cuckoo-Workstation kann im Grunde jede aktuell erhältliche Hardware verwendet werden. Es braucht ein wenig Erfahrung mit Linux und z.B. ein Laptop, kann innerhalb ca. eines Tages als eine solche Workstation eingerichtet werden. Über die Weboberfläche können dann jederzeit Dateien hochgeladen und getestet werden, um bei einem Sicherheitsvorfall schnell eine Entscheidung über weitere Maßnahmen treffen zu können und einen Befall einzudämmen.
