image

Hoe malware de virtuele wereld herkent

vrijdag 16 oktober 2009, 15:35 door Redactie, 7 reacties

Om de werking van malware te onderzoeken gebruiken veel onderzoekers een virtual machine, maar virusschrijvers doen er alles aan om deze virtuele wereld te herkennen. Het voordeel van een virtual machine is dat de onderzoeker de kwaadaardige software op een gemakkelijke en eenvoudig te reproduceren manier kan observeren. Veel malware probeert de aanwezigheid van een vitrual machine te detecteren, om vervolgens in z'n geheel te stoppen of ander gedrag te vertonen.

Daarbij kijken virusschrijvers naar het MAC-adres, dat meestal het identificatienummer van de VM-fabrikant bevat. Ook de aanwezigheid van bepaalde registersleutels of bestanden verraadt dat de host in een virtuele omgeving draait. Verder wordt er gecontroleerd op de aanwezigheid van een Backdoor I/O port, dat voor de communicatie met de virtual machine wordt gebruikt en de waarden van verschillende Table Registers.

Dwarsbomen
Toch zijn er oplossingen om de virtual machine detectie van malware te dwarsbomen, aldus Alain Zidouemba van het Sourcefire Vulnerability Research Team. De eerste tip is het niet gebruiken van de VMware Tools, die teveel sporen achterlaten. De tweede tip is het wijzigen van het VMware.vmx bestand, zoals hij op deze pagina in detail uitlegt. "Als het voor welke reden dan ook te lastig of te moeilijk is, draai dan de malware op het systeem! :-) Je kunt altijd na afloop een systeem backup en restore doen om de machine in z'n oorspronkelijke staat te herstellen, zonder het OS te herinstalleren."

Reacties (7)
16-10-2009, 15:59 door SirDice
"Als het voor welke reden dan ook te lastig of te moeilijk is, draai dan de malware op het systeem! :-) Je kunt altijd na afloop een systeem backup en restore doen om de machine in z'n oorspronkelijke staat te herstellen, zonder het OS te herinstalleren."
Misschien is het beter om dat op een apart systeem te doen?
16-10-2009, 16:29 door Anoniem
Laten we gewoon massaal VMTools en VMware.vmx op ons systeem zetten...
16-10-2009, 16:41 door Bitwiper
Het gaat hier vooral om malware die het niet doet zodra een gevirtualiseerd systeem gedetecteerd wordt. Het zou dus kunnen dat virtualiseren netto extra beveiliging biedt, maar of dat nog lang duurt betwijfel ik.

Waar systeembeheerders ongetwijfeld al in geïnteresseerd zijn is in hoeverre er malware bestaat die probeert (of in staat is) het host systeem onder een virtuele server over te nemen (denk aan MS Terminal Server die op VMware o.i.d. draait).

Maar met de komst van Win7 en de XP compatibility mode zou malware ook via de virtualisatie waar dat op gebouwd is kunnen proberen het host OS (Win7) over te nemen.

Heeft iemand van jullie wat zinnigs te melden over malware die van virtualisatie probeert te profiteren?
16-10-2009, 16:53 door H.King
ik weet wel dat dit oud nieuws is en souces voor het detecteren van virtual machines in overvloed in omloop zijn.
16-10-2009, 17:41 door SirDice
Door Bitwiper: Heeft iemand van jullie wat zinnigs te melden over malware die van virtualisatie probeert te profiteren?
Specifieke malware niet maar als het goed is was er niet al te lang geleden een bug in VMWare waarmee je vanuit een guest code kon injecteren in de host.
17-10-2009, 11:02 door Thasaidon
En wat als ik nou WinXP in VMWare draai, en in die virtuele XP omgeving mijn browsers ook nog eens in een sandbox draai?
Ben benieuwd hoe zo'n stukje mallware daarmee overweg gaat ;-)
17-10-2009, 12:36 door Anoniem
Zowel VMWare als Sandboxie zijn beide reeds gecompromiteerd geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.