Malware tarnt sich als Doppelgänger von Windows-Prozessen

Tarnung, Wolf, Schaf Bildquelle: Public Domain
Sicherheitsforscher haben es geschafft, einen bekannten Täuschungs-Mechanismus auch im Rechner umzusetzen. Ähnlich wie ein Doppelgänger an Wächtern vorbeikommt, konnten sie die gängigen Security-Algorithmen austricksen, indem sie ihre Malware einfach als Windows-interne Prozesse tarnten.
Das Verfahren mit der Bezeichnung "Process Doppelgänging" wurde von Sicherheitsforschern des Unternehmens EnSilo auf der Hackerkonferenz Black Hat Europe vorgestellt. Wie sie demonstrieren konnten, lassen sich mit der Methode im Grunde alle gängigen Virenscanner hinters Licht führen. Das zeigte sich unter anderem auch daran, dass die Sicherheitsforscher mit ihrer Methode auch Malware tarnen konnten, die längst bekannt ist und von jedem Sicherheits-Tool erkannt werden sollte.

Neben den Virenscannern wurden auf diesem Weg auch die internen Sicherheits-Mechanismen des Windows-Betriebssystems umschifft. Denn letztlich muss man nur überzeugend genug darlegen, dass der jeweilige Code zu einem völlig legitimen Windows-Prozess gehört, um ignoriert zu werden.

Forensik ist auch schwer

Nach Angaben der Sicherheitsforscher kommt außerdem hinzu, dass auch eine nachträgliche Analyse schwierig ist, wenn ein Schaden angerichtet wurde. Denn im Kern suchen auch die gängigen Forensik-Werkzeuge nach Spuren, die bestimmten Schemata folgen. Um zu erkennen, dass hier tatsächlich eine Malware im Spiel war, muss also schon ein kundiger Fachmann ganz genau nach Hinweisen suchen.

Allerdings scheint man nicht befürchten zu müssen, dass in den kommenden Tagen alle möglichen Malwares in einen entsprechenden Doppelgänging-Container eingepackt werden. Damit die Sache funktioniert, bedarf es schon tiefgreifender Kenntnisse über verschiedene komplexe Mechanismen im Windows-System und in den Engines der Virenscanner. Die vorgestellten Erkenntnisse dienen so auch in erster Linie dem Zweck, eine bessere Absicherung gegen ein solches Verfahren zu erreichen. Tarnung, Wolf, Schaf Tarnung, Wolf, Schaf Public Domain
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 14:00 Uhr Lenovo Thinkpad X230 (Zertifiziert und Generalüberholt)Lenovo Thinkpad X230 (Zertifiziert und Generalüberholt)
Original Amazon-Preis
299
Im Preisvergleich ab
?
Blitzangebot-Preis
239
Ersparnis zu Amazon 20% oder 60

Video-Empfehlungen

Tipp einsenden