Malware tarnt sich als Doppelgänger von Windows-Prozessen

Sicherheitsforscher haben es geschafft, einen bekannten Täuschungs-Mechanismus auch im Rechner umzusetzen. Ähnlich wie ein Doppelgänger an Wächtern vorbeikommt, konnten sie die gängigen Security-Algorithmen austricksen, indem sie ihre Malware einfach als Windows-interne Prozesse tarnten. Das Verfahren mit der Bezeichnung "Process Doppelgänging" wurde von Sicherheitsforschern des Unternehmens EnSilo auf der Hackerkonferenz Black Hat Europe vorgestellt. Wie sie demonstrieren konnten, lassen sich mit der Methode im Grunde alle gängigen Virenscanner hinters Licht führen. Das zeigte sich unter anderem auch daran, dass die Sicherheitsforscher mit ihrer Methode auch Malware tarnen konnten, die längst bekannt ist und von jedem Sicherheits-Tool erkannt werden sollte.

Neben den Virenscannern wurden auf diesem Weg auch die internen Sicherheits-Mechanismen des Windows-Betriebssystems umschifft. Denn letztlich muss man nur überzeugend genug darlegen, dass der jeweilige Code zu einem völlig legitimen Windows-Prozess gehört, um ignoriert zu werden.

Forensik ist auch schwer

Nach Angaben der Sicherheitsforscher kommt außerdem hinzu, dass auch eine nachträgliche Analyse schwierig ist, wenn ein Schaden angerichtet wurde. Denn im Kern suchen auch die gängigen Forensik-Werkzeuge nach Spuren, die bestimmten Schemata folgen. Um zu erkennen, dass hier tatsächlich eine Malware im Spiel war, muss also schon ein kundiger Fachmann ganz genau nach Hinweisen suchen.

Allerdings scheint man nicht befürchten zu müssen, dass in den kommenden Tagen alle möglichen Malwares in einen entsprechenden Doppelgänging-Container eingepackt werden. Damit die Sache funktioniert, bedarf es schon tiefgreifender Kenntnisse über verschiedene komplexe Mechanismen im Windows-System und in den Engines der Virenscanner. Die vorgestellten Erkenntnisse dienen so auch in erster Linie dem Zweck, eine bessere Absicherung gegen ein solches Verfahren zu erreichen. Tarnung, Wolf, Schaf Public Domain