Hypervisor-Technologie für die Sicherheit: Gezielte Angriffe wirkungsvoll stoppen

Judo KämpferGezielte Angriff zählen nach wie vor zu den aktuellsten Themen in der IT-Sicherheit. Meist werden gezielte Angriffe so durchgeführt, dass nicht nur ein einzelner Hacker, sondern eine ganze Gruppe von Tätern hartnäckig und mit massiven Ressourcen sowie umfassenden Kenntnissen versucht, die IT-Systeme eines individuellen Opfers zu kompromittieren. 

Zu den beliebtesten Angriffszielen gehören die Endanwender. Klassische Virenschutzlösungen, Intrusion- Prevention-Systeme oder auch Next-Generation-Firewalls sind mit derartigen Angriffen überfordert, da sie nur bekannte Malware erkennen können. Eine professionelle Gruppe von Angreifern ist jedoch in der Lage, eigene und daher der Öffentlichkeit noch unbekannte Malware zu entwickeln.

Anzeige
Sandbox-Analyse

Zahlreiche Hersteller integrieren daher eine neue Technik in ihre Sicherheits- Gateways, bei der potentieller Schadcode in einer simulierten oder virtualisierten Umgebung ausgeführt und beobachtet wird. Der übliche Name für diese Technik lautet „Sandbox-Analyse“ – gegenwärtig wird sie von den bekannten Firewall-Herstellern wie Checkpoint, Watchguard oder Palo Alto, Virenschutzherstellern wie McAfee oder TrendMicro sowie von spezialisierten Herstellern wie FireEye, Ahnlab oder Cyphort verkauft.

Die Sandbox-Analyse erkennt heute eine hohe Zahl an Malware, die von Virenschutzlösungen noch nicht identifiziert werden kann, das eigentliche Problem löst sie allerdings nicht. Malware- Entwickler vermeiden neuerdings ein einfach erkennbares Verhalten, oder sie erkennen die simulierte Umgebung selbst und führen dort erst gar keinen Schadcode aus. Individuelle Malware, wie sie bei tatsächlich neuen gezielten Angriffen von Profis zum Einsatz kommt, wird daher in der Regel von einer Sandbox-Analyse auch nicht erkannt.

Stefan Strobel

„Mikrovirtualisierung stellt eine spannende Option für die Zukunft dar. Sie eröffnet neue Perspektiven für den Schutz vor gezielten Angriffen und löst nebenbei zusätzlich noch weitere Probleme der IT-Sicherheit.“
Stefan Strobel, cirosec GmbH

Hinzu kommt, dass sich der Betrieb einer solchen Technik als sehr aufwendig erweist. Infektionen mit Malware können in der Regel weder verhindert werden, noch sind die Meldungen aus einer Sandbox-Analyse fehlerfrei. So müssen viele Meldungen einer möglichen Infektion mit teurem Personal auf dem potentiell betroffenen Endgerät nachgeprüft werden. Einige Hersteller versuchen daher, nicht nur das Verhalten von potentieller Malware, sondern auch zusätzliche Informationen, beispielsweise die ausgehende Kommunikation von infizierten PCs, in die Bewertung einfließen zu lassen. Doch auch hier entwickeln sich die Autoren von Malware weiter: Sie verwenden beispielsweise SSL-Verschlüsselung, die von Sicherheits-Gateways nicht mehr analysiert werden kann.

Demzufolge benötigen Organisationen, die bereits in Sandbox-Analyse- Technik investiert haben, im nächsten Schritt eine Lösung zur detaillierten Analyse potentiell infizierter Endgeräte. Derartige Lösungen werden auf den Endgeräten selbst installiert. Dort erkennen sie Schadcode zum Beispiel an seinem tatsächlichen Verhalten auf dem Endgerät oder anhand von Spuren im Hauptspeicher.

Organisationen, die das Problem vorausschauender angehen, stellen daher mit Recht den Sinn einer Sandbox-Analyse im Netzwerk in Frage. Alternativ kann auch direkt eine Lösung auf die Endgeräte der Anwender gebracht werden, die dort Schadcode erkennt oder am besten gleich verhindert. Entsprechend zeigt sich am Markt eine Renaissance von Host-Intrusion-Prevention- Systemen (HIPS) und Sandbox- Lösungen für Endgeräte. Hersteller wie Cyvera (2013 von Palo Alto übernommen), Trustware oder Invincea treten in die Fußstapfen von Herstellern, die bereits vor mehr als zehn Jahren ähnliche Ideen implementierten. Damals konnten sich die Systeme noch nicht durchsetzen: Einerseits waren die Betriebssysteme noch nicht so weit wie heute und die Integration eines HIPS in Windows XP oder NT 4.0 war sehr fragil. Andererseits war der Bedarf vor zehn Jahren noch lange nicht so groß wie heute in Anbetracht gezielter und professioneller Angriffe.

Mikrovirtualisierung – ein neuer Ansatz

Ein neuer technischer Ansatz, der die Grundidee einer Sandbox auf dem Endgerät auf eine neue technische Basis hebt, kommt von den ursprünglichen Erfindern des Xen-Hypervisor, die die Firma Bromium gegründet haben. Sie verwenden einen sogenannten Microvisor: Innerhalb des laufenden Betriebssystems isoliert er einzelne Tasks individuell von dem Rest des Systems, ohne dass sich für den Anwender etwas ändert. Ein Microvisor ist technisch betrachtet ein spezieller Hypervisor, der jedoch nicht wie bei Xen oder VMware verwendet wird, um mehrere Betriebssysteme unabhängig voneinander auf der gleichen Hardware laufen zu lassen. Ein Microvisor arbeitet innerhalb des vorhandenen Betriebssystems. Bei einem Microvisor werden beispielsweise alle Browser-Sessions zu nicht vertrauenswürdigen beziehungsweise externen Websites zur Laufzeit in individuellen Micro-VMs abgeschottet; von dort aus haben sie keinen unkontrollierten Zugriff auf lokale Ressourcen mehr. Durch eine Copy-on-Write-Technik ist der zusätzliche Ressourcen-Bedarf so gering, dass er nicht weiter auffällt. Ebenso wenig kommt es zu spürbaren Verzögerungen. Das Erzeugen einer Micro-VM erfolgt beispielweise innerhalb von 10 Millisekunden. Auf einem normalen Arbeitsplatz-PC kann ein Anwender daher durchaus 50 Micro-VMs gleichzeitig erzeugen, ohne etwas davon zu bemerken.

Der Sicherheitsgewinn der Mikrovirtualisierung von Bromium entsteht nicht durch das Erkennen von Schadcode, sondern durch die Isolation aller potentiell gefährlichen Aktivitäten in einzelne Micro-VMs. Daher muss Schadcode überhaupt nicht erkannt werden. Er ist in einer virtualisierten Umgebung gefangen und hat keinen Kontakt zum eigentlichen lokalen Betriebssystem oder zum internen Netzwerk. Ein Anwender bemerkt in der Praxis nichts davon. Er kann ungehindert im Web surfen, Dokumente öffnen und auf Mail-Attachments klicken, selbst wenn es sich um verseuchte Phishing- Mails handelt. Wird dabei Schadcode ausgeführt, so sieht dieser nur eine isolierte Umgebung und wird beim Schließen der betroffenen Browser-Session zusammen mit der jeweiligen Micro-VM gelöscht.
Auch die Grundidee der Isolation von externen Zugriffen ist eigentlich nicht neu. In den Anfangszeiten des Internets führten zahlreiche Organisationen dedizierte Internet-PCs ein, die keinen Anschluss an das lokale Netz hatten. Auch bei sogenannten Re- CoBS-Lösungen (Remote Controlled Browsing System) basiert Sicherheit darauf, dass das Websurfen isoliert von der normalen Arbeitsumgebung der Anwender stattfindet. Im Fall von ReCoBS ist es ein isolierter Server, von dem aus die Webbrowser ins Internet gelangen, und die Anwender greifen über eine Windows-Terminal-Session auf den Server zu. Dieser Ansatz ist aus Anwendersicht heute kaum noch akzeptabel, denn die Integration zwischen einer modernen Office-Umgebung, Mail und Browser ist sehr eng und wird durch die Verlagerung der Browser auf einen isolierten Server auseinandergerissen.

Zudem bleibt meist die Frage offen, wie mit Dokumenten verfahren werden soll, die ein Anwender aus dem Internet herunterladen muss, um sie intern weiter zu bearbeiten. Der Anwender benötigt dann einen Weg, um Dokumente aus der isolierten Umgebung in das interne Netz zu transferieren. Dafür sind zusätzliche Prüf- und Freigabeprozesse nötig, die zwar Arbeit erzeugen, jedoch Schadcode in der Regel auch nicht zuverlässig erkennen können.

Der andere, bessere Weg

Bromium geht hier einen anderen Weg und erlaubt dem Anwender das Abspeichern und Weiterbearbeiten von Dokumenten im internen Netz. Die Isolation bleibt so lange wie möglich aufrechterhalten. Dazu markiert der Microvisor von Bromium Dokumente beim Abspeichern, wenn sie aus einer nicht vertrauenswürdigen Quelle kommen. Die Markierung wird dabei auf der Host-Seite der Virtualisierung verwaltet und ist aus den Micro-VMs heraus nicht sichtbar. Wenn ein Anwender nun ein abgespeichertes Dokument öffnet, das entsprechend markiert ist, so öffnet es sich wieder in einer isolierten Micro-VM.
Selbstverständlich besteht auch bei solchen Ansätzen das Restrisiko von Schwachstellen im Sicherheitsprodukt selbst. Es ist jedoch sehr viel geringer als das Risiko, dass eine Erkennungsmethode versagt. Ein theoretischer Ausbruch aus einer Micro-VM ist von der Komplexität her vergleichbar mit dem Ausbruch aus einem Gast-System einer VMware-Virtualisierung. Derartige Szenarien sind zwar vorstellbar, die Sicherheitshürde für einen Angreifer ist jedoch sehr viel höher als bei Sicherheitslösungen im Netzwerk oder bei Sicherheitsprodukten, die auf klassischen Sandboxen auf dem Endgerät basieren.

Vorteile der Hypervisor-Architektur

Ein völlig anderer Aspekt, der Mikrovirtualisierung attraktiv macht, ist die automatische Malware-Analyse, die nebenbei erfolgt. In einer Hypervisor-Architektur lassen sich vom Host-System aus die Gast-Systeme beobachten. So ist es von VMware und anderen Hypervisor- Produkten bekannt. Bisher wird diese Technik beispielsweise genutzt, um auf einem ESX-Server den Virenscanner nicht mehr in den Gast-Systemen selbst zu installieren, sondern ihn über den Hypervisor-Zugriff außerhalb und für alle Gast-Systeme unsichtbar und zentral zu positionieren.

Bild 1: Architektur der Micro VM von Bromium. Isolation statt nur Erkennung.

Bild 1: Architektur der Micro VM von Bromium. Isolation statt nur Erkennung.

Bei Bromium existiert auch eine Komponente, die die Abläufe innerhalb der Micro-VMs analysiert und erkennen kann, wenn Schadcode offensichtlich bösartige Dinge ausführt. Diese Komponente läuft außerhalb der Micro-VMs und ist aus diesen heraus nicht sichtbar. Falls ein Anwender per Mail oder von einer Website mit Malware infiziert wird, so geschieht dies nur in einer Micro-VM. Die Malware hat folglich keinen Zugriff auf interessante Daten oder Systeme. Ihr Verhalten in der Micro-VM liefert jedoch eine detaillierte Malware-Analyse, und somit können die Änderungen an Registry, auf der Festplatte oder die Kommunikation mit Command- und Control-Servern grafisch aufbereitet werden. Da sich das Verhalten nur innerhalb einer Micro-VM abspielt, kann kein echter Schaden entstehen und alle Manipulationen in der virtuellen Umgebung werden beim Schließen des Browsers mitsamt der Micro-VM verworfen. Die Malware-Analyse ist daher keine notwendige Voraussetzung für den Schutz, sondern ein Zusatznutzen, mit dem die Organisation lernen kann, was ein Angreifer eigentlich beabsichtigt und wie er arbeitet.

Mikrovirtualisierung stellt somit eine spannende Option für die Zukunft dar. Sie eröffnet neue Perspektiven für den Schutz vor gezielten Angriffen und löst nebenbei zusätzlich noch weitere Probleme der IT-Sicherheit. So lassen sich Paradigmen, die in der Vergangenheit gesetzt waren, jedoch nie befriedigend funktioniert haben, in Frage stellen: Kann und muss man einem Anwender tatsächlich beibringen, dass er jede Mail hinterfragt, bevor er sie öffnet oder bevor er ein angehängtes PDF-Dokument anklickt? Kann und muss man tatsächlich wöchentlich neue Patches von Java- Interpretern, Flash-Playern oder PDFReadern auf allen Endgeräten verteilen, obwohl die Zeit für das Testen und eine Rollout-Planung nicht ausgereicht hat?

Wenn das Öffnen von externen Mails und das Surfen im Internet durch Virtualisierungstechnik abgeschottet wird, können gefahrlos Dokumente aus Mail- Attachments geöffnet und Links angeklickt werden. Dies ist zum Beispiel in einer Personalabteilung, die täglich Bewerbungsunterlagen von unbekannten Absendern erhält, unabdingbar.

Ebenso kann auf panisches Testen und Ausrollen von Patches, die bisher bei neu bekannt gewordenen Schwachstellen in Browsern oder deren Plug-ins nötig waren, verzichtet werden. Zwar bleibt ein alter und ungepatchter Browser damit angreifbar, doch in einer isolierten Micro-VM kann ein potentieller Schadcode keinen echten Schaden anrichten und sich nicht weiter verbreiten.
 

Stefan Strobel

www.cirosec.de

Artikel aus it security März 2015, Seite 8

 

 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.