|
| |
|
 |
Die Norman SandBox V2
Diese neue Version der Norman SandBox weist
gegenüber der Vorgängerversion enorme Verbesserungen auf. Durch
Netzwerk-Simulation und verbesserte Erkennung komplexer
Win32-Würmer werden unbekannte Würmer aufgespürt, noch bevor sie
jemand zu Gesicht bekommen hat. Ihr System wird so früher als je
zuvor geschützt.
|
|
Die der Norman Sandbox v2 zugrunde liegende Technologie
wurde mehrere Wochen lang in realitätsnahen Umgebungen getestet und entsprechenden
Maßnahmen zur Qualitätssicherung unterzogen. In dieser Zeit blockierte die Norman SandBox v2
zahlreiche Würmer, noch bevor deren Existenz überhaupt bekannt geworden war. Die Ausführung
verdächtiger EXE-Dateien in einer simulierten Netzwerk-Umgebung stellt eine neue Art der
Verteidigung gegen Viren dar, die sich nicht auf Signaturaktualisierungen und Heuristik und damit auf
die Suche nach Fragmenten bekannten schädlichen Codes verlässt.
|
|
Für technisch interessierte Anwender! (Quelle: Norman)
|
|
Dieser Artikel zielt darauf ab zu erklären wie die Norman Sandbox Technologie
funktioniert und sich von anderen Lösungen unterscheidet.
Man sollte beachten, dass es sich bei der Norman Sandbox um einen virtuellen
Computer handelt.
Wenn eine Datei das erste mal überprüft wird, nachdem die
NVC Scan-Engine initialisiert wurde, wird ein virtueller Prozessor im Speicher
des Computers geladen. Das Laden dieses Prozesses startet mit einem simulierten
ROM-BIOS, welches die Sektoren von den simulierten Festplatten liest und sie
ausführt; welche die Dateien des Betriebssystems und die Befehlszeile lädt. Von
diesem sauber gestarteten Systemabbild wird eine Aufnahme gemacht um es für
nachfolgende Überprüfungen wieder einzusetzen.
Auf diesem simulierten Laufwerk finden wir eine FAT-Partition, mit
Verzeichnissen und Dateien. Einmal gestartet, wird die gescannte Datei in eine
simulierte Festplatte kopiert und ausgeführt. Diese ausgeführte Datei kann nun
die Prozesse ohne Einschränkungen durchführen. Hier können Dateien infiziert
und/oder gelöscht werden, sich über Netzwerke kopieren und verteilen, eine
Verbindung mit einem IRC-Server erstellen und sogar Mails können versendet
werden. Gleichzeitig wird sogar ein aktiver Port geladen.
Jede Aktion wird durch das Norman Programm aufgezeichnet, weil die Sandbox,
diese auf den Code basierenden Vorgänge effektiv ausführt.
Kein Programmcode wird auf dem echten CPU gestartet, außer die von Norman
benötigte NVC Simulations-Engine; sogar die Hardwareumgebung wird im simulierten
PC virtuell abgebildet.
In anderen, bekannten Lösungen wird nur ein Teil der benötigten Umgebung
simuliert - der Großteil des Codes wird auf der echten CPU gestartet und wenn
dieser Programmcode z. B. mit Windows in Verbindung tritt, dann wird es mit
Antworten gefüttert, die so aussehen als würden sie vom Betriebssystem kommen.
In Wirklichkeit kommen Codestücke aus anderen Bereichen, welche teilweise auf
der echten CPU ablaufen oder nicht ablaufen.
Unserer Meinung nach, ist dies eine sehr unsichere Art und Weise, die
Prozesse auszuführen und es gewährt uns nicht die benötigte Flexibilität.
Nehmen Sie zum Beispiel ein speziell präpariertes und ausführbares Programm,
welches eine Art „Overflow“ oder eine verdächtige Codekombination beinhaltet, um
aus den limitierten Umgebungen auszubrechen. Wenn es auf einem echten CPU
ausgeführt würde, hätte der Code den Zugang zum echten Speicher- und
CPU-Register. Es wäre deshalb theoretisch denkbar, dass dieser schädliche Code
außerhalb der Sandbox ausbrechen oder diese sogar zum Absturz bringen könnte.
Würde eine solche schädliche Datei auf dem vollständig emulierten CPU
ausgeführt, könnte der schädliche Code sicherlich die simulierte Umgebung zum
Absturz bringen und den CPU in eine Endlosschlaufe führen. Dabei würden Dateien
gelöscht, aber all dies würde nur auf dem simulierten Computer
passieren. Der simulierte PC aber, würde nur melden „Keine Antwort vom
simulierten PC. Das System wird heruntergefahren.“ Oder wenn der Code wirklich
unbekannt ist - „Dieser Code wird nicht unterstützt. Das System wird
heruntergefahren.“
Es geht nicht darum vermeintlich, schädliche Aktionen in Echtzeit zu
überwachen und zu stoppen, wie z.B. bei Anbietern ähnlicher Technologien,
sondern um in einer geschützten, virtuellen Umgebung festzustellen was passieren
würde, wenn der schädliche Code (Malware) in ungeschützter Netzwerkumgebung
ausbrechen würde. Sogar wenn NVC auf einem Novell Netware Server, unter Linux,
OS/2 oder DOS installiert wird.>
|
|
Mass-Mailing-Würmer – Verbreitungstechniken
|
|
Norman
SandBox: Unterstützung von SMTP und MAPI. Unterstützung aller bekannten
von Viren benutzter Methoden zur Abfrage von E-Mail- Adressen
(Dateisystemverzeichnis, WAB-Dateien, WAB32.DLL und Registrierung).
Per E-Mail verbreitete Würmer arbeiten grundsätzlich mit zwei Methoden:
Entweder verschicken sie sich über die WinSock bzw. WinSock2-Verzeichnisse an SMTP-Server oder über das
MAPI-Verzeichnis.
Einige Würmer verwenden Kombinationen der beiden Methoden, d.h.,
bestehende EMail-Adressen, Betreffzeilen und Text werden über MAPI
extrahiert und anschließend eigene Versionen über SMTP versendet. Einige
Würmer stellen für unterschiedliche Zwecke Verbindungen zu hartcodierten Zielen her (über IP oder DNS). So
veranlassen sie beispielsweise das Hinzufügen von Exploits zur E-Mail-Kopfzeile durch automatische
Anhänge in Outlook Express. Würmer finden in einem System enthaltene E-Mail-Adressen auf
unterschiedliche Arten. Einige untersuchen Dateisysteme auf EML-, HTML- und andere Textdateien, die
E-Mail-Adressen enthalten können. Andere verschaffen sich über die Registrierung oder die
WAB32.DLL Zugriff auf das Windows-Adressbuch, um dort gespeicherte Adressen zu extrahieren.
|
|
Norman SandBox: Volle
Unterstützung aller genannten Techniken
Viren, die sich über gemeinsam genutzte Netzwerkressourcen verbreiten, verwenden
verschiedene Methoden, um Remote-Shares zu infizieren. Die DLL Kernel32 enthält APIs für die
Auflistung gültiger Laufwerke und APIs für die Bestimmung des Laufwerktyps. Einige Viren
kopieren sich einfach über eine Laufwerkbezeichnung oder suchen im
Dateisystems des Laufwerks nach einem passenden Speicherort.
Die Datei MPR.DLL erteilt Anwendungen Zugriff auf Wnet-Funktionen. Mit diesen Funktionen
können Viren und Würmer das entsprechende Netzwerk durchsuchen. Dazu zählen gemeinsam genutzte
Dateien, Drucker oder verbundene Rechner. Findet ein Wurm eine passende Netzwerkressource,
kopiert er sich durch eine Verbindung mit der Ressource oder über UNC-Pfade.
Einige Würmer (z.B. W32/Opaserv) nutzen das SMB-Protokoll für die Infizierung von
Remotecomputern. Sie senden Nachrichten über Port 137 an verschiedene Teile des Netzwerks und
warten auf Antworten. Antwortet ein Computer, ermittelt der Wurm den Netzwerk-Namen, erstellt
einen neuen Thread und stellt zur Infektion eine Verbindung zu Port 139 des Remotecomputers her.
|
|
Peer2Peer(P2P) Netzwerkwürmer
|
|
Die Norman SandBox vereitelt Versuche, Scripts oder EXE-Dateien in den P2P
Upload-/Download- Verzeichnissen abzulegen oder zu bearbeiten
Viele Würmer kennen und nutzen P2P-Netzwerke, um sich zu
verbreiten. Die einfachste von Würmern verwendete Methode ist, sich unter einem „interessanten
Dateinamen" in die Upload-/Download- Verzeichnisse dieser Netzwerke abzulegen. Bestimmte
Einträge in der Registrierung geben oft einen Hinweis auf das Vorhandensein von Würmern.
Es gibt eine Vielzahl von P2P Netzwerken. Eines der bekanntesten ist wohl Kazaa.
|
|
Backdoors und andere schädliche EXE-Dateien
|
|
Die Norman SandBox reagiert auf zahlreiche vordefinierte Umstände und
kennzeichnet diese als „Sicherheitsbedrohung". Diese werden nicht als Viren sondern als Malware
identifiziert.
Backdoors sind Programme, die Ports in Ihrem System öffnen.
Das System wartet dann auf eine eingehende Verbindung. Die Programme führen meistens
versteckte Aufgaben aus, z.B. Fernadministration Ihres PCs. Andere Trojaner können ohne
Ihr Wissen und Einverständnis Daten von Ihrem System aus versenden, z.B. Tastatureingaben und im
Cache gespeicherte Passwörter für Netzlaufwerke und DFÜ-Verbindungen.
|
|
Welche Viren entdeckt die Norman SandBox?
|
|
Die Norman SandBox erkennt die meisten Viren. Da die auf virales Verhalten geprüften
Programme auf einem simulierten Computer in einem simulierten Netzwerk ausgeführt werden,
können diese sich entweder lokal im System verbreiten oder versuchen, andere Systeme zu
infizieren. Diese Viren können auch Dienste auf Remotecomputern verwenden, z.B. SMTP, News,
IRC, DNS usw.
|
|
Ja, da die Ausführung der Programme emuliert wird und nicht tatsächlich in Ihrem System
stattfindet. Versucht ein Virus oder ein Trojaner, alle Systemdateien zu löschen, so werden lediglich
die Systemdateien der simulierten Festplatte und nicht die tatsächlichen Dateien gelöscht. Da die
Technologie auf Emulation basiert, ist diese Methode absolut sicher.
|
|
Welche
Rechnerressourcen sind nötig?
|
|
Die Norman SandBox verwendet Module der Scan-Engine, den Emulator und den Virtual Memory
Manager. Die Softwarekomponenten der Norman SandBox befinden sich in der Norman
Definitionsdatei (NVCBIN.DEF). Die Größe der Module der Norman SandBox beträgt gepackt
weniger als 160 KB.
Pro Scanning-Thread werden ca. 4 MB Speicherplatz benötigt. Da das Programm als Emulation
ausgeführt wird, ist die Geschwindigkeit entscheidend. Bei einem PIII 700 MHz werden über eine
Million Anweisungen pro Sekunde emuliert, bei einem P4 2 GHz mehr als drei Millionen. Die Norman
SandBox wurde für eine möglichst geringe Zahl an Emulationszyklen entworfen, besonders bei nicht
infizierten Dateien, und dies bleibt unser Bestreben. Im frühen Entwicklungsstadium durchgeführte
Tests zeigten, dass der Einsatz der Norman SandBox bei allen EXE-Dateien bei einer normalen
Festplatte eine um ca. 40% höhere Scan-Zeit erforderte. Angesichts der von der Norman SandBox
erbrachten Leistung und den Vorteilen der Erkennung unbekannter komplexer Würmer und Viren ist
die Geschwindigkeit in unseren Augen nicht das Problem.
|
|
Was muss man tun, wenn die Norman SandBox einen Virus erkannt hat?
|
|
Erkennt die Norman SandBox einen Virus, trägt dieser eine der folgenden Bezeichnungen:
| W32/EMailWorm
|
Wurm, der sich per E-Mail verbreitet
|
| W32/NetworkWorm |
Wurm, der sich über gemeinsam genutzte Netzwerk-Ressourcen verbreitet |
| W32/FileInfector
|
Virus, der herkömmliche EXE-Dateien infiziert
|
| W32/P2PWorm |
Wurm, der sich über P2P-Netzwerke verbreitet
|
| W32/Malware |
Malware im Allgemeinen
|
Erkennt die Norman SandBox etwas Erkennt die Norman SandBox etwas Unbekanntes, ist diese Art offensichtlich noch niemals vorher
vorgekommen und daher keiner Erkennungsprozedur zugeordnet. Die
Norman SandBox gibt normalerweise eine kurze Analyse aus, die erklärt, warum es sich um einen
Wurm oder Virus handelt. Diese Analyse finden Sie in der Logdatei oder in der virtuellen Konsole.
|
|
Wo sollte die Norman SandBox aktiviert werden?
|
|
Die Norman SandBox sollte für alle Mail-Scan-Produkte aktiviert werden, also z.B. für NIP
(Norman Internet Protection), Lotus Notes, Exchange und MailSweeper. Die SandBox lässt sich über
die Konfiguration einer Suchaufgabe auch für regelmäßige bedarfsgesteuerte Viren-Scans aktivieren.
Auch wenn es funktioniert, bieten wir die SandBox nicht als Echtzeit-Scanner an.
|
|
Muss die Norman SandBox aktualisiert werden?
|
|
Ja, die Norman SandBox besteht aus einer Reihe von Softwarekomponenten, z.B. Kernel32,
WSOCK32, MSVCRT usw. Diese befinden sich in der binären Definitionsdatei (NVCBIN.DEF).
Norman arbeitet ständig an der Verbesserung dieser Softwaremodule. Werden Änderungen
vorgenommen, so erfolgen diese in der Datei NVCINCR.DEF, d.h. anstelle einer kompletten
Neuversion der SandBox Software müssen nur sehr kleine Änderungen übernommen werden.
Die Aktualisierung erfolgt über das Norman-Internet-Update (NIU).
|
|
Werden ALLE Viren erkannt?
|
|
Nein, die Absicht der Norman SandBox ist es, aktuelle Bedrohungen Ihres Systems zu erkennen.
Veraltete DOS COM Viren und andere nicht ausführbare Viren (z.B. Makros und Scripts) werden von
der Norman SandBox nicht erkannt. Die Norman SandBox konzentriert sich auf die Erkennung
binärer E-Mail- und Netzwerkwürmer, da diese momentan die häufigsten und gefährlichsten Viren
darstellen.
|
 |
Nach oben |
|
