Verschleiernde Transformationen von Programmen
Loading...
Files
Date
2011-07-21
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Bösartige Programme, sogenannte Malware, stellen in der heutigen Zeit ein großes Problem dar.
Die umfassende Vernetzung von Computern erlaubt es Malware, sich auf einfache Weise an eine
Vielzahl potentieller Opfer zu verbreiten. Anti-Virus-Software ist deshalb für viele Computer eine
Grundvoraussetzung zum sicheren Betrieb.
Der Einsatz von Anti-Virus-Software zwingt Malware-Autoren dazu, Strategien zu entwickeln,
wie sich ihre Programme vor Anti-Virus-Software verbergen können, um sich weiterhin zu verbreiten.
Auf der anderen Seite sind die Hersteller von Anti-Virus-Software gezwungen, Mittel gegen
diese Strategien zu finden, um Malware weiterhin erkennen zu können. Dies führt zu einer Situation,
die bildhaft als Wettrüsten bezeichnet wird, in der beide Seiten versuchen, durch immer
ausgefeiltere Strategien die Bemühungen der jeweils anderen Seite zunichte zu machen.
In diesem Kontext wurden verschleiernde Transformationen von Programmen im Rahmen einer
Diplomarbeit untersucht. Solche Transformationen werden von Malware-Autoren eingesetzt, um
die Erkennung ihrer Programme zu verhindern oder zumindest zu erschweren [1, 2]. Es werden die
Komprimierung, Verschlüsselung, metamorphe Codeumformung und Virtualisierung von Programmen
betrachtet sowie hinsichtlich ihres Einflusses auf die Merkmale Erscheinungsbild, Kontrollflussgraph,
Verhalten und Funktionalität eines Programms kategorisiert. Im Rahmen eines Experiments,
in dem der Einfluss der Transformationen auf die Fähigkeit von Anti-Virus-Software, Malware zu
erkennen, untersucht wurde, wurden mit Hilfe einer Experimentierumgebung mit fünf Packern weitgehend
automatisiert Varianten von Malware-Samples erzeugt, welche die vorgestellten Transformationen
abdecken. Mit Hilfe dieser transformierten Samples wurde dann die Erkennungsleistung
von Anti-Virus-Software untersucht. Dieses Experiment zeigte, dass bereits einfache Transformationen
wie die Komprimierung sich negativ auf die Erkennungsleistung von Anti-Virus-Software
auswirken. Allerdings zeigte sich auch, dass das Laufzeitverhalten von Malware, auf der Ebene der
Systemaufrufe betrachtet, gegen die Transformationen der im Experiment eingesetzten Programme
resistent ist.