Schutz vor Malware
Bereiten Sie sich darauf vor, gehackt zu werden!
Fortsetzung des Artikels von Teil 1
KI erkennt Eindringlinge
Für Lynx liegt in der Cybersicherheit eine der größten Möglichkeiten für künstliche Intelligenz (KI). Im Gegensatz zu den bekannteren Fällen, in denen beispielsweise ein Kamerabild identifiziert wird, liegt die Chance hier bei der KI, die sich innerhalb des Systems befindet, idealerweise so nah wie möglich an der Hardware, und dort das System »intelligenter« macht.
Normales Systemverhalten erzeugt Datenprotokolle im Hypervisor, die dazu beitragen, spezifische Systemsignaturen/Profile für einzelne Aufgaben zu erstellen. Dazu gehören beispielsweise Muster der CPU-Auslastung und CPU-Zugriffe, der Speichernutzung sowie der E/A-Aktivität.
Der Stuxnet-Wurm etwa, zielte vor etwas mehr als einem Jahrzehnt auf eine bestimmte Art von SCADA-Plattform (Supervisory Control and Data Acquisition) mit Windows. Ein Teil dieses Wurms war ein Rootkit. Diese Malware wurde entwickelt, damit der Angreifer sich Zugang zu einem Teil des Systems verschaffen kann, der ihm sonst nicht erlaubt ist.
Es ist besonders schwierig, solche Malware zu entdecken, da sie oft ihre Existenz oder die Existenz anderer Software verschleiert. Bei mangelhaft konzipierten Systemen ermöglicht dieser Zugriff der Malware, privilegierten Systemzugang zu erhalten. Vollständige Kontrolle über ein System bedeutet, dass vorhandene Software geändert werden kann, einschließlich Software, die sonst zum Aufspüren von Angriffen oder Umgehen des Systems verwendet werden könnte.
Auf der Hypervisor-Ebene wird eine Malware wie der Stuxnet-Wurm sofort gekennzeichnet. Stuxnet benötigte etwa 0,5 MB Speicherplatz. Der Hypervisor würde Anfragen zum Schreiben in Speicherbereiche erkennen, die in einem gut konzipierten System als geschützte Bereiche gekennzeichnet sind.
Weitere Arten von Fähigkeiten umfassen:
- API-Intercept: Autorisierte Gastanwendungen/Betriebssysteme können über einen anderen Gast benachrichtigt werden, der Code an bestimmten Speicherstellen ausführt, und Informationen über den Kontext erhalten.
- API-Überwachung: Überwachen bestimmter Speicherplätze auf die Ausführung von Code und Suche nach Mustern, die bösartige Aktivitäten darstellen könnten.
- Pages of Interest: Überwachen bestimmter Speicherseiten, z. B. Kernel-Seiten, auf Lese- und Schreibvorgänge von sensiblen Datenstrukturen, die auf potenzielle Schadsoftware-Aktivitäten hinweisen.
- Sichere Domänenisolierung: Sie stellt den Gästen Anzeigedaten zur Verfügung, die sicher sind, d. h. für andere Gäste unzugänglich und unsichtbar.
- Hypervisor Fingerprinting: Es wurde viel über Anwendungen geschrieben, die feststellen, welche Art von Hypervisor auf einer Plattform läuft, um dann zu ermitteln, wie am besten darauf zugegriffen werden kann. Ein recht gut dokumentiertes Beispiel ist die »Backdoor« in VMware, bei der ein Kommunikationskanal zwischen dem Gast und dem Hypervisor besteht. Diese Hintertür reagiert auf bestimmte Interrupt-Aufrufe, die eine Anwendung im Benutzermodus auf einem physischen Rechner zum Absturz bringen würden. Daher muss der Hypervisor Techniken zum Schutz vor Umgehung enthalten, um zu verhindern, dass bösartige Software Fingerabdrücke des Hypervisors erstellen kann.
Um es klar zu sagen: Die Interpretation der Daten findet nicht im Hypervisor statt. Dies wird in einer vertrauenswürdigen virtuellen Maschine durchgeführt, die gesichert und von anderen Anwendungen isoliert ist. Stattdessen fungiert der Hypervisor als ständiger Prüfer der Plattform und liefert die gesammelten Daten an die entsprechenden Anwendungen zur Verarbeitung und schließlich zur Entscheidungsfindung, wenn ein Verstoß festgestellt wurde.
Jobangebote+ passend zum Thema
Rückkehr zu einem bekannt guten Zustand
Sobald die Sicherheitslücke geschlossen ist, muss das System wieder in einen bekannten guten Zustand versetzt werden. Was die Software betrifft, so ist Lynx von zwei Bereichen begeistert:
- Verbesserten Methoden zum Speichern von Schnappschüssen des Systemzustands im Speicher und zur schnellen Wiederherstellung infizierter Systeme.
- Verwenden einer unveränderlichen Separation-Kernel-Konfiguration, um erkannte Bedrohungen zu beseitigen, wenn eine oder mehrere virtuelle Maschinen neu gestartet werden.
Zusammenfassend lässt sich sagen, dass mit zunehmender Raffinesse der Cyberangriffe auch die Fähigkeiten der angeschlossenen Systeme zunehmen müssen, um sie abzuwehren. Da im Einsatz befindliche Systeme zweifellos auf neue Angriffsmethoden stoßen werden, die bei der Entwicklung des Systems noch nicht bekannt waren und/oder nicht bedacht wurden, muss der Systemarchitekt planen, dass sein System angegriffen werden kann. Dann liegt der Schwerpunkt auf der frühzeitigen Erkennung von Angriffen, einem gründlichen Sandbox-Ansatz, um den Zugriff auf wertvolle Systemressourcen zu minimieren, und der Bereitstellung eines bewährten Pfads, um das System wieder in einen bekannten Zustand zu versetzen.
Der Autor
Ian Ferguson
ist VP of Sales and Marketing bei Lynx Software Technologies. In dieser Funktion ist er auch für die Förderung des Lynx-Partnerschaftsprogramms verantwortlich, um das Engagement in den Bereichen Automobil, Industrie und IT-Infrastruktur zu forcieren. Ferguson war fast elf Jahre lang bei ARM tätig, wo er Teams in den Bereichen vertikales Marketing, Corporate Marketing und strategische Allianzen leitete. Er ist Absolvent der Universität Loughborough (UK) mit einem B. Sc. in Elektrotechnik.
iferguson@lynx.com
- Bereiten Sie sich darauf vor, gehackt zu werden!
- KI erkennt Eindringlinge
- Literatur
Lesen Sie mehr zum Thema
