Transcript Malware austricksen I

Malware austricksen I
Bisher vorgestellte Tools, Techniken und
Vorgehensweisen zielten darauf ab, Malware
an der Verbreitung und/oder am Anrichten
von Schaden (sei es finanziell, bzgl. Maschinenverfügbarkeit oder -beschädigung oder
durch Ressourcen-verbrauch) zu hindern.
Malware austricksen II
Ein weiterer, eigentlich sogar eleganterer Weg ist,
von Anfang an Bedingungen zu schaffen, die
beliebiger Malware das Anrichten von Schäden
dadurch unmöglich macht, dass diese Schäden
schlicht so gut wie keine Auswirkungen mehr
haben.
Wie kann man das erreichen?
Durch Virtualisierung! (Die selbe Technik, die
auch die besten Rootkits zu ihrer Tarnung
einsetzen)
Malware austricksen III
Was ist Virtualisierung?
Virtualisierung ist die Bezeichnung für das
Abbilden von kompletten Rechnern incl. vieler
Peripherie in Software.
Einen virtualisierten Rechner bezeichnet man
als Gast (bzw. englisch guest) auf dem realen
System, das ihn und die darunter liegende
Virtualisierungssoftware ausführt
Malware austricksen IV
Was ist Virtualisierung? II
Der einen oder mehrere guests ausführende
Rechner wird als Gastgeber bzw.
(Virtualisierungs-) Host bezeichnet.
Auf ihm sind der Gast oder die Gäste als
normale Dateien gespeichert, also auch (von
ihrer Größe abgesehen) leicht und schnell
kopierbar.
Malware austricksen V
Was nützt Virtualisierung gegen Malware?
Der Gast bzw. die Gäste können (außer bei
fehlerhafter Virtualisierungssoftware) nicht
unerlaubt auf die Ressourcen des Hosts
zugreifen und es ist möglich, nur den Gast/die
Gäste mit Netzzugriff auszustatten  Host
bleibt sauber
Bei Verdacht auf Infektion des Gastes diesen
löschen und die saubere Kopie neu einspielen.
Malware austricksen VI
Virtualisierer gibt es mittlerweile viele, die
erste (kommerziell) erfolgreiche Software
dieser Art wurde vom Unternehmen VMWare
programmiert.
Von VMWare gibt es seit geraumer Zeit auch
eine im Funktionsumfang reduzierte, aber
dafür für den Privatgebrauch kostenlose
Version, den VMWare Player.
Malware austricksen VII
Der VMWare Player kann nach einer Registrierung unter www.vmware .com heruntergeladen werden, aktuell ist Version 4.0.3
Sein Name ist ein wenig irreführend, denn es
ist möglich mit ihm auch neue, eigene
virtuelle Maschinen zu generieren.
Als Hostsysteme eignen sich alle Windowsversionen ab incl. XP sowie alle modernen
Linuxdistributionen.
Malware austricksen VIII
Als Gäste eignen sich ebenso die als Hosts
geeigneten Systeme sowie bereits die letzten
DOS-Versionen und alle Windows-Versionen
ab 95 und die Linux-Versionen aus den letzten
10 Jahren.
Nach der Aufzählung dieser positiven Eigenschaften sollen auch diverse Nachteile bzw.
Einschränkungen angesprochen werden.
Malware austricksen IX
• Speicherbedarf: allerunterste Grenze für
erträgliches Arbeiten ist auf einem WindowsXP-Host 2 GB RAM, was für den Host (1 GB
Speicher sollte ihm immer erhalten bleiben)
und einen Gast (mit 512 MB) knapp ausreicht
• CPU/Prozessor: Pentium 4 (Intel) bzw. Athlon
XP (AMD) mit mindestens 2,5 GHz oder neuer;
Mehrkern-CPUs der letzten vier bis fünf Jahre
reichen generell für allgemeine Zwecke aus
Malware austricksen X
• Plattenplatz (als Datei auf dem Host abgelegt):
nach Bedarf bzw. persönlichem Geschmack;
für ein Linux reichen im allgemeinen 20 GB
aus, für die diversen Windows-Varianten evtl.
einiges mehr
• Generell: nicht mehr RAM zuweisen, als
physisch vorhanden ist und möglichst nicht
mehr CPU(-Kerne) nutzen als das System hat
VMWare Player – ein Überblick I
• Linker Bereich des Startfensters zeigt die
vorhandenen virtuellen Maschinen (VMs) an
• File/Datei bietet Möglichkeiten zum „Bauen“
einer neuen (mittels DVD/CD und HostLaufwerk oder ISO-Datei) oder Öffnen einer
vorhandenen VM; Importieren von evtl.
bekannten anderen VM-Formaten,
Herunterladen fertiger VMs und diverse
Verhaltenseinstellungen passieren ebenso hier
VMWare Player – ein Überblick II
Virtual Machine Settings enthält die bei der
Erzeugung einer VM angegebenen
Einstellungen für Speicher, CPU-Anzahl, HDPlatz, optisches Laufwerk (Hardware des Hosts
oder ISO-Datei) und Floppy/Diskette.
Network Adapter lässt sich zwischen
„Bridged“ und „NAT“ auswählen, wobei die
erste Einstellung dem Gast eine vom Host
unabhängige Netzverbindung erlaubt.
VMWare Player – ein Überblick III
Die Einstellung „NAT“ (Network Address
Translation) bewirkt ein Einklinken der VM in
die Netzverbindung des Hosts (also Host aus
dem Netz  VM aus dem Netz!)
Die eingestellten Daten für USB Controller,
Sound Card, Printer und Display brauchen
normalerweise nicht geändert zu werden.
VMWare Player – ein Überblick IV
Removable Devices bietet einen Überblick
über die von der aktuellen VM aus erreichbaren Geräte (üblicherweise per USB angeschlossen, USB 3.0 wird unterstützt ab V4).
Dies dient wie sonst auch dem Datenaustausch (anfangs auch mit dem Host, mittlerweile wird Kopieren und Einfügen Host -> VM
und VM -> Host unterstützt) und der
Sicherung.
VMWare Player – ein Überblick V
Power bietet Play VM, was die gewählte VM
startet, Reset bewirkt einen Neustart der VM
(wie das Drücken des entsprechenden Knopfs
an einem echten Rechner), Suspend friert den
augenblicklichen Zustand der VM ein (Start
bzw. Resume geht danach schneller) und
Power Off beendet die aktuelle VM.