Umgehung von VM Detektion zum Aufbau eines virtuellen Malware Analyse Systems, Malte Küppers

Malte Küppers

Kurzfassung

In dieser Arbeit wird untersucht, wie die Erkennung von virtuellen Maschinen (VMs) und Analyseumgebungen in Malware umgangen werden kann. Dazu wird in einem ersten Schritt untersucht, welche Methoden in Malware implementiert sind. Die Erkennung von VMs kann in vier Kategorien unterteilt werden: Hardware-Fingerprinting, Prozessor-Instruktionen, Zeichenketten und Timing. Außerdem wird untersucht, welche Virtualisierungslösung für die weitere Arbeit am besten geeignet ist. Aufgrund der Untersuchungsergebnisse wird Kernel-based Virtual Machine (KVM) für die folgende Umsetzung ausgewählt. Die Umgehung der VM-Detektion ist in den Kategorien Hardware-Fingerprinting, Prozessor-Instruktionen und Zeichenketten erfolgreich. Zusätzlich werden Maßnahmen entwickelt, um die Erkennung einer Analyseumgebung zu verhindern. Die Umgehung der VM-Detektion und der Erkennung von Analyseumgebungen werden genutzt, um ein virtuelles Analysesystem für Malware aufzubauen. Das Analysesystem wird erfolgreich zur Analyse einer Probe der Malware AgentTesla eingesetzt.

Schlagwörter: Malware-Analyse, VM-Detektion, Analyseumgebung, Virtualisierung, IT-Sicherheit

Abstract

This thesis examines how the detection of virtual machines (VMs) and analysis Environments in malware can be circumvented. The first step is to analyse which Methods are implemented in malware for this purpose. The detection of VMs can be divided into four categories: Hardware Fingerprinting, Processor Instructions, Strings and Timing. Furthermore, it is examined which virtualisation solution is best suited for further work. Based on the results of the examination, Kernel-based Virtual Machine (KVM) is selected for further implementation. Bypassing VM detection is successful in the categories of hardware fingerprinting, processor instructions and character strings. In addition, measures are developed to prevent the detection of an analysis environment. The evasion of VM detection and the detection of an analysis environment are used to build a virtual analysis system for malware. The analysis system is successfully used to analyse a sample of the malware AgentTesla.