Per Hypervisor Angriffe im RAM stoppen
Unsichtbare Schutzwand
Es scheint IT-Gefahren zu geben, gegen die kein Kraut gewachsen ist: Gezielte Angriffe wie der Bundestags-Hack sind mit gängigen Security-Werkzeugen kaum zu verhindern. Schlimmer: Sie werden oft erst nach Monaten oder sogar Jahren entdeckt. Hier sind neuartige Abwehrmechanismen erforderlich.
Laut Studien sind sich viele Unternehmen im Klaren darüber, dass sie wenig ausrichten können, wenn Angreifer sie auf hochprofessionelle Weise ins Visier nehmen, zum Beispiel im Rahmen staatlich unterstützter Wirtschaftsspionage oder Sabotage. Meist nutzen solche Angriffe eine Vielzahl von Instrumenten: Exploits noch unbekannter Sicherheitslücken, maßgeschneiderte Malware, Social Engineering und geheimdienstliche Methoden. Die Angriffe sind oft lange, komplexe Ereignisketten, in denen die Angreifer immer wieder neue Wege suchen und alte Spuren verwischen.
Warum ist derlei trotz des Einsatzes von Sicherheitstechnik möglich? Endpoint-Security-Lösungen besitzen eine Achillesferse: Sie setzen auf Software-Agenten, die innerhalb des geschützten Systems laufen. Deshalb können sie raffinierte, mehrstufige Angriffe, die auf dem Root-Level desselben Systems aufsetzen, von Haus aus nicht erkennen: Der Angreifer hat dann die gleichen Privilegien wie der Verteidiger.
So kann ein Angreifer zum Beispiel unbekannte oder noch ungepatchte Schwachstellen des Betriebssystems nutzen, um legitime Applikationen wie Browser oder Media-Player zu missbrauchen. Damit kann er wiederum Passwörter stehlen, Screenshots verschicken, die Security-Systeme ausschalten, weiteren Schadcode ausführen und vieles mehr. Jede Software lässt sich zweckentfremden, ohne dass traditionelle Sicherheitslösungen dabei alarmiert werden. Bei komplexen Angriffen verhält sich die eingesetzte Schadsoftware obendrein unauffällig. Sogenannte dateilose Angriffe (Fileless Attacks) hinterlassen oft keine Spur im Datenspeicher, sondern setzen direkt am Arbeitsspeicher an. Dies hat das Ziel, den RAM zu manipulieren, um Privilegien zu erlangen. Mit den Privilegien kann der Angreifer dann Schadcode ausführen, ohne dabei einen Alarm auszulösen.
Müssten dann nicht die Instrumente der Netzwerksicherheit wie Firewalls helfen, indem sie den Datenstrom der Infiltration kappen? Auch sie können dagegen oft nichts ausrichten. Sie sind zwar nicht in der gleichen Weise manipulierbar, haben aber ihrerseits eine andere Achillesferse: Sie sind isoliert von den geschützten Workloads. Ihnen fehlt der lokale Kontext des kompromittierten Geräts. So lassen sie sich bei ausgefeilten Angriffen täuschen, welche Aktivität und welcher Traffic legitim ist und welcher nicht.
Dilemma: Kontext oder Isolation
Sicherheitsexperten kennen dieses Dilemma, genannt "Kontext versus Isolation", seit Langem: Entweder ich habe den Innenblick, bin aber manipulierbar, oder ich habe den Außenblick, dann sehe ich aber nur Umrisse, nicht die Details. Dieses Dilemma galt lange als unauflöslich. Mit der Virtualisierung jedoch erhielt Unternehmens-IT eine neue Dimension, dank der sich die Spielregeln grundsätzlich ändern.
Der Grundgedanke ist einfach: Der Hypervisor kann einerseits den vollständigen Kontext einer virtuellen Maschinen (VM) bis auf das Blech kontrollieren. Andererseits ist er isoliert von der virtuellen Maschine. Bei einem Angriff auf die VM bliebe der Hypervisor somit unkompromittiert.
Dieser Ansatz, "Hypervisor Introspection" (HVI) genannt, setzt also IT-Sicherheit erstmals von der Hypervisor-Ebene aus durch und blockiert Angriffe agentenlos und von außerhalb des Betriebssystems durch Überwachung des Arbeitsspeichers. Er ist auf eine API im Hypervisor angewiesen, der seit ungefähr einem Jahr für Citrix-Umgebungen verfügbar ist und für KVM sowie weitere Hypervisoren folgen soll. So schützt der Hypervisor Rechenzentren, Unternehmen und Organisationen auf ganz neue Art vor ausgeklügelten Angriffen.
Aus Sicht des Angreifers ist Hypervisor Introspection wie eine unsichtbare Schutzwand zwischen Endpunkt- und Netzwerksicherheit: Der Bedrohungsakteur rennt dagegen, sieht sie aber nicht und versteht deshalb nicht, warum die illegitimen Prozesse nicht in gewohnter Weise laufen.
Um HVI von den klassischen Sicherheitslösungen zu unterscheiden, kann man es sich als ein Anti-Hacking-Tool vorstellen. Der Fokus liegt allein auf Erkennung und Blockade der Angriffsmethode im Arbeitsspeicher. Denn während sich hochentwickelte Angriffe oft erfolgreich vor Security-Systemen verstecken, benötigen sie ausnahmslos Arbeitsspeicher, um illegitime Handlungen zu tätigen. Zwar existiert eine scheinbar unendliche Zahl an Schadprogrammen, doch es gibt bei komplexen Angriffen und APTs (Advanced Persistent Threats, langanhaltende komplexe Angriffe) nur eine kleine Zahl an Exploit-Methoden, etwa Buffer Overflow, Code Injection, Function Detouring, API Hooking und Heap Spraying - allesamt Methoden, die eine Endpoint-Security-Lösung auf dem Endgerät nicht entdecken kann.
Doch Hypervisor Introspection kann die unstrukturierten Bytes in den Speicherblöcken des Arbeitsspeichers (Raw Memory) interpretieren und semantisch deuten. So lassen sich Manipulationen automatisiert und in Echtzeit aufspüren, was bislang intensive Forensik erfordert hätte. Ausgeklügelte individualisierte Hacks, Kernel-Mode Malware und Zero-Day Exploits lassen sich unterbinden, bevor der Schadcode das Opfer erreicht und irgendein Schaden entsteht - und dies sogar ohne jede Kenntnis der Schwachstelle.
Zwei Beispiele zur Veranschaulichung: Ein Angriff, der einen Buffer Overflow erreichen will, würde eine legitime Applikation zwingen, auf zusätzlichen Arbeitsspeicher zuzugreifen und Code auszuführen, der in keiner sinnvollen Verbindung zu ihr selbst steht. Genau diesen abnormalen Prozess der Zuordnung von Arbeitsspeicher, um Code auszuführen, erkennt die Hypervisor Introspection. Sie fängt den Prozess in Echtzeit ab und blockiert ihn. HVI garantiert so die Integrität der Applikationen auf der virtuellen Maschine. Der Angreifer kann dieses Sicherheitssystem mit heute bekannten Möglichkeiten nicht aushebeln - der Gegner steht außerhalb des Betriebssystems und hinter der unsichtbaren Schutzwand.
Auch das Beispiel WannaCry machte erkennbar, wie dieser zusätzliche Security-Layer wirkt: Als Hypervisor Introspection im Jahr 2017 in Produktivumgebungen getestet wurde, hat es erfolgreich den "EternalBlue" genannten Angriffsweg unterbunden. Selbst vor Bekanntwerden von EternalBlue hätte HVI die virtuellen Systeme geschützt - nicht durch Erkennung der Ransomware, sondern durch Verhindern des Einschleusens.
Was passiert mit "gewöhnlicher" Malware?
Damit ist auch klar: Der Blick in den Arbeitsspeicher ist nicht die allumfassende Waffe gegen Hacker, die alle anderen Lösungen ersetzt. Zum Beispiel findet die Datenverschlüsselung durch Ransomware im Datenspeicher statt, nicht im Arbeitsspeicher. Auch andere "gewöhnliche" Malware wie dateiinfizierende Viren, Trojaner oder Keylogger sind von geringer Komplexität. Sie zielen eher darauf ab, Privatanwender, kleinere Organisationen oder bestimmte Branchen zu kompromittieren. Mit dieser Art von Gefahren können Endpoint-Security-Systeme gut umgehen. Durch kluge Nutzung von Big Data und Machine Learning können die besten Engines derzeit völlig unbekannte Schadsoftware mit 99,99 Prozent Zuverlässigkeit erkennen.
Hypervisor Introspection dagegen schaut nicht auf individuelle Schadsoftware, sondern nur darauf, ob Methoden der Arbeitsspeicher-Manipulation zum Einsatz kommen. Nur HVI kann helfen, wenn es um ausgeklügelte, gezielte Angriffe geht, die zum Beispiel darauf ausgerichtet sind, noch unbekannte Schwachstellen (Zero-Day Vulnerabilities) auszunutzen.
Hypervisor Introspection wehrt somit komplexe Angriffe und APTs ab, indem es den Arbeitsspeicher von außerhalb des Betriebssystems kontrolliert. Security ist damit nicht länger auf die Informationen des Betriebssystems angewiesen, die selbst manipuliert sein könnten. Entstanden ist dieser neue Ansatz aus einer Zusammenarbeit zwischen Bitdefender, Citrix, Intel und der Linux Foundation.
Auch für Unternehmen, die auf Virtualisierungsumgebungen ohne entsprechende API setzen, gibt es Anwendungsszenarien, um sich HVI zunutze zu machen. Zum Beispiel verwenden APTs bevorzugt Browser als Einfallstor, um Organisationen zu infizieren. Dies geschieht zum Beispiel über Schwachstellen in gängigen Plug-ins wie Adobe Flash, Adobe Reader oder Java. Unternehmen bieten hier keinerlei Angriffsfläche mehr, wenn sie XenServer mit virtuellen Workspaces auf einem Server bereitstellen, der mit Hypervisor Introspection geschützt ist, und die gesamte Browser-Aktivität über diesen Server laufen lassen (das sogenannte Safe Browsing). Wenn nun Hacker versuchen, den Browser zu kompromittieren, wird dies sofort entdeckt und gestoppt. Es gibt für sie keine Chance, das Endgerät zu erreichen.
Der Hypervisor hat es Rechenzentren ermöglicht, Ressourcen besser zu nutzen, die Geschäftskontinuität zu verbessern und Workloads zu isolieren. Aber niemand hat in der Vergangenheit das Potenzial des Hypervisors in Sachen Sicherheit ausgeschöpft. Hypervisor Introspection markiert insofern zugleich eine Schutzwand gegen Angreifer und einen Durchbruch für die Verteidiger der IT.
Lesen Sie mehr zum Thema
